Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Enthält Dateien, IP-Adressen, URLs, Benutzer oder Geräte, die Warnungen zugeordnet sind.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | Beschreibung |
|---|---|---|
| Kontodomain | Zeichenfolge | Domäne des Kontos. |
| Kontoname | Zeichenfolge | Benutzername des Kontos. |
| KontoObjekt-ID | Zeichenfolge | Eindeutiger Bezeichner für das Konto in Azure Active Directory. |
| AccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos. |
| AccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos. |
| Zusätzliche Felder | dynamisch | Zusätzliche Informationen zum Ereignis im JSON-Arrayformat. |
| AlertId | Zeichenfolge | Eindeutiger Bezeichner für die Warnung. |
| Anwendung | Zeichenfolge | Anwendung, die die aufgezeichnete Aktion ausgeführt hat. |
| ApplicationId | INT | Eindeutiger Bezeichner für die Anwendung. |
| AttackTechniques | Zeichenfolge | MITRE ATT&CK-Techniken, die der Aktivität zugeordnet sind, die die Warnung ausgelöst hat. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| Kategorien | Zeichenfolge | Liste der Kategorien, zu denen die Informationen gehören, im JSON-Arrayformat. |
| CloudPlatform | Zeichenfolge | Die Cloudplattform, zu der die Ressource gehört, kann Azure, Amazon Web Services oder Google Cloud Platform sein. |
| CloudResource | Zeichenfolge | Name der Cloudressource. |
| Erkennungsquelle | Zeichenfolge | Erkennungstechnologie oder Sensor, die die wichtige Komponente oder Aktivität identifiziert haben. |
| Geräte-ID | Zeichenfolge | Eindeutiger Bezeichner für das Gerät im Dienst. |
| Gerätename | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Computers. |
| E-Mail-Betreff | Zeichenfolge | Betreff der E-Mail. |
| Entitätentyp | Zeichenfolge | Objekttyp, z. B. eine Datei, ein Prozess, ein Gerät oder ein Benutzer. |
| EvidenceDirection | Zeichenfolge | Gibt an, ob es sich bei der Entität um die Quelle oder das Ziel einer Netzwerkverbindung handelt. |
| Beweisrolle | Zeichenfolge | Wie die Entität an einer Warnung beteiligt ist, die angibt, ob sie betroffen ist oder nur verwandt ist. |
| Dateiname | Zeichenfolge | Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| Dateigröße | long | Die Länge der Datei in Bytes. |
| FolderPath | Zeichenfolge | Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| _IstAbrechnungsfähig | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Lokale IP-Adresse | Zeichenfolge | IP-Adresse, die dem lokalen Gerät zugewiesen ist, das während der Kommunikation verwendet wird. |
| NetworkMessageId | Zeichenfolge | Eindeutiger Bezeichner für die E-Mail, die von Office 365 generiert wird. |
| OAuth-Anwendungs-ID | Zeichenfolge | Eindeutiger Bezeichner der OAuth-Anwendung eines Drittanbieters. |
| ProcessCommandLine | Zeichenfolge | Befehlszeile zum Erstellen des neuen Prozesses. |
| Registry-Schlüssel (RegistryKey) | Zeichenfolge | Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde. |
| RegistryValueData | Zeichenfolge | Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
| RegistryValueName | Zeichenfolge | Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
| Fern-IP | Zeichenfolge | IP-Adresse, mit der eine Verbindung hergestellt wurde. |
| RemoteUrl | Zeichenfolge | URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde. |
| ServiceSource | Zeichenfolge | Produkt oder Dienst, das die Warnungsinformationen bereitgestellt hat. |
| Schweregrad | Zeichenfolge | Gibt die potenziellen Auswirkungen (hoch, mittel oder niedrig) der von der Warnung identifizierten Bedrohungsindikator- oder Sicherheitsverletzungsaktivitäten an. |
| SHA1 | Zeichenfolge | SHA-1 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SHA256 | Zeichenfolge | SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. Dieses Feld wird normalerweise nicht ausgefüllt. Verwenden Sie die SHA1-Spalte, wenn diese verfügbar ist. |
| SourceSystem | Zeichenfolge | Typ des Agents, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
| Bedrohungsfamilie | Zeichenfolge | Schadsoftwarefamilie, unter der die verdächtige oder bösartige Datei oder der Prozess klassifiziert wurde. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Datum und Uhrzeit (UTC), wann der Datensatz generiert wurde. |
| Titel | Zeichenfolge | Der Titel der Warnung. |
| Typ | Zeichenfolge | Der Name der Tabelle. |