Microsoft 模块
用于摄取 Microsoft Defender ATP 的模块。
-
microsoft.defender_atp.lastUpdateTime -
警报上次更新的日期和时间(UTC)。
类型:日期
-
microsoft.defender_atp.resolvedTime -
警报状态更改为“已解决”的日期和时间。
类型:日期
-
microsoft.defender_atp.incidentId -
警报的事故 ID。
类型:关键字
-
microsoft.defender_atp.investigationId -
与警报相关的调查 ID。
类型:关键字
-
microsoft.defender_atp.investigationState -
调查的当前状态。
类型:关键字
-
microsoft.defender_atp.assignedTo -
警报的所有者。
类型:关键字
-
microsoft.defender_atp.status -
指定警报的当前状态。可能的值为:未知、新建、进行中和已解决。
类型:关键字
-
microsoft.defender_atp.classification -
警报的规范。可能的值为:未知、误报、真阳性。
类型:关键字
-
microsoft.defender_atp.determination -
指定警报的判定结果。可能的值为:不可用、APT、恶意软件、安全人员、安全测试、不需要的软件、其他。
类型:关键字
-
microsoft.defender_atp.threatFamilyName -
威胁家族。
类型:关键字
-
microsoft.defender_atp.rbacGroupName -
与警报相关的用户组
类型:关键字
-
microsoft.defender_atp.evidence.domainName -
与警报相关的域名
类型:关键字
-
microsoft.defender_atp.evidence.ipAddress -
警报中涉及的 IP 地址
类型:IP
-
microsoft.defender_atp.evidence.aadUserId -
警报中涉及的用户 ID
类型:关键字
-
microsoft.defender_atp.evidence.accountName -
警报中涉及的用户用户名
类型:关键字
-
microsoft.defender_atp.evidence.entityType -
证据的类型
类型:关键字
-
microsoft.defender_atp.evidence.userPrincipalName -
警报中涉及的用户主体名称
类型:关键字
用于摄取 Microsoft Defender ATP 的模块。
-
microsoft.m365_defender.incidentId -
唯一标识符,用于表示事件。
类型:关键字
-
microsoft.m365_defender.redirectIncidentId -
仅在事件作为事件处理逻辑的一部分与另一个事件一起分组时填充。
类型:关键字
-
microsoft.m365_defender.incidentName -
事件的名称。
类型:关键字
-
microsoft.m365_defender.determination -
指定事件的判定结果。属性值:不可用、APT、恶意软件、安全人员、安全测试、不需要的软件、其他。
类型:关键字
-
microsoft.m365_defender.investigationState -
调查的当前状态。
类型:关键字
-
microsoft.m365_defender.assignedTo -
警报的所有者。
类型:关键字
-
microsoft.m365_defender.tags -
与事件关联的自定义标签数组,例如,用于标记具有共同特征的一组事件。
类型:关键字
-
microsoft.m365_defender.status -
指定警报的当前状态。可能的值为:未知、新建、进行中和已解决。
类型:关键字
-
microsoft.m365_defender.classification -
警报的规范。可能的值为:未知、误报、真阳性。
类型:关键字
-
microsoft.m365_defender.alerts.incidentId -
唯一标识符,用于表示此警报关联的事件。
类型:关键字
-
microsoft.m365_defender.alerts.resolvedTime -
警报解决的时间。
类型:日期
-
microsoft.m365_defender.alerts.status -
对警报进行分类(新建、活动或已解决)。
类型:关键字
-
microsoft.m365_defender.alerts.severity -
相关警报的严重性。
类型:关键字
-
microsoft.m365_defender.alerts.creationTime -
警报首次创建的时间。
类型:日期
-
microsoft.m365_defender.alerts.lastUpdatedTime -
警报上次更新的时间。
类型:日期
-
microsoft.m365_defender.alerts.investigationId -
此警报触发的自动调查 ID。
类型:关键字
-
microsoft.m365_defender.alerts.userSid -
相关用户的 SID
类型:关键字
-
microsoft.m365_defender.alerts.detectionSource -
最初检测到威胁的服务。
类型:关键字
-
microsoft.m365_defender.alerts.classification -
事件的规范。属性值:未知、误报、真阳性或 null。
类型:关键字
-
microsoft.m365_defender.alerts.investigationState -
有关调查当前状态的信息。
类型:关键字
-
microsoft.m365_defender.alerts.determination -
指定事件的判定结果。属性值:不可用、APT、恶意软件、安全人员、安全测试、不需要的软件、其他或 null
类型:关键字
-
microsoft.m365_defender.alerts.assignedTo -
事件的所有者,如果未分配所有者,则为 null。
类型:关键字
-
microsoft.m365_defender.alerts.actorName -
与警报关联的活动组(如果有)。
类型:关键字
-
microsoft.m365_defender.alerts.threatFamilyName -
与此警报关联的威胁家族。
类型:关键字
-
microsoft.m365_defender.alerts.mitreTechniques -
攻击技术,与 MITRE ATT&CK™ 框架保持一致。
类型:关键字
-
microsoft.m365_defender.alerts.entities.entityType -
已确定为特定警报的一部分或与之相关的实体。属性值:用户、IP、URL、文件、进程、邮箱、邮件消息、邮件群集、注册表。
类型:关键字
-
microsoft.m365_defender.alerts.entities.accountName -
相关用户的帐户名称。
类型:关键字
-
microsoft.m365_defender.alerts.entities.mailboxDisplayName -
相关邮箱的显示名称。
类型:关键字
-
microsoft.m365_defender.alerts.entities.mailboxAddress -
相关邮箱的邮件地址。
类型:关键字
-
microsoft.m365_defender.alerts.entities.clusterBy -
如果 entityType 为 MailCluster,则为元数据列表。
类型:关键字
-
microsoft.m365_defender.alerts.entities.sender -
相关电子邮件消息的发件人。
类型:关键字
-
microsoft.m365_defender.alerts.entities.recipient -
相关电子邮件消息的收件人。
类型:关键字
-
microsoft.m365_defender.alerts.entities.subject -
相关电子邮件消息的主题。
类型:关键字
-
microsoft.m365_defender.alerts.entities.deliveryAction -
相关电子邮件消息的投递状态。
类型:关键字
-
microsoft.m365_defender.alerts.entities.securityGroupId -
与电子邮件消息相关的用户的安全组 ID。
类型:关键字
-
microsoft.m365_defender.alerts.entities.securityGroupName -
与电子邮件消息相关的用户的安全组名称。
类型:关键字
-
microsoft.m365_defender.alerts.entities.registryHive -
如果 eventType 为注册表,则引用事件相关的注册表中的哪个 Hive。例如:HKEY_LOCAL_MACHINE。
类型:关键字
-
microsoft.m365_defender.alerts.entities.registryKey -
引用与事件相关的注册表项。
类型:关键字
-
microsoft.m365_defender.alerts.entities.registryValueType -
与事件相关的注册表项/值对的值类型。
类型:关键字
-
microsoft.m365_defender.alerts.entities.deviceId -
与事件相关的设备的唯一 ID。
类型:关键字
-
microsoft.m365_defender.alerts.entities.ipAddress -
与事件相关的 IP 地址。
类型:关键字
-
microsoft.m365_defender.alerts.devices -
与调查相关的设备。
类型:扁平化