Azure Sentinel ウォッチリストには、アラート/インシデント条件として結合またはフィルター処理するために使用できる CSV ファイルからインポートされたデータが含まれています。
テーブル属性
| 属性 |
価値 |
| リソースの種類 |
- |
| カテゴリ |
セキュリティ |
| ソリューション |
SecurityInsights |
| 基本的なログ |
いいえ |
| 取り込み時変換 |
はい |
| サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| AzureTenantId |
ひも |
このウォッチリスト テーブルが所属するAADテナントID。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| CorrelationId |
ひも |
相関性があるイベントの ID。 |
| CreatedBy |
ダイナミック |
Watchlist または Watchlist アイテムを作成したユーザーを含む JSON オブジェクト(オブジェクト ID、電子メール、名前など)。 |
| 作成時間UTC |
datetime |
ウォッチリストまたはウォッチリストアイテムが最初に作成された時刻 (UTC)。 |
| 既定の期間 |
ひも |
Watchlist の各項目が作成時に継承する必要がある既定の有効期間を記述する JSON オブジェクト。 既定の期間の形式は P(n)Y(n)M(n)DT(n)H(n)M(n)S で、P、Y、M、DT、H、M、S は不変です。 たとえば、P3Y6M4DT12H30M9Sは、3 年、6 か月、4 日間、12 時間、30 分、9 秒の期間を表します。 |
| _DTItemId |
ひも |
ウォッチリストまたはウォッチリストアイテムの一意の ID。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリスト アイテムは一意の ID を持ち、ウォッチリストに属します。 含まれているウォッチリストは、'WatchlistId' を使用して識別できます。 |
| _DTItemStatus |
ひも |
ウォッチリストまたはウォッチリストアイテムがユーザーによって作成、更新、または削除されました。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリストが追加された場合、状態は 'Created' になります。 ウォッチリストの名前が 'RiskyUsers' から 'RiskyEmployees' に更新された場合、状態は 'Updated' になります。 |
| _DTItemType |
ひも |
ウォッチリストとウォッチリストアイテムを区別します。 たとえば、ウォッチリスト 'RiskyUsers' にはウォッチリストアイテム 'Name:John Doe; を含めることができます。email:johndoe@contoso.com'. ウォッチリスト項目の種類はウォッチリスト型に属し、含まれているウォッチリストは 'WatchlistId' を使用して識別できます。 |
| _DTTimestamp |
datetime |
イベントが生成された時刻 (UTC)。 |
| エンティティマッピング |
ダイナミック |
Azure Sentinel エンティティが入力列にマッピングされている JSON オブジェクト。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| 最終更新時刻UTC |
datetime |
ウォッチリストまたはウォッチリストアイテムが最後に更新された時刻 (UTC)。 |
| メモ |
ひも |
ユーザーが提供するメモ。 |
| プロバイダー |
ひも |
ウォッチリストの入力プロバイダー。 |
| SearchKey |
ひも |
SearchKey は、他のデータとの結合にウォッチリストを使用する場合にクエリのパフォーマンスを最適化するために使用されます。 たとえば、IP アドレスを持つ列を指定された SearchKey フィールドに設定し、このフィールドを使用して IP アドレスによって他のイベント テーブルに結合します。 |
| ソース |
ひも |
ウォッチリストの入力ソース。 |
| SourceSystem |
ひも |
イベントを収集したエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| タグ |
ひも |
ユーザーによって提供されるタグの JSON 配列。 |
| テナントID |
ひも |
Log Analytics ワークスペース ID |
| タイムジェネレイテッド |
datetime |
イベントが生成された時刻のタイムスタンプ (UTC)。 |
| TimeToLive |
datetime |
ウォッチリスト レコードの有効期間。日付と時刻 (例: 2020-08-20T17:00:00.9618037Z) として表されます。 元の値はウォッチリストの既定の期間から継承されます。 TimeToLive に合格すると、レコードは削除されたと見なされます。 TimeToLive 値を更新することで、レコードの期間をいつでも延長できます。 |
| タイプ |
ひも |
テーブルの名前 |
| UpdatedBy |
ダイナミック |
ウォッチリストまたはウォッチリスト項目を最後に更新したユーザーを含む JSON オブジェクト(オブジェクト ID、電子メール、名前など)。 |
| ウォッチリストエイリアス |
ひも |
ウォッチリストを参照する一意の文字列。 |
| ウォッチリストカテゴリ |
ひも |
ユーザーが提供するウォッチリスト カテゴリ。 |
| ウォッチリストID |
ひも |
リソースマネージャー・ウォッチリストのリソース名。 |
| ウォッチリスト項目 |
ダイナミック |
入力 Watchlist ソースからのキーと値のペアを持つ JSON オブジェクト。 |
| ウォッチリスト項目ID |
ひも |
ウォッチリスト アイテムの一意の ID。 |
| ウォッチリスト名 |
ひも |
ウォッチリストの表示名。 |