この表は、ネットワーク アクセス アラートを含む ID とネットワーク アクセスの一部です。 これらのアラートは、ネットワーク アクセスの状態を把握するために利用できます。
テーブル属性
| 属性 |
価値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ、ネットワーク、IT & 管理ツール |
| ソリューション |
ログ管理 |
| 基本的なログ |
イエス |
| インジェスト時の変換 |
いいえ |
| サンプル クエリ |
- |
列
| コラム |
タイプ |
説明 |
| アラートタイプ |
ひも |
通知の種類名。 同じ種類の通知は、同じ名前にする必要があります。 このフィールドは、アラート インスタンスではなく、アラートの種類を表すキー付き文字列です。 同じ検出ロジック/分析からのすべてのアラート インスタンスは、アラートの種類の値が同じである必要があります。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| コンポーネント名 |
ひも |
アラートを生成した製品内のコンポーネントの名前。 これはオプションのフィールドで、外部エンド ユーザーが製品内の特定のコンポーネントを認識している製品に対してのみ設定できます。 さまざまな種類の SKU/バンドルを提供する製品の場合、このフィールドには SKU またはバンドル名を保持できます。 |
| 作成日時 |
datetime |
イベントが生成された日時 (UTC)。 |
| 説明 |
ひも |
接続またはセッションで送信元から送信先に送信されたバイト数。 |
| 検出技術 |
ひも |
アラートの脅威検知技術を保持するオプションフィールド。 |
| 表示名 |
ひも |
通知の表示名。この値は、ユーザーにそのままの状態で、または追加のパラメーターとともに表示されます。 |
| 拡張プロパティ |
ダイナミック |
ユーザーに表示されるフィールドのセット。 プロバイダーは、アラートの一部である必要がある任意のユーザー設定フィールドをここに送信できます。 |
| 最初のアクティビティ日時 |
datetime |
アラートの影響の開始時刻 (アラートに含まれる最初のイベントまたはアクティビティの時刻)。 このフィールドは、UTC タイムゾーン情報を含め、ISO8601に従って文字列をシリアル化します。 |
| ID (アイディー) |
ひも |
各ネットワーク アクセス アラートの一意の識別子。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データのインジェストが課金対象であるかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| プレビュー中 |
ブール |
IsPreview は、アラートがパブリック プレビュー状態にあり、まだ GA の対象にならない場合に true として定義されます。 既定では、値は false です。 |
| 最終活動日時 |
datetime |
アラートの影響終了時刻 (アラートに含まれる最後のイベントまたはアクティビティの時刻)。 このフィールドは、UTC タイムゾーン情報を含め、ISO8601に従って文字列をシリアル化します。 |
| ポリシー識別子 |
ひも |
アラートを生成したネットワーク アクセス トラフィックに関連付けられているポリシー ID。 |
| ProductName |
ひも |
このアラートを発行した製品の名前 (Azure Security Center、Azure ATP、Microsoft Defender ATP、O365 ATP、MCAS など)。 |
| 関連リソース |
ダイナミック |
アラートに関連するエンティティのリスト。 このリストは、さまざまな種類のエンティティを組み合わせて保持できます。 エンティティの種類には、Entities セクションで定義されているどの種類でも指定できます。 以下の一覧にないエンティティも送信できますが、処理される保証はありません (アラートは新しい種類のエンティティで運用に失敗しません)。 |
| 深刻さ |
ひも |
プロバイダーによって報告される通知の重要度。 使用可能な値: 情報、低、中、高。 |
| SourceSystem |
ひも |
イベントを収集したエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| SubTechniques |
ひも |
アラートの背後にあるキル チェーン関連のサブ手法を指定する省略可能なフィールド。 各サブ手法は、その ID を使用してこの一覧に追加する必要があり、意図フィールドに少なくとも 1 つの一致する意図が必要です。 |
| 手法 |
ひも |
アラートの背後にあるキル チェーン関連の手法を指定する省略可能なフィールド。 各手法は、その ID を使用してこの一覧に追加する必要があり、意図フィールドに少なくとも 1 つの一致する意図が必要です。 このフィールドの運用 (予想される手法 ID の形式と意図値に対する照合) は、MITRE att@ckエンタープライズ マトリックス モデル (新しいウィンドウまたはタブで開きます) に従います。各意図を構成するさまざまな手法に関する詳細なガイダンスについては、MITRE のドキュメントを参照してください。 |
| テナント識別子 |
ひも |
Log Analytics ワークスペース ID |
| タイムジェネレーテッド |
datetime |
イベントが生成された日時 (UTC)。 |
| タイプ |
ひも |
テーブルの名前 |
| ベンダー名 |
ひも |
アラートを発生させたベンダーの名前。この値は、ユーザーにそのまま表示されます。 ほとんどの内部セキュリティ製品のアラートでは、"Microsoft" として設定する必要があります。 |