Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tabulka normalizovaných událostí ověřování v Microsoft Sentinelu Ukládá události přidružené například k ověřování uživatelů, přihlášení a odhlášení.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/authentizačníudálost |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Transformace v čase příjmu dat | Ano |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| ActingAppId | řetězec | ID aplikace, která autorizuje jménem aktéra, a to včetně procesu, prohlížeče nebo služby. |
| ActingAppName | řetězec | Název aplikace, která autorizuje jménem objektu actor, včetně procesu, prohlížeče nebo služby. |
| Typ aplikace Acting | řetězec | Typ fungující aplikace. |
| ActingOriginalAppType | řetězec | Jedná se o typ aplikace hlášený zařízením pro generování sestav. |
| AktérOriginálníTypUživatele | řetězec | Typ uživatele, jak je hlášený reportovacím zařízením. |
| ActorScope | řetězec | Obor, například tenant Azure AD, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorScopeId | řetězec | ID oboru, například ID tenanta Azure AD, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID přihlašovací relace objektu Actor. |
| ActorUserId | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace aktéra. |
| Typ uživatelského ID herce | řetězec | Typ ID uloženého v poli ActorUserId. |
| HerecUzivatelskeJmeno | řetězec | Uživatelské jméno Actora, včetně informací o doméně, když jsou k dispozici. |
| TypUživatelskéhoJménaAktéra | řetězec | Určuje typ uživatelského jména uloženého v poli ActorUsername. |
| Typ uživatele herce | řetězec | Typ objektu Actor. |
| Další pole | dynamický | Další informace, reprezentované pomocí párů klíč/hodnota poskytnuté zdrojem, které se nemapují na ASim. |
| _Fakturovaná velikost | skutečný | Velikost záznamu v bajtech |
| DvcAction | řetězec | U systémů hlášení o zabezpečení jde o akci prováděnou systémem. |
| Popis dvcDescription | řetězec | Popisný text přidružený k zařízení |
| DvcDomain | řetězec | Doména zařízení hlásí událost. |
| DvcDomainType | řetězec | Typ DvcDomain. |
| DvcFQDN | řetězec | Název hostitele zařízení, na kterém došlo k události nebo na které byla událost hlášena. |
| DvcHostname | řetězec | Název hostitele zařízení, které hlásí událost. |
| DvcId | řetězec | Jedinečné ID zařízení, na kterém došlo k události nebo které událost nahlásila. |
| DvcIdType (typ identifikátoru zařízení) | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém byla zaznamenána data. |
| DvcIpAddr | řetězec | IP adresa zařízení, které hlásí událost. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. |
| DvcOriginalAction | řetězec | Původní DvcAction, poskytované zařízením pro hlášení. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení, na kterém došlo k události nebo na kterém byla událost hlášena. |
| DvcOsVersion | řetězec | Verze operačního systému v zařízení, na kterém došlo k události nebo která ohlásila událost. |
| DvcScope | řetězec | Rozsah cloudové platformy, do které zařízení patří. DvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síť, na které došlo k události nebo která ohlásila událost. |
| Počet událostí | int (integer) | Počet událostí popsaných záznamem. |
| Čas konce události | Datum a čas | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud není poskytnuto ze zdrojového záznamu, toto pole slouží jako alias pole TimeGenerated. |
| Zpráva události | řetězec | Obecná zpráva nebo popis |
| Detaily původního výsledku události | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. |
| UdálostOriginalSeverity | řetězec | Původní závažnost, jak je poskytována hlásícím zařízením. |
| PůvodníPodtypUdálosti | řetězec | Původní podtyp nebo ID události, pokud zdroj poskytuje. |
| PůvodníTypUdálosti | řetězec | Původní typ nebo ID události, pokud zdroj poskytuje. |
| UdálostOriginálníUid | řetězec | Jedinečné ID původního záznamu, pokud zdroj poskytuje. |
| Vlastník události | řetězec | Vlastník události, která je obvykle oddělením nebo dceřinou společností, ve které byla vygenerována. |
| EventProduct | řetězec | Produkt, který událost generuje. |
| Událost verze produktu | řetězec | Verze produktu generující událost. |
| URL zprávy o události | řetězec | Adresa URL zadaná v události pro prostředek, který poskytuje další informace o události. |
| Výsledek události | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| PodrobnostiVýsledkuUdálosti | řetězec | Podrobnosti přidružené k výsledku události. Toto pole se obvykle vyplní, když dojde k selhání výsledku. |
| Verze schématu události | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| ČasZačátkuUdálosti | Datum a čas | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud není poskytnuto ze zdrojového záznamu, toto pole slouží jako alias pole TimeGenerated. |
| PodtypUdálosti | řetězec | Typ přihlášení, například System, Interactive, RemoteInteractive, Service, RemoteService, Remote, nebo AssumeRole. |
| Typ události | řetězec | Popisuje operaci hlášenou záznamem. |
| EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
| HTTP uživatelský agent | řetězec | Při ověřování prostřednictvím protokolu HTTP nebo HTTPS je hodnota tohoto pole hlavičkou HTTP user_agent, kterou poskytuje aplikace provádějící ověřování. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud _IsBillable je false, příjem dat se neúčtuje vašemu účtu Azure. |
| MetodaPřihlášení | řetězec | Metoda použitá k ověření. |
| PřihlašovacíProtokol | řetězec | Protokol použitý k ověření. |
| _ResourceId (ID zdroje) | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| NázevPravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| ČísloPravidla | int (integer) | Počet pravidel přidružených k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| SrcDescription | řetězec | Popisný text přidružený ke zdrojovému zařízení |
| Typ zdrojového zařízení | řetězec | Typ zdrojového zařízení. |
| SrcDomain | řetězec | Doména zdrojového zařízení. |
| Typ zdrojové domény | řetězec | Typ SrcDomain. |
| SrcDvcId | řetězec | ID zdrojového zařízení. |
| SrcDvcIdType | řetězec | Typ SrcDvcId. |
| SrcDvcOs | řetězec | Operační systém zdrojového zařízení. |
| SrcDvcScope | řetězec | Rozsah cloudové platformy, do které zdrojové zařízení patří. SrcDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zdrojové zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. |
| ZdrojGeoMěsto | řetězec | Město přidružené ke zdrojové IP adrese. |
| SrcGeoZemě | řetězec | Země přidružená ke zdrojové IP adrese. |
| SrcGeoLatitude | skutečný | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| ZdrojGeografickáDélka | skutečný | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoRegion | řetězec | Oblast v rámci země přidružené ke zdrojové IP adrese. |
| NázevZdrojovéhoHostitele | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. |
| Zdrojová IP adresa (SrcIpAddr) | řetězec | IP adresa zdrojového zařízení. |
| SrcIsp | řetězec | Poskytovatel internetových služeb používaný zdrojovým zařízením pro připojení k internetu. |
| Původní úroveň rizika | řetězec | Úroveň rizika asociovaná s identifikovaným zdrojem hlášeným zařízením pro hlášení. |
| ČísloZdrojovéhoPortu | int (integer) | Port IP, ze kterého připojení pochází. |
| SrcRiskLevel | int (integer) | Úroveň rizika přidružená k identifikovanému zdroji. |
| _ID předplatného | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Id cílové aplikace | řetězec | ID aplikace, ke které se vyžaduje autorizace, často přiřazené zařízením pro generování sestav. |
| TargetAppName | řetězec | Název aplikace, ke které se vyžaduje autorizace, včetně služby, adresy URL nebo aplikace SaaS. |
| Typ cílené aplikace | řetězec | Typ aplikace autorizující jménem aktéra. |
| PopisCíle | řetězec | Popisný text přidružený k cílovému zařízení |
| Typ cílového zařízení | řetězec | Typ cílového zařízení. |
| Cílová doména | řetězec | Doména cílového zařízení. |
| Typ cílové domény | řetězec | Typ TargetDomain. |
| TargetDvcId | řetězec | ID cílového zařízení. |
| TargetDvcIdType | řetězec | Typ TargetDvcId. |
| TargetDvcOs | řetězec | Operační systém cílového zařízení. |
| TargetDvcScope | řetězec | Rozsah cloudové platformy, do které cílové zařízení patří. TargetDvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| TargetDvcScopeId | řetězec | ID oboru cloudové platformy, do které cílové zařízení patří. TargetDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| CílovýFQDN | řetězec | Název hostitele cílového zařízení, včetně informací o doméně, pokud je k dispozici. |
| TargetGeoCity | řetězec | Město přidružené k cílové IP adrese. |
| Cílová geografická oblast | řetězec | Země přidružená k cílové IP adrese. |
| Cílová geografická šířka | skutečný | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. |
| Cílová geografická délka | skutečný | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. |
| TargetGeoRegion | řetězec | Oblast v rámci země přidružené k cílové IP adrese. |
| CílovýNázevHostitele | řetězec | Název hostitele cílového zařízení s výjimkou informací o doméně. |
| CílováIPAdresa | řetězec | IP adresa cílového zařízení. |
| TypOriginálníCílovéAplikace | řetězec | Typ cílové aplikace, jak jej hlásí reportující zařízení. |
| CílováPůvodníÚroveňRizika | řetězec | Úroveň rizika spojená s cílem, jak ji hlásí zařízení poskytující hlášení. |
| CílovýPůvodníTypUživatele | řetězec | Typ uživatele, jak je hlášený reportovacím zařízením. |
| Číslo cílového portu | int (integer) | Port cílového zařízení. |
| Cílová úroveň rizika | int (integer) | Úroveň rizika přidružená k cíli. |
| TargetSessionId | řetězec | Jedinečné ID relace přihlášení cílového aktéra. |
| Cílová adresa URL | řetězec | Adresa URL přidružená k cílové aplikaci |
| CílovéIDUživatele | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace aktéra. |
| TypCílovéhoUživatelskéhoID | řetězec | Typ ID uloženého v poli TargetUserId. |
| CílovéUživatelskéJméno | řetězec | Uživatelské jméno cílového objektu actor, včetně informací o doméně, pokud jsou k dispozici. |
| TypUživatelskéhoJménaCíle | řetězec | Typ uživatelského jména cílového aktéra, zadaného v poli TargetUsername |
| RozsahCílovéhoUživatele | řetězec | Obor, například tenant Azure AD, ve kterém jsou definovány TargetUserId a TargetUsername. |
| TargetUserScopeId | řetězec | ID oboru, například ID tenanta Azure AD, ve kterém jsou definovány TargetUserId a TargetUsername. |
| TypCílovéhoUživatele | řetězec | Typ cílového objektu actor. |
| Identifikátor nájemce (TenantId) | řetězec | ID pracovního prostoru služby Log Analytics |
| Kategorie Hrozby | řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě auditu. |
| Důvěra v hrozbu | int (integer) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| Pole hrozby | řetězec | Pole, pro které byla zjištěna hrozba. |
| ČasPrvníhoNahlášeníHrozby | Datum a čas | IP adresa nebo doména byla poprvé identifikována jako hrozba. |
| Identifikátor hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě auditu. |
| Hrozba IP adresa | řetězec | IP adresa, pro kterou byla zjištěna hrozba. |
| HrozbaJeAktivní | Booleova hodnota | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
| Čas posledního hlášení hrozby | Datum a čas | Poslední doba, kdy byla IP adresa nebo doména identifikována jako hrozba. |
| Název hrozby | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě auditu. |
| PůvodníOhroženíDůvěra | řetězec | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ÚroveňPůvodníhoRizikaHrozby | řetězec | Úroveň rizika hlášená hlásicím zařízením. |
| Úroveň rizika ohrožení | int (integer) | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. |
| Čas vygenerování | Datum a čas | Časové razítko (UTC) odráží čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |