Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'elenco watchlist riservato di Azure Sentinel contiene dati importati da file CSV che possono essere usati per aggiungere o filtrare come condizione di avviso/evento imprevisto.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | NO |
| Trasformazione in fase di inserimento | Yes |
| Query di esempio | Sì |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AzureTenantId | string | ID del tenant di AAD a cui appartiene la tabella Watchlist. |
| _BilledSize | real | Dimensioni del record in byte |
| IdentificatoreDiCorrelazione | string | L'ID degli eventi correlati. |
| CreatedBy | dinamico | Oggetto JSON con l'utente che ha creato la Watchlist o un elemento della Watchlist, tra cui: ID oggetto, email e nome. |
| CreatedTimeUTC | data e ora | Ora (UTC) in cui la Watchlist o dell'elemento della Watchlist sono stati creati per la prima volta. |
| Durata Predefinita | string | L'oggetto JSON che descrive la durata predefinita di esistenza che ciascun elemento di una Watchlist deve ereditare al momento della creazione. La durata predefinita ha questo formato: P(n)Y(n)M(n)DT(n)H(n)M(n)S, dove P, Y, M, DT, H, M e S sono invarianti. Ad esempio, P3Y6M4DT12H30M9S rappresenta una durata di tre anni, sei mesi, quattro giorni, dodici ore, trenta minuti e nove secondi. |
| _DTItemId | string | ID univoco della Watchlist o dell'elemento della Watchlist. Ad esempio, un watchlist 'RiskyUsers' può contenere l'elemento Watchlist 'Name:John Doe; email:johndoe@contoso.com'. Un elemento Watchlist ha un ID univoco e appartiene a un watchlist. La Watchlist contenitore può essere identificata utilizzando 'WatchlistId'. |
| _DTItemStatus | string | Indica se un utente ha creato, aggiornato o modificato la Watchlist o l'elemento della Watchlist. Ad esempio, un watchlist 'RiskyUsers' può contenere l'elemento Watchlist 'Name:John Doe; email:johndoe@contoso.com'. Se viene aggiunto un elenco di controllo, lo stato sarà 'Created'. Se il nome dell'elenco di controllo viene aggiornato da "RiskyUsers" a "RiskyEmployees", lo stato sarà "Aggiornato". |
| _DTItemType | string | Distinguere tra Watchlist ed elemento della Watchlist. Ad esempio, un watchlist 'RiskyUsers' può contenere l'elemento Watchlist 'Name:John Doe; email:johndoe@contoso.com'. Un tipo di elemento Watchlist appartiene a un tipo Watchlist e la Watchlist contenitore può essere identificata usando "WatchlistId". |
| _DTTimestamp | data e ora | Ora (UTC) in cui è stato generato l'evento. |
| EntityMapping | dinamico | Oggetto JSON con mappatura delle entità di Azure Sentinel alle colonne di input. |
| _IsBillable | string | Specifica se l'acquisizione dei dati è fatturabile. Quando _IsBillable è false, l'inserimento non viene fatturato all'account Azure |
| UltimoTempoAggiornatoUTC | data e ora | Ora (UTC) dell'ultimo aggiornamento della Watchlist o dell'elemento della Watchlist. |
| Note | string | Note fornite dall'utente. |
| Fornitore | string | Provider di input della Watchlist. |
| Chiave di Ricerca | string | SearchKey viene usato per ottimizzare le prestazioni delle query quando si usano watchlist per i join con altri dati. Ad esempio, abilitare una colonna con indirizzi IP come campo SearchKey designato, quindi usare tale campo per il join con altre tabelle di eventi in base all'indirizzo IP. |
| Origine | string | L'origine di input della Watchlist. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, sia per la connessione diretta che per Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure. |
| Tag | string | Matrice JSON di tag fornita dall'utente. |
| ID dell'inquilino | string | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Timestamp (UTC) di quando è stato generato l'evento. |
| TimeToLive | data e ora | Ora di vita per un record Watchlist, espresso come data e ora del giorno (ad esempio 2020-08-20T17:00:00.9618037Z). Il valore originale viene ereditato dalla durata predefinita di Watchlist. Se TimeToLive passa, il record viene considerato eliminato. La durata di un record può essere estesa in qualsiasi momento aggiornando il valore TimeToLive. |
| Tipo | string | Nome della tabella |
| UpdatedBy | dinamico | L'oggetto JSON con l'utente che ha aggiornato per ultimo la Watchlist o un elemento della Watchlist, inclusi: ID oggetto, email e nome. |
| WatchlistAlias | string | Stringa univoca che fa riferimento alla lista di sorveglianza. |
| Categoria della Lista di Osservazione | string | Categoria Watchlist fornita dall'utente. |
| WatchlistId | string | Nome della risorsa Watchlist di Resource Manager. |
| Elemento della lista di controllo | dinamico | L'oggetto JSON con coppie chiave-valore dall'origine Watchlist di input. |
| WatchlistItemId | string | ID univoco dell'elemento della Watchlist. |
| Nome della Lista di Osservazione | string | Nome visualizzato della Watchlist. |