Eine Liste der Konten, die der Warnung zugeordnet sind

Kontoname

NETBIOS-Domänenname, wie er im Warnungsformat angezeigt wird

Der vollqualifizierte Dns-Domänenname

Suffix des Benutzerprinzipalnamens

Kontosicherheits-ID, z. B. S-1-5-18

Microsoft Entra ID-Mandanten-ID, falls bekannt

Microsoft Entra ID-Benutzer-ID, falls bekannt

Die Microsoft Entra ID Passport-Benutzer-ID, falls bekannt

Bestimmt, ob es sich um ein Domänenkonto handelt.

Das ObjectGUID-Attribut ist ein einwertiges Attribut, das der eindeutige Bezeichner für das Objekt ist, das von der Microsoft Entra-ID zugewiesen wird.

Eine Liste der URLs, die der Warnung zugeordnet sind

Eine Liste der Hosts, die der Warnung zugeordnet sind

DNS-Domäne, zu der dieser Host gehört

NT-Domäne, zu der dieser Host gehört

Hostname ohne das Domänensuffix

Hostname (pre-windows2000)

Die OMS-Agent-ID, wenn der Host OMS-Agent installiert hat

Einer der folgenden Werte: Linux, Windows, Android, IOS

Eine Freitextdarstellung des Betriebssystems

Bestimmt, ob dieser Host zu einer Domäne gehört.

Die Azure-Ressourcen-ID der VM, falls bekannt

Eine Liste der IPs, die der Warnung zugeordnet sind

IP-Adresse

Eine Liste der DNS-Domänen, die der Warnung zugeordnet sind

Der Name des DNS-Eintrags, der der Warnung zugeordnet ist

Eine Liste der Dateihashes, die der Warnung zugeordnet sind

Dateihashwert

Die Dateihashalgorithmustypen

Der Status des Vorfalls

Die Bezeichnungen des Vorfalls

Der Titel des Vorfalls

Die Beschreibung des Vorfalls

Der Zeitpunkt, zu dem der Vorfall beendet wurde

Die Startzeit des Vorfalls

Die Aktualisierungszeit des Vorfalls

Die Anzahl des Vorfalls

Der Zeitpunkt, zu dem der Vorfall erstellt wurde

Der Schweregrad des Vorfalls

Die zugehörigen Warnungs-IDs des Vorfalls

Die Anzahl der Warnungen im Vorfall

Die Anzahl der Lesezeichen im Vorfall

Die Anzahl der Kommentare im Vorfall

Liste der Produktnamen von Warnungen im Vorfall

Die URL zum Vorfall im Microsoft Defender-Portal

Die Vorfallnummer des Vorfalls, mit dem der aktuelle Vorfall zusammengeführt wurde

Die URL zum Vorfall, mit dem der aktuelle Vorfall zusammengeführt wurde

Die Taktiken, die mit Vorfällen verbunden sind

Die Techniken, die mit der Taktik des Vorfalls verbunden sind'

Der Name des Tags

Der Typ des Tags

Die E-Mail des Benutzers, dem der Vorfall zugewiesen ist.

Der Name des Benutzers, dem der Vorfall zugewiesen ist. (assignedTo-Feld)

Die Objekt-ID des Benutzers, dem der Vorfall zugewiesen ist.

Der Benutzerprinzipalname des Benutzers, dem der Vorfall zugewiesen ist.

Die vollständige qualifizierte ARM-ID der Textmarke.

Der ARM-Name der Textmarke (GUID)

Represents HuntingBookmark Properties JSON.

Die vollständige qualifizierte ARM-ID der Warnung.

Der ARM-Name der Warnung (GUID)

Represents Alert Properties JSON.

Der Anzeigename des Lesezeichens

Die erstellungszeit des Lesezeichens

Die aktualisierte Uhrzeit der Textmarke

Represents UserInfo Properties JSON.

Represents UserInfo Properties JSON.

Die Ereigniszeit der Textmarke

Die Notizen der Textmarke

Die Beschriftungen der Textmarke

Die Abfrage der Textmarke

Das Abfrageergebnis der Textmarke

Der Anzeigename des Diagrammelements, bei dem es sich um eine kurz lesbare Beschreibung der Instanz des Diagrammelements handelt. Diese Eigenschaft ist optional und kann vom System generiert werden.

Der Anzeigename der Warnung

In der Zeitplanwarnung ist dies die Analyseregel-ID.

Dies ist der Link zur Warnung im orignalen Anbieter.

Anzeigename der Hauptentität, über die berichtet wird.

Das Konfidenzniveau dieser Warnung.

Die Beschreibung der Warnung.

Die Auswirkungsendezeit der Warnung (die Uhrzeit des letzten Ereignisses, das zur Warnung beiträgt).

Der Bezeichner der Warnung innerhalb des Produkts, das die Warnung generiert hat.

Der Name des Produkts, das diese Warnung veröffentlicht hat.

Liste der manuellen Aktionselemente, die zum Beheben der Warnung ausgeführt werden sollen.

Der Schweregrad der Warnung

Die Auswirkung der Startzeit der Warnung (der Zeitpunkt des ersten Ereignisses, das zur Warnung beiträgt).

Der Lebenszyklusstatus der Warnung.

Enthält die Produkt-ID der Warnung für das Produkt.

Liste der Warnungstaktiken.

Der Zeitpunkt, zu dem die Warnung generiert wurde.

Die Abfrage, die verwendet wird, um zu entscheiden, ob die Warnung ausgelöst werden soll (Nur Warnung planen).

Die Startzeit der Abfrage, die verwendet wird, um zu entscheiden, ob die Warnung ausgelöst werden soll (Nur Warnung planen).

Die Startzeit der Abfrage, die verwendet wird, um zu entscheiden, ob die Warnung ausgelöst werden soll (Nur Warnung planen).

Der Operator, der verwendet wird, um zu entscheiden, ob die Warnung ausgelöst werden soll (Nur Warnung planen).

Der Schwellenwert, der verwendet wird, um zu entscheiden, ob die Warnung ausgelöst werden soll (Nur Warnung planen).

Benutzerdefinierte Ereignisdetails, die der Warnung durch die Analyseregeln hinzugefügt werden (nur geplante Warnungen). Um dieses Feld zu verwenden, folgen Sie der Aktion "JSON analysieren", und verwenden Sie eine Beispielnutzlast aus einer vorhandenen Warnung, um das Schema zu simulieren.

Die Ressourcenbezeichner der Warnung

Stellt einen Warnungsressourcenbezeichner dar.

Die vollständige qualifizierte ARM-ID des Vorfalls.

Der ARM-Name des Vorfalls (GUID)

Represents the Incident Properties JSON.

Die vollständige qualifizierte ARM-ID des Vorfalls.

Der ARM-Name des Vorfalls (GUID)

Represents the Incident Properties JSON.

Zusätzlichen Dateneigenschaftenbehälter für Vorfälle.

Der Grund, warum der Vorfall geschlossen wurde

Beschreibt den Grund, warum der Vorfall geschlossen wurde.

Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde

Der Zeitpunkt, zu dem der Vorfall erstellt wurde

Die Beschreibung des Vorfalls

Zeitpunkt der ersten Aktivität im Vorfall

Die Deep-Link-URL zum Vorfall im Azure-Portal

Die vom Vorfallanbieter zugewiesene Vorfall-ID

Eine sequenzielle Nummer, die zum Identifizieren des Vorfalls in Microsoft Sentinel verwendet wird.

Der Zeitpunkt der letzten Aktivität im Vorfall

Der Schweregrad des Vorfalls

Der Status des Vorfalls

Der Titel des Vorfalls

Liste der Tags, die diesem Vorfall zugeordnet sind

Zeitpunkt der letzten Aktualisierung des Vorfalls

Informationen zum Benutzer, dem ein Vorfall zugewiesen ist

Liste der Ressourcen-IDs von Analyseregeln im Zusammenhang mit dem Vorfall

Liste der Kommentare zu diesem Vorfall.

Zusätzlichen Dateneigenschaftenbehälter für Vorfälle.

Der Grund, warum der Vorfall geschlossen wurde

Beschreibt den Grund, warum der Vorfall geschlossen wurde.

Der Klassifizierungsgrund, mit dem der Vorfall geschlossen wurde

Der Zeitpunkt, zu dem der Vorfall erstellt wurde

Die Beschreibung des Vorfalls

Zeitpunkt der ersten Aktivität im Vorfall

Die Deep-Link-URL zum Vorfall im Azure-Portal

Die vom Vorfallanbieter zugewiesene Vorfall-ID

Eine sequenzielle Nummer, die zum Identifizieren des Vorfalls in Microsoft Sentinel verwendet wird.

Der Zeitpunkt der letzten Aktivität im Vorfall

Der Schweregrad des Vorfalls

Der Status des Vorfalls

Der Titel des Vorfalls

Liste der Tags, die diesem Vorfall zugeordnet sind

Zeitpunkt der letzten Aktualisierung des Vorfalls

Informationen zum Benutzer, dem ein Vorfall zugewiesen ist

Liste der Ressourcen-IDs von Analyseregeln im Zusammenhang mit dem Vorfall

Liste der Kommentare zu diesem Vorfall.

Liste der Warnungen im Zusammenhang mit diesem Vorfall.

Liste der Lesezeichen im Zusammenhang mit diesem Vorfall.

Liste der Entitäten im Zusammenhang mit dem Vorfall, kann Entitäten unterschiedlicher Typen enthalten.

Die Namen der Felder, die im Vorfall aktualisiert wurden

Zeitpunkt des Vorfallaktualisierungsereignisses

Der Akteur, der den Vorfall aktualisiert hat: Benutzer, externe Anwendung, Playbook, Automatisierungsregel, Microsoft 365 Defender oder Warnungsgruppierung

Der Name des Benutzers, der Anwendung, der Automatisierungsregel oder des Playbook, das den Vorfall aktualisiert hat

Liste der Warnungen, die diesem Vorfall hinzugefügt wurden.

Liste der Tags, die diesem Vorfall hinzugefügt wurden

Liste der Kommentare, die diesem Vorfall hinzugefügt wurden.

Die Taktiken, die mit Vorfällen verbunden sind

Die Abonnement-ID des Microsoft Sentinel-Arbeitsbereichs

Die Ressourcengruppe des Microsoft Sentinel-Arbeitsbereichs

Der Name des Microsoft Sentinel-Arbeitsbereichs

Die Arbeitsbereichs-ID des Vorfalls.

Abrufen eines Vorfalls anhand der ARM-ID

Name des Produkts, das diese Warnung veröffentlicht hat

Typname der Warnung

Startzeit der Warnung, als das erste beitragende Ereignis erkannt wurde

Endzeit der Warnung, wenn das letzte beitragende Ereignis erkannt wurde

Der Zeitpunkt, zu dem die Warnung generiert wurde

Der Schweregrad der Warnung, wie sie vom Anbieter gemeldet wird

Eindeutige ID für die vom Anbieter festgelegte spezifische Warnungsinstanz

Eindeutige ID für die bestimmte Warnungsinstanz

Anzeigename der Warnung

Warnungsbeschreibung

Eine Liste der Entitäten im Zusammenhang mit der Warnung kann mehrere Entitätstypen enthalten.

Eine Liste der Felder, die dem Benutzer angezeigt werden

Die ID des Arbeitsbereichs der Warnung

Warnungsressourcengruppe der Warnung

Die ID des Abonnements der Warnung

Eine Liste mit Links im Zusammenhang mit der Warnung kann mehrere Typen enthalten.

Die vollständige qualifizierte ARM-ID des Kommentars.

Der ARM-Name des Kommentars (GUID)

Represents Incident Comment Properties JSON.

Die vollständige qualifizierte ARM-ID des Vorgangs.

Der ARM-Name der Aufgabe

Stellt Vorfallaufgabeneigenschaften dar.

Die vollständige qualifizierte ARM-ID der Vorfallbeziehung.

Der ARM-Name der Vorfallbeziehung

Stellt eine JSON-Eigenschaft für die Vorfallbeziehung dar.

Beschreibt Watchlist-Eigenschaften

Beschreibt Watchlist-Eigenschaften

Die ID (eine GUID) der Watchlist

Der Anzeigename der Watchlist

Der Anbieter der Watchlist

Die Quelle der Watchlist

Der Zeitpunkt, zu dem die Watchlist erstellt wurde

Zeitpunkt der letzten Aktualisierung der Watchlist

Benutzerinformationen, die eine Aktion ausgeführt haben

Benutzerinformationen, die eine Aktion ausgeführt haben

Eine Beschreibung der Watchlist

Der Typ der Watchlist

Der Alias der Watchlist

Ein Flag, das angibt, ob die Watchlist gelöscht wird oder nicht.

Liste der Bezeichnungen, die für diese Watchlist relevant sind

Die Standarddauer einer Watchlist (im ISO 8601-Dauerformat)

Die tenantId, zu der die Watchlist gehört

Die Anzahl der Zeilen in einem CSV/tsv-Inhalt, der vor dem Header übersprungen werden soll

Der unformatierte Inhalt, der überwachungslistenelemente darstellt, die erstellt werden sollen. Bei csv/tsv-Inhaltstyp handelt es sich um den Inhalt der Datei, die vom Endpunkt analysiert wird.

Der Suchschlüssel wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie z. B. eine Spalte mit IP-Adressen, um das angegebene Suchschlüsselfeld zu sein, und verwenden Sie dieses Feld dann als Schlüsselfeld, wenn sie mit anderen Ereignisdaten nach IP-Adresse verknüpfen.

Der Inhaltstyp des rohen Inhalts. Beispiel: Text/CSV oder Text/tsv

Der Status des Watchlist-Uploads: Neu, InProgress oder Abgeschlossen. Pls Hinweis: Wenn ein Watchlist-Uploadstatus gleich "InProgress" ist, kann die Watchlist nicht gelöscht werden.

Die Anzahl der Watchlist-Elemente in der Watchlist

Die ID (eine GUID) der Watchlist

Der Anzeigename der Watchlist

Der Anbieter der Watchlist

Der Dateiname der Watchlist mit dem Namen "source"

Der sourceType der Watchlist

Der Zeitpunkt, zu dem die Watchlist erstellt wurde

Zeitpunkt der letzten Aktualisierung der Watchlist

Benutzerinformationen, die eine Aktion ausgeführt haben

Benutzerinformationen, die eine Aktion ausgeführt haben

Eine Beschreibung der Watchlist

Der Typ der Watchlist

Der Alias der Watchlist

Ein Flag, das angibt, ob die Watchlist gelöscht wird oder nicht.

Liste der Bezeichnungen, die für diese Watchlist relevant sind

Die Standarddauer einer Watchlist (im ISO 8601-Dauerformat)

Die tenantId, zu der die Watchlist gehört

Die Anzahl der Zeilen in einem CSV/tsv-Inhalt, der vor dem Header übersprungen werden soll

Der unformatierte Inhalt, der überwachungslistenelemente darstellt, die erstellt werden sollen. Bei csv/tsv-Inhaltstyp handelt es sich um den Inhalt der Datei, die vom Endpunkt analysiert wird.

Der Suchschlüssel wird verwendet, um die Abfrageleistung zu optimieren, wenn Watchlists für Verknüpfungen mit anderen Daten verwendet werden. Aktivieren Sie z. B. eine Spalte mit IP-Adressen, um das angegebene Suchschlüsselfeld zu sein, und verwenden Sie dieses Feld dann als Schlüsselfeld, wenn sie mit anderen Ereignisdaten nach IP-Adresse verknüpfen.

Der Inhaltstyp des rohen Inhalts. Beispiel: Text/CSV oder Text/tsv

Der Status des Watchlist-Uploads: Neu, InProgress oder Abgeschlossen. Pls Hinweis: Wenn ein Watchlist-Uploadstatus gleich "InProgress" ist, kann die Watchlist nicht gelöscht werden.

Die vollqualifizierte ID des Watchlist-Elements.

Entspricht watchlistItem ID (GUID)

Entspricht etag (GUID)

Entspricht dem WatchlistItem-Typ

Details zur Watchlist-Elemententität.

Beschreibt Textmarkeneigenschaften

URL zum Abrufen der nächsten Gruppe von Fällen.

Array von Textmarken.

Der Zeitpunkt, zu dem die Textmarke erstellt wurde

Benutzerinformationen, die eine Aktion ausgeführt haben

Der Anzeigename des Lesezeichens

Liste der Bezeichnungen, die für diese Textmarke relevant sind

Die Notizen der Textmarke

Die Abfrage der Textmarke.

Das Abfrageergebnis der Textmarke.

Zeitpunkt der letzten Aktualisierung der Textmarke

Benutzerinformationen, die eine Aktion ausgeführt haben

Die Uhrzeit des Lesezeichenereignisses

Die Startzeit für die Abfrage

Die Endzeit für die Abfrage

Stellt einen Vorfall in Azure Security Insights dar.

Die E-Mail des Benutzers.

Der Name des Benutzers.

Die Objekt-ID des Benutzers.