ASimAuditEventLogs
Tabulka normalizovaných událostí auditu služby Microsoft Sentinel Ukládá události spojené se záznamem auditu informačních systémů a protokoly záznamu auditu aktivity konfigurace systému a změny zásad. Tyto změny často provádějí správci systému, ale můžou je také provádět uživatelé při konfiguraci nastavení svých vlastních aplikací.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/auditeventnormalized |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| ActingAppId | řetězec | ID aplikace, která iniciovala nahlášenou aktivitu, včetně procesu, prohlížeče nebo služby. |
| ActingAppName | řetězec | Název aplikace, která iniciovala nahlášenou aktivitu, včetně služby, adresy URL nebo aplikace SaaS. |
| ActingAppType | řetězec | Typ fungující aplikace. |
| ActingOriginalAppType | řetězec | Jedná se o typ aplikace nahlášený zařízením pro vytváření sestav. |
| ActorOriginalUserType | řetězec | Typ uživatele nahlášený zařízením pro vytváření sestav. |
| ActorScope | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorScopeId | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID přihlašovací relace objektu Actor. |
| ActorUserAadId | řetězec | ID Azure Active Directory objektu actor. |
| ActorUserId | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu actor. |
| ActorUserIdType | řetězec | Typ ID uloženého v poli ActorUserId. |
| ActorUsername | řetězec | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. |
| ActorUsernameType | řetězec | Typ uživatelského jména objektu Actor zadaný v poli ActionUsername |
| ActorUserSid | řetězec | ID uživatele systému Windows (SID) objektu actor. |
| ActorUserType | řetězec | Typ objektu Actor. |
| Další pole | dynamic | Další informace reprezentované pomocí párů klíč/hodnota poskytovaných zdrojem, které se nemapují na ASim. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DvcAction | řetězec | Pro systémy zabezpečení generování sestav akce, kterou systém provedl. |
| Popis dvcDescription | řetězec | Popisný text přidružený k zařízení. |
| DvcDomain | řetězec | Doména zařízení, které událost hlásí. |
| DvcDomainType | řetězec | Typ DvcDomain. |
| DvcFQDN | řetězec | Název hostitele zařízení, na kterém došlo k události nebo které událost nahlásilo. |
| Název hostitele dvc | řetězec | Název hostitele zařízení, které událost hlásí. |
| DvcId | řetězec | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcIdType | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém se data zachytávají. |
| DvcIpAddr | řetězec | IP adresa zařízení, které událost hlásí. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcOriginalAction | řetězec | Původní akce DvcAction poskytovaná zařízením pro vytváření sestav. |
| DvcO | řetězec | Operační systém spuštěný na zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcOsVersion | řetězec | Verze operačního systému na zařízení, na kterém došlo k události nebo které událost nahlásilo. |
| DvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. Mapování DvcScope na ID předplatného v Azure a na ID účtu v AWS. |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síť, ve které k události došlo nebo která událost nahlásila. |
| EventCount | int | Počet událostí popsaných záznamem |
| EventEndTime | datetime | Čas (UTC), ve kterém událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
| EventMessage | řetězec | Obecná zpráva nebo popis. |
| EventOriginalResultDetails | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. |
| EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro vytváření sestav. |
| EventOriginalSubType | řetězec | Původní podtyp události nebo ID, pokud je zadaný zdrojem. |
| EventOriginalType | řetězec | Původní typ události nebo ID, pokud je zadaný zdrojem. |
| EventOriginalUid | řetězec | Jedinečné ID původního záznamu, pokud je zadaný zdrojem. |
| Vlastník události | řetězec | Vlastníkem události, což je obvykle oddělení nebo dceřiná společnost, ve které se událost vygenerovala. |
| EventProduct | řetězec | Produkt generující událost. |
| EventProductVersion | řetězec | Verze produktu, který generuje událost. |
| EventReportUrl | řetězec | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
| EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| EventResultDetails | řetězec | Důvod nebo podrobnosti o výsledku hlášeného v poli EventResult |
| EventSchemaVersion | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| EventStartTime | datetime | Čas (UTC), ve kterém událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
| EventSubType | řetězec | Popisuje dílčí dělení operace hlášené v poli EventType. |
| Typ události | řetězec | Popisuje operaci hlášenou záznamem. |
| EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
| HttpUserAgent | řetězec | Při ověřování přes PROTOKOL HTTP nebo HTTPS je hodnota tohoto pole user_agent hlavička HTTP, kterou při provádění ověřování poskytuje působící aplikace. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
| Newvalue | řetězec | Nová hodnota Objekt po provedení operace. |
| Objekt | řetězec | Název objektu, u kterého se provádí operace identifikovaná pomocí EventType. |
| ObjectId | řetězec | Název objektu, u kterého se provádí operace identifikovaná pomocí EventType. |
| ObjectType | řetězec | Typ objektu. |
| Oldvalue | řetězec | Stará hodnota Objekt před operací. |
| Operace | řetězec | Operace auditovaná tak, jak ohlásilo zařízení pro generování sestav. |
| OriginalObjectType | řetězec | Typ objektu nahlášený zařízením pro generování sestav. |
| _Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Název pravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| Číslo pravidla | int | Číslo pravidla přidruženého k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| SrcDescription | řetězec | Popisný text přidružený ke zdrojovému zařízení. |
| SrcDeviceType | řetězec | Typ zdrojového zařízení. |
| SrcDomain | řetězec | Doména zdrojového zařízení. |
| SrcDomainType | řetězec | Typ SrcDomain. |
| SrcDvcId | řetězec | ID zdrojového zařízení. |
| SrcDvcIdType | řetězec | Typ SrcDvcId. |
| SrcDvcScope | řetězec | Obor cloudové platformy, do které zdrojové zařízení patří. SrcDvcScope se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zdrojové zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
| SrcGeoCity | řetězec | Město přidružené ke zdrojové IP adrese. |
| SrcGeoCountry | řetězec | Země přidružená ke zdrojové IP adrese. |
| SrcGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| Oblast SrcGeo | řetězec | Oblast v rámci země přidružené ke zdrojové IP adrese. |
| SrcHostname | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. |
| SrcIpAddr | řetězec | Zdrojová IP adresa, ze které pochází připojení nebo relace. |
| SrcOriginalRiskLevel | řetězec | Úroveň rizika přidružená k identifikovanému zdroji nahlášenému zařízením pro hlášení. |
| SrcPortNumber | int | Port zdrojové IP adresy, ze kterého připojení pochází. |
| SrcRiskLevel | int | Úroveň rizika přidružená k identifikovanému zdroji. |
| _SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| TargetAppId | řetězec | ID aplikace, na kterou se událost vztahuje, včetně procesu, prohlížeče nebo služby. |
| Název cílové aplikace | řetězec | Název aplikace, na kterou se událost vztahuje, včetně služby, adresy URL nebo aplikace SaaS. |
| Typ cílové aplikace | řetězec | Typ aplikace autorizující jménem objektu actor. |
| Popis cíle | řetězec | Popisný text přidružený k cílovému zařízení. |
| Typ zařízení cíle | řetězec | Typ cílového zařízení. |
| Cílová doména | řetězec | Doména cílového zařízení. |
| Typ cílové domény | řetězec | Typ TargetDomain. |
| Id cílového objektu | řetězec | ID cílového zařízení. |
| TargetDvcIdType | řetězec | Typ TargetDvcId. |
| TargetDvcOs | řetězec | Operační systém cílového zařízení. |
| TargetDvcScope | řetězec | Obor cloudové platformy, do které cílové zařízení patří. Mapování TargetDvcScope na ID předplatného v Azure a na ID účtu v AWS. |
| TargetDvcScopeId | řetězec | ID oboru cloudové platformy, do které cílové zařízení patří. TargetDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| CílovýFQDN | řetězec | Název hostitele cílového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
| TargetGeoCity | řetězec | Město přidružené k cílové IP adrese. |
| TargetGeoCountry | řetězec | Země přidružená k cílové IP adrese. |
| Cílovágeolatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. |
| TargetGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. |
| Cílová oblast | řetězec | Oblast v rámci země přidružené k cílové IP adrese. |
| Název cílového hostitele | řetězec | Název hostitele cílového zařízení s výjimkou informací o doméně. |
| Cílová adresaIpAddr | řetězec | Cílová IP adresa, ze které pochází připojení nebo relace. |
| TargetOriginalAppType | řetězec | Typ cílové aplikace hlášený zařízením pro generování sestav. |
| TargetOriginalRiskLevel | řetězec | Úroveň rizika přidružená k cíli hlášená zařízením pro generování sestav. |
| TargetPortNumber | int | Cílový port IP, ze kterého připojení pochází. |
| TargetRiskLevel | int | Úroveň rizika přidružená k cíli. |
| Cílová adresa URL | řetězec | Adresa URL přidružená k cílové aplikaci. |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| ThreatCategory | řetězec | Kategorie hrozby nebo malwaru identifikované v aktivitě auditu |
| ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatField | řetězec | Pole, pro které byla zjištěna hrozba. |
| ThreatFirstReportedTime | datetime | Při prvním identifikaci IP adresy nebo domény jako hrozby. |
| Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě auditu |
| ThreatIpAddr | řetězec | IP adresa nebo doména, pro kterou byla zjištěna hrozba. |
| ThreatIsActive | bool | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| ThreatLastReportedTime | datetime | Čas poslední identifikace IP adresy nebo domény jako hrozby. |
| ThreatName | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě auditu. |
| ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby hlášená zařízením pro hlášení. |
| ThreatOriginalRiskLevel | řetězec | Úroveň rizika hlášená zařízením pro generování sestav. |
| ThreatRiskLevel | int | Úroveň rizika související s identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. |
| TimeGenerated | datetime | Časové razítko (UTC) odrážející čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |
| ValueType | řetězec | Typ starých a nových hodnot. |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro