| AlertType |
string |
경고의 형식 이름입니다. 동일한 유형의 경고는 이름이 같아야 합니다. 이 필드는 경고 인스턴스가 아닌 경고 유형을 나타내는 키 문자열입니다. 동일한 검색 논리/분석의 모든 경고 인스턴스는 경고 유형에 대해 동일한 값을 가져야 합니다. |
| _BilledSize |
real |
레코드 크기(바이트) |
| ComponentName |
string |
경고를 생성한 제품 내의 구성 요소 이름입니다. 외부 최종 사용자가 제품 내의 특정 구성 요소를 알고 있는 제품에 대해서만 채워질 수 있는 선택적 필드입니다. 다양한 유형의 SKU/번들을 제공하는 제품의 경우 이 필드는 SKU 또는 번들 이름을 포함할 수 있습니다. |
| CreationDateTime |
날짜/시간 |
이벤트가 생성된 날짜 및 시간(UTC)입니다. |
| 설명 |
string |
연결 또는 세션의 원본에서 대상으로 보낸 바이트 수 |
| DetectionTechnology |
string |
경고 위협 탐지 기술을 보유하는 선택적 필드입니다. |
| DisplayName |
string |
경고의 표시 이름이며, 이 값은 있는 그대로 또는 추가 매개 변수를 사용하여 사용자에게 표시됩니다. |
| ExtendedProperties |
dynamic |
사용자에게 표시될 필드 모음입니다. 공급자는 경고의 일부여야 하는 모든 사용자 지정 필드를 여기에 보낼 수 있습니다. |
| FirstActivityDateTime |
날짜/시간 |
경고의 영향 시작 시간(경고에 포함된 첫 번째 이벤트 또는 활동의 시간)입니다. 이 필드는 UTC 표준 시간대 정보를 포함하여 ISO8601 따라 문자열로 직렬화됩니다. |
| ID |
string |
각 네트워크 액세스 경고에 대한 고유 식별자입니다. |
| _IsBillable |
string |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| IsPreview |
bool |
IsPreview는 경고가 공개 미리 보기 상태이고 아직 GA에 적합하지 않은 경우 true로 정의됩니다. 기본적으로 값은 false입니다. |
| LastActivityDateTime |
날짜/시간 |
경고의 영향 종료 시간(경고에 포함된 마지막 이벤트 또는 활동의 시간)입니다. 이 필드는 UTC 표준 시간대 정보를 포함하여 ISO8601 따라 문자열로 직렬화됩니다. |
| PolicyId |
string |
경고를 생성한 네트워크 액세스 트래픽과 연결된 정책 ID입니다. |
| ProductName |
string |
이 경고를 게시한 제품의 이름(예: Azure Security Center, Azure ATP, Microsoft Defender ATP, O365 ATP, MCAS 등)입니다. |
| RelatedResources |
dynamic |
경고와 관련된 엔터티의 목록입니다. 이 목록에는 다양한 형식의 엔터티가 혼합되어 있습니다. 엔터티 형식은 엔터티 섹션에 정의된 모든 형식일 수 있습니다. 아래 목록에 없는 엔터티도 보낼 수 있지만 처리된다는 보장은 없습니다(경고는 새 유형의 엔터티로 유효성 검사에 실패하지 않음). |
| 심각도
|
string |
공급자가 보고하는 경고의 심각도입니다. 가능한 값: 정보, 낮음, 중간, 높음. |
| SourceSystem |
string |
이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| SubTechniques |
string |
경고 뒤에 킬 체인 관련 하위 기술을 지정하는 선택적 필드입니다. 각 하위 기술은 ID를 사용하여 이 목록에 추가되어야 하며 의도 필드에 하나 이상의 일치하는 의도가 있어야 합니다. |
| 기술 |
string |
경고 뒤에 킬 체인 관련 기술을 지정하는 선택적 필드입니다. 각 기술은 ID를 사용하여 이 목록에 추가되어야 하며 의도 필드에 하나 이상의 일치하는 의도가 있어야 합니다. 이 필드의 유효성 검사(기술 ID의 예상 형식 및 의도 값에 대한 일치)는 MITRE att@ck 엔터프라이즈 매트릭스 모델(새 창 또는 탭에서 열기)을 따르며, 각 의도를 구성하는 다양한 기술에 대한 추가 지침은 MITRE의 설명서에서 찾을 수 있습니다. |
| TenantId |
string |
Log Analytics 작업 영역 ID |
| TimeGenerated |
날짜/시간 |
이벤트가 생성된 날짜 및 시간(UTC)입니다. |
| Type |
string |
테이블의 이름입니다. |
| VendorName |
string |
경고를 발생시킨 공급업체의 이름입니다. 이 값은 사용자에게 있는 그대로 표시됩니다. 대부분의 내부 보안 제품 경고의 경우 'Microsoft'로 설정해야 합니다. |