Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il connettore dati IDS di Google Cloud Platform offre la possibilità di inserire i log cloud IDS in Microsoft Sentinel usando l'API del motore di calcolo. Ciò consente il rilevamento e la risposta alle potenziali minacce all'interno dell'ambiente Google Cloud monitorando il traffico di rete e identificando le attività sospette.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | Sì |
| Trasformazione durante l'ingestione | Sì |
| Interrogazioni di esempio | - |
Colonne
| colonna | TIPO | Descrizione |
|---|---|---|
| AlertSeverity | corda | Gravità della minaccia. Una delle INFORMATIVA, BASSO, MEDIO, ALTO o CRITICO. |
| Tempo di Allerta | data e ora | Ora in cui è stata individuata la minaccia. |
| Applicazione | corda | Tipo di applicazione del traffico sospetto, ad esempio SSH. |
| InformazioniAutenticazioneEmailPrincipale | corda | Indirizzo di posta elettronica dell'account utente o del servizio autenticato che avvia la richiesta. |
| Informazioni sull'Autorizzazione | corda | Informazioni sulle autorizzazioni o sui ruoli valutati per l'operazione. |
| _BilledSize | autentico | Dimensioni del record in unità di byte |
| Categoria | corda | Sottotipo della minaccia. |
| le CVE | corda | Elenco di CVE associati alla minaccia. |
| IndirizzoIPDiDestinazione | corda | Sospetto indirizzo IP di destinazione del traffico. |
| Porto di Destinazione | corda | Porta di destinazione sospetta del traffico. |
| Dettagli | corda | Informazioni aggiuntive sul tipo di minaccia. |
| Direzione | corda | Direzione del traffico sospetta (da client a server o da server a client). |
| Tempo Trascorso | corda | Tempo trascorso della sessione. |
| InsertId | corda | Identificatore univoco per la voce nel registro. |
| Protocollo IP | corda | Sospetto protocollo IP del traffico. |
| _IsFatturabile | corda | Specifica se l'ingestione dei dati è soggetta a fatturazione. Quando il valore di _IsBillable è false, l'ingestione non viene fatturata all'account Azure. |
| JsonPayloadName | corda | Nome della minaccia. |
| JsonPayloadType | corda | Tipo di minaccia. |
| Nome del log | corda | Nome completo del log, incluso il percorso della risorsa. |
| Nome metodo | corda | Nome del metodo o della funzione API richiamato. |
| Rete | corda | La rete associata all'endpoint IDS. |
| NumResponseItems | corda | Numero di elementi restituiti nella risposta, se applicabile. |
| OperationFirst | Bool | Indica se si tratta della prima voce di log in una sequenza di operazioni. |
| OperationId | corda | Identificatore univoco per l'operazione, utile per il rilevamento e la correlazione tra i log. |
| OperationLast | Bool | Indica se si tratta dell'ultima voce di log in una sequenza di operazioni. |
| OperationProducer | corda | Componente o servizio che ha generato l'operazione. |
| Tipo di Payload | corda | Tipo o formato del payload associato alla richiesta. |
| Ricevi Timestamp | data e ora | Ora in cui la voce di log è stata ricevuta da Cloud Logging. |
| ConteggioRipetizioni | corda | Numero di sessioni con lo stesso indirizzo IP di origine, IP di destinazione, applicazione e tipo visualizzato entro 5 secondi. |
| RequestEndpointId | corda | Identificatore univoco dell'endpoint che ha gestito la richiesta. |
| RequestEndpointName | corda | Nome dell'endpoint a cui è stata inviata la richiesta. |
| RequestEndpointNetwork | corda | Percorso di rete o nome tramite cui è stato eseguito l'accesso all'endpoint. |
| RequestEndpointSeverity | corda | Gravità associata all'endpoint nel contesto del rilevamento delle minacce o dell'accesso a esse. |
| RichiediEccezioniDiMinacciaPerEndpoint | corda | Eccezioni alle minacce applicate all'endpoint per questa richiesta, se presenti. |
| RequestEndpointTrafficLogs | corda | Dettagli o riferimenti ai log del traffico correlati alla richiesta dell'endpoint. |
| RequestMetadataCallerIP | corda | Indirizzo IP del chiamante che ha avviato la richiesta. |
| RequestMetadataDestinationAttributes | corda | Attributi di metadati relativi al servizio o alla risorsa di destinazione. |
| RequestMetadataRequestAttributesAuth | corda | Attributi di richiesta correlati all'autenticazione, ad esempio token o livelli di autenticazione. |
| MotivoAttributiRichiestaDatiRichiesta | corda | Motivo della richiesta, ad esempio un'azione di criteri o una modifica avviata dall'utente. |
| RichiestaMetadataAttributiRichiestaTempo | data e ora | Timestamp di quando sono stati registrati gli attributi della richiesta. |
| RequestName | corda | Nome o identificatore della risorsa a cui si accede o viene modificato nella richiesta. |
| RichiestaGenitore | corda | Risorsa padre della richiesta, che indica la gerarchia o il contesto. |
| Tipo di richiesta | corda | Tipo di richiesta. |
| RichiediMascherePercorsiAggiornamento | corda | I percorsi da aggiornare nella richiesta. |
| ResourceLabelsId | corda | Identificatore univoco per la risorsa coinvolta nella voce di log. |
| ResourceLabelsLocation | corda | Posizione geografica o regionale della risorsa. |
| ResourceLabelsMethod | corda | Metodo o operazione eseguita sulla risorsa, spesso collegata a una chiamata API o a un metodo del servizio. |
| ResourceLabelsProjectId | corda | ID progetto associato alla risorsa, che in genere rappresenta il progetto Google Cloud. |
| ContenitoreEtichetteRisorsa | corda | Nome del contenitore o raggruppamento logico a cui appartiene la risorsa , ad esempio cartella, organizzazione. |
| ResourceLabelsService | corda | Etichetta del servizio che indica il servizio cloud. |
| PosizioneRisorsaPosizioniAttuali | corda | Posizione fisica o logica corrente della risorsa al momento dell'entrata del log. |
| NomeRisposta | corda | Nome o ID della risorsa restituita nella risposta. |
| ResponseNetwork | corda | Percorso di rete o identificatore associato alla risposta. |
| Gravità della Risposta | corda | Livello di gravità della risposta, in particolare nel contesto di errori o avvisi. |
| ResponseState | corda | Stato o risultato dell'azione di risposta eseguita per la minaccia rilevata. |
| EccezioniDiMinacciaRisposta | corda | Elenco di eventuali eccezioni alle minacce applicate durante la risposta, consentendo a le minacce specifiche di bypassare il controllo. |
| ResponseTrafficLogs | Bool | Indica se i log del traffico sono stati acquisiti per la sessione o la risposta alle minacce. |
| Tipo di Risposta | corda | Tipo o formato della risposta restituita dall'operazione. |
| Nome del servizio | corda | Nome del servizio cloud associato alla voce di log o al rilevamento delle minacce. |
| ID della sessione | corda | Identificatore numerico interno applicato a ogni sessione. |
| Severità | corda | Indica il livello di gravità dell'evento o della voce del log. |
| Indirizzo IP di origine | corda | Sospetto indirizzo IP di origine del traffico. |
| SourcePort | corda | Porta di origine del traffico. |
| SourceSystem | corda | Tipo di agente da cui l'evento è stato registrato. Ad esempio, OpsManager per l'agente Windows: connessione diretta o tramite Operations Manager; Linux per tutti gli agenti Linux; oppure Azure per la diagnostica di Azure. |
| Ora di Inizio | data e ora | Ora di inizio della sessione. |
| stato | corda | Stato dell'operazione o della richiesta, ad esempio SUCCESS, FAILURE o ERROR. |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| ThreatId (Identificatore di Minaccia) | corda | Identificatore univoco della minaccia. |
| TimeGenerated | data e ora | La marca temporale in cui la voce di log è stata generata e inserita dal sistema di logging. |
| Marca temporale: | data e ora | Timestamp originale dell'evento registrato dal sistema di origine. |
| TotalBytes | corda | Numero totale di byte trasferiti nella sessione. |
| PacchettiTotali | corda | Numero totale di pacchetti trasferiti nella sessione. |
| TIPO | corda | Nome della tabella |
| URIOrFilename | corda | URI o nome file della minaccia pertinente, se applicabile. |