| 行动 |
字符串 |
要对指示器匹配执行的操作。 |
| Active |
布尔 |
指明指示器是否处于活动状态。 |
| 活动组名称 |
字符串 |
与指标关联的活动组。 |
| 附加信息 |
字符串 |
指示器的自由文本附加信息。 |
| _BilledSize |
实数 |
记录大小(字节) |
| 置信分数 |
实数 |
指示器的置信度评级,从 0 到 100。 |
| 说明 |
字符串 |
指示器的说明。 |
| DiamondModel |
字符串 |
指示器的钻石模型值,对手、功能、基础结构或牺牲品之一。 |
| 域名 |
字符串 |
域名可观测项。 |
| 电子邮件编码 |
字符串 |
可观察的电子邮件编码。 |
| 电子邮件语言 |
字符串 |
可观察的电子邮件语言。 |
| 电子邮件收件人 |
字符串 |
可观测的电子邮件收件人。 |
| 电子邮件发件人地址 |
字符串 |
可观测的电子邮件发件人地址。 |
| 电子邮件发送者名称 |
字符串 |
电子邮件发件人姓名可观测项。 |
| 电子邮件来源域名 |
字符串 |
可观测的电子邮件源域。 |
| 电子邮件源IP地址 |
字符串 |
可观测的电子邮件源 IP 地址。 |
| 电子邮件主题 |
字符串 |
可观测的电子邮件主题。 |
| EmailXMailer |
字符串 |
电子邮件 X-Mailer 可观测项。 |
| 到期日期时间 |
日期/时间 |
指示器到期时间。 |
| ExternalIndicatorId |
字符串 |
来自提交系统的指示器的标识符。 |
| 文件编译日期时间 |
日期/时间 |
可观测的文件编译时间。 |
| 文件创建日期时间 |
日期/时间 |
可观测的文件创建时间。 |
| 文件哈希类型 |
字符串 |
可观测的文件哈希类型。 |
| 文件哈希值 |
字符串 |
可观测的文件哈希值。 |
| FileMutexName |
字符串 |
文件互斥体名称可观测项。 |
| 文件名 |
字符串 |
文件名可观测项。 |
| 文件打包器 |
字符串 |
可观测的文件打包器。 |
| FilePath |
字符串 |
可观测的文件路径。 |
| 文件大小 |
整数 |
可观测的文件大小。 |
| 文件类型 |
字符串 |
可观测的文件类型。 |
| 指标ID |
string |
指示器的唯一标识符,由接收系统计算。 |
| 指标提供者 |
字符串 |
提供指示器的实体名称。 |
| _IsBillable |
字符串 |
指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| KillChainActions |
布尔 |
指示是否设置了杀伤链值“actions”。 |
| KillChainC2 |
布尔 |
指明是否设置了杀伤链值“C2”。 |
| KillChainDelivery |
布尔 |
指示是否设置了杀伤链值“delivery”。 |
| KillChainExploitation |
布尔 |
指示是否设置了杀伤链值“exploitation”。 |
| KillChainReconnaissance |
布尔 |
指示是否设置了杀伤链值“reconniassance”。 |
| KillChainWeaponization |
布尔 |
指示是否设置了杀伤链值“weaponization”。 |
| KnownFalsePositives |
字符串 |
文本描述了指示器可能导致误报的情况。 |
| MalwareNames |
字符串 |
与指示器关联的恶意软件名称列表 |
| NetworkCidrBlock |
字符串 |
网络 CIDR 块可观测项。 |
| NetworkDestinationAsn |
整数 |
网络目标自治系统编号可观测项。 |
| NetworkDestinationCidrBlock |
字符串 |
网络目标 CIDR 块可观测项。 |
| NetworkDestinationIP |
字符串 |
网络目标 IP 地址。 |
| 网络目标端口 |
整数 |
可观测的网络目标端口。 |
| NetworkIP |
字符串 |
可观测的网络 IP 地址。 |
| 网络端口 |
整数 |
可观测的网络端口。 |
| 网络协议 |
整数 |
可观测的网络协议。 |
| NetworkSourceAsn |
整数 |
网络源自治系统编号可观测项。 |
| NetworkSourceCidrBlock |
字符串 |
网络源 CIDR 块可观测项。 |
| NetworkSourceIP |
字符串 |
可观测的网络源 IP 地址。 |
| NetworkSourcePort |
int |
可观测的网络源端口。 |
| PassiveOnly |
布尔 |
指明指示器是否应触发对用户可见的事件。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| 标记 |
字符串 |
自由格式标记。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| ThreatSeverity |
整数 |
指示器严重性分级从 0 到 5。 数值越大,表示严重程度越高。 |
| 威胁类型 |
字符串 |
指示器的威胁类型。 |
| TimeGenerated |
日期/时间 |
指示器引入时间。 |
| 交通灯协议级别 |
字符串 |
行业标准交通灯协议级别,白色、绿色、琥珀色或红色之一。 |
| 类型 |
字符串 |
表的名称 |
| URL |
字符串 |
可观测的 URL。 |
| UserAgent |
字符串 |
可观测的用户代理。 |