你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Sentinel 监视列表包含从 CSV 文件导入的数据,这些数据可用于作为警报/事件条件加入或筛选。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 描述 |
|---|---|---|
| AzureTenantId | 字符串 | 此监视列表表所属的 AAD 租户 ID。 |
| _BilledSize | real | 记录大小(字节) |
| CorrelationId | 字符串 | 相关事件的 ID。 |
| CreatedBy | dynamic | 创建监视列表或监视列表项的用户的 JSON 对象,包括:对象 ID、电子邮件和姓名。 |
| 创建时间(UTC) | datetime | 监视列表或监视列表项首次创建的时间 (UTC)。 |
| 默认时长 | 字符串 | 描述每个关注列表项在创建时应继承的默认持续时间的 JSON 对象。 默认的持续时间格式为 :P(n)Y(n)M(n)DT(n)H(n)M(n)S,其中 P、Y、M、DT、H、M 和 S 均为不变式。 例如,P3Y6M4DT12H30M9S 表示持续时间为三年六个月四天十二小时三十分钟九秒。 |
| _DTItemId | 字符串 | 关注列表或关注列表项的唯一 ID。 例如,关注列表“RiskyUsers”可以包含关注列表项“Name:John Doe; email:johndoe@contoso.com”。 监视列表中的项目具有唯一的 ID,并属于一个监视列表。 可以使用“WatchlistId”来标识包含的监视列表。 |
| _DTItemStatus | 字符串 | 监视列表或监视列表项是否由用户创建、更新或删除。 例如,关注列表“RiskyUsers”可以包含关注列表项“Name:John Doe; email:johndoe@contoso.com”。 如果添加了监视列表,则状态为“已创建”。 如果监视列表的名称从“RiskyUsers”更新为“RiskyEmployees”,则状态为“Updated”。 |
| _DTItemType | 字符串 | 区分监视列表和监视列表项。 例如,监视列表“RiskyUsers”可以包含监视列表项“Name:John Doe; email:johndoe@contoso.com”。 监视列表项类型将属于某个监视列表类型,包含的监视列表可以使用“WatchlistId”来识别。 |
| _DTTimestamp | 日期/时间 | 事件生成的时间 (UTC)。 |
| EntityMapping | 动态 | 包含 Azure Sentinel 实体到输入列的映射的 JSON 对象。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 最后更新时间UTC | 日期/时间 | 监视列表或监视列表项最后一次更新的时间 (UTC)。 |
| 备注 | 字符串 | 用户提供的注释。 |
| 供应商 | string | 监视列表的输入提供程序。 |
| SearchKey | 字符串 | SearchKey 用于在使用关注列表与其他数据联接时优化查询性能。 例如,启用包含 IP 地址的列作为指定的 SearchKey 字段,然后使用该字段按 IP 地址连接其他事件表。 |
| 源 | 字符串 | 关注列表的输入源。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理(无论是直接连接还是使用 Operations Manager)的 OpsManager,适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断的 Azure |
| 标记 | string | 用户提供的标记的 JSON 数组。 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 生成事件时的时间戳 (UTC)。 |
| TimeToLive | 日期/时间 | 监视列表记录的生存时间,以日期和时间表示(例如 2020-08-20T17:00:00.9618037Z)。 其原始值继承自监视列表的默认持续时间。 如果 TimeToLive 已经过期,则该记录被视为已删除。 通过更新 TimeToLive 值,记录的持续时间可随时延长。 |
| 类型 | string | 表的名称 |
| UpdatedBy | 动态 | 最后更新监视列表或监视列表项的用户的 JSON 对象,包括:对象 ID、电子邮件和姓名。 |
| WatchlistAlias | 字符串 | 引用监视列表的唯一字符串。 |
| WatchlistCategory | string | 用户提供的监视列表类别。 |
| WatchlistId | 字符串 | 资源管理器监视列表资源名称。 |
| WatchlistItem | 动态 | 包含来自输入监视列表源的键值对的 JSON 对象。 |
| WatchlistItemId | 字符串 | 监视列表项的唯一 ID。 |
| WatchlistName | 字符串 | 监视列表的显示名称。 |