ASimFileEventLogs
Schéma normalizace událostí souborů modelu ASIM (Advanced Security Information Model) popisuje aktivitu souborů, jako je vytváření, úprava nebo odstraňování souborů nebo dokumentů.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/asimtables |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| ActingProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu provádění. |
| ActingProcessGuid | řetězec | Vygenerovaný jedinečný identifikátor (GUID) působícího procesu. |
| ActingProcessId | řetězec | ID procesu (PID) působícího procesu. |
| ActingProcessName | řetězec | Název působícího procesu. |
| ActorOriginalUserType | řetězec | Původní typ uživatele objektu actor, který poskytuje zařízení pro vytváření sestav. |
| ActorScope | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorScopeId | řetězec | ID oboru, například Azure AD ID adresáře, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID relace přihlášení objektu Actor. |
| ActorUserAadId | řetězec | ID Azure Active Directory objektu actor. |
| ActorUserId | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu actor. |
| ActorUserIdType | řetězec | Typ ID uloženého v poli ActorUserId. |
| ActorUsername | řetězec | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. |
| ActorUsernameType | řetězec | Určuje typ uživatelského jména uloženého v poli ActorUsername. |
| ActorUserSid | řetězec | ID uživatele systému Windows (SID) objektu actor. |
| ActorUserType | řetězec | Typ objektu actor. |
| Další pole | dynamic | Další informace reprezentované pomocí párů klíč/hodnota poskytovaných zdrojem, které se nemapují na ASim. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DvcAction | řetězec | Akce proběhla ve webové relaci. |
| Popis dvcDescription | řetězec | Popisný text přidružený k zařízení. |
| DvcDomain | řetězec | Doména zařízení, které událost hlásí. |
| DvcDomainType | řetězec | Typ DvcDomain. Mezi platné hodnoty patří Windows a FQDN. |
| DvcFQDN | řetězec | Název hostitele zařízení, na kterém došlo k události nebo které událost nahlásilo. |
| Název hostitele dvc | řetězec | Název hostitele zařízení, které událost hlásí. |
| DvcId | řetězec | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcIdType | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Původní DvcAction poskytovaná zařízením pro generování sestav. |
| DvcIpAddr | řetězec | IP adresa zařízení, které událost hlásí. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Akce dvcOriginalAction | řetězec | Původní DvcAction poskytovaná zařízením pro generování sestav. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Verze dvcOs | řetězec | Verze operačního systému v zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. Mapování DvcScope na název předplatného v Azure a na ID účtu v AWS |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síť, ve které k události došlo nebo která událost nahlásila, v závislosti na schématu. |
| Počet událostí | int | Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. |
| EventEndTime | datetime | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, označuje čas vygenerování poslední události. Pokud ho zdrojový záznam nezadá, bude toto pole aliasovat pole TimeGenerated. |
| EventMessage | řetězec | Obecná zpráva nebo popis |
| EventOriginalResultDetails | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. Tato hodnota se používá k odvození EventResultDetails, která by měla mít pouze jednu z hodnot zdokumentovaných pro každé schéma. |
| EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro generování sestav. Tato hodnota se používá k odvození EventSeverity. |
| EventOriginalSubType | řetězec | Původní podtyp události nebo ID, pokud je zadaný zdrojem. Toto pole se například použije k uložení původního typu přihlášení systému Windows. Tato hodnota se používá k odvození třídy EventSubType, která by měla mít pouze jednu z hodnot zdokumentovaných pro každé schéma. |
| EventOriginalType | řetězec | Původní typ události nebo ID, pokud je zadaný zdrojem. |
| Identifikátor událostiOriginalUid | řetězec | Jedinečné ID původního záznamu, pokud je zadaný zdrojem. |
| Vlastník události | řetězec | Vlastník události, což je obvykle oddělení nebo pobočka, ve které se událost vygenerovala. |
| Produkt události | řetězec | Produkt generující událost. |
| EventProductVersion | řetězec | Verze produktu, který generuje událost. |
| EventReportUrl | řetězec | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
| EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Úspěch, Částečné selhání, Selhání, NE (Nejde použít). Hodnotu nelze zadat přímo ze zdrojů. V takovém případě je odvozena z jiných polí události, například pole EventResultDetails. |
| EventResultDetails | řetězec | Stavový kód HTTP |
| EventSchema | řetězec | Schéma, na které je událost normalizována. Každé schéma dokumentuje název svého schématu. |
| EventSchemaVersion | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| EventStartTime | datetime | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, je čas vygenerování první události. Pokud ho zdrojový záznam nezadá, bude toto pole aliasovat pole TimeGenerated. |
| Typ podsítě události | řetězec | Další popis typu události, pokud je k dispozici. |
| Typ události | řetězec | Operace hlášená záznamem. |
| EventVendor | řetězec | Dodavatel produktu, který generuje událost. |
| Typ hodnoty hash | řetězec | Typ hodnoty hash uložený v poli Alias hodnoty hash. |
| Agent httpuseragent | řetězec | Když se operace inicializovala pomocí protokolu HTTP nebo HTTPS, hlavička uživatelského agenta HTTP. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
| NetworkApplicationProtocol | řetězec | Pokud je operace inicializována vzdáleným systémem, protokol aplikační vrstvy používaný připojením nebo relací. |
| _Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Název pravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| RuleNumber | int | Číslo pravidla přidruženého k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| Popis SrcDescription | řetězec | Popisný text přidružený k zařízení. |
| SrcDeviceType | řetězec | Typ zdrojového zařízení. |
| SrcDomain | řetězec | Doména zdrojového zařízení. |
| Typ domény SrcDomainType | řetězec | Typ SrcDomain. |
| SrcDvcId | řetězec | ID zdrojového zařízení. |
| SrcDvcIdType | řetězec | Typ SrcDvcId. |
| SrcDvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. |
| SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. |
| SrcFileCreationTime | datetime | Čas vytvoření zdrojového souboru. |
| SrcFileDirectory | řetězec | Složka zdrojového souboru nebo umístění. |
| SrcFileExtension | řetězec | Přípona zdrojového souboru. |
| Soubor SrcFileMD5 | řetězec | Hodnota hash MD5 zdrojového souboru. |
| SrcFileMimeType | řetězec | Typ MIME nebo Média zdrojového souboru. |
| Název souboru souboru src | řetězec | Název zdrojového souboru, bez cesty nebo umístění, ale s příponou, pokud je to relevantní. |
| SrcFilePath | řetězec | Úplná normalizovaná cesta ke zdrojovému souboru, včetně složky nebo umístění, názvu souboru a přípony. |
| SrcFilePathType | řetězec | Typ SrcFilePath. |
| Soubor SrcFileSHA1 | řetězec | Hodnota hash SHA-1 zdrojového souboru. |
| SrcFileSHA256 | řetězec | Hodnota hash SHA-256 zdrojového souboru. |
| SrcFileSHA512 | řetězec | Hodnota hash SHA-512 zdrojového souboru. |
| SrcFileSize | long | Velikost zdrojového souboru v bajtech. |
| SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
| SrcGeoCity | řetězec | Město přidružené ke zdrojové IP adrese. |
| SrcGeoCountry | řetězec | Země přidružená ke zdrojové IP adrese. |
| SrcGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| Oblast SrcGeo | řetězec | Oblast v rámci země přidružené ke zdrojové IP adrese. |
| Název_hostitele_hostitele | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte příslušnou IP adresu do tohoto pole. |
| SrcIpAddr | řetězec | Pokud je operace inicializována vzdáleným systémem, IP adresa tohoto systému. |
| SrcMacAddr | řetězec | Adresa MAC zdrojového zařízení. |
| SrcOriginalRiskLevel | řetězec | Úroveň rizika přidružená ke zdroji. Jak je hlášeno zařízením pro generování sestav nebo rozšířeno. |
| SrcPortNumber | int | Pokud operaci zahájí vzdálený systém, číslo portu, ze kterého bylo připojení zahájeno. |
| SrcRiskLevel | int | Úroveň rizika přidružená ke zdroji. |
| _SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Id cílové aplikace | řetězec | ID cílové aplikace hlášené zařízením pro generování sestav. |
| Název cílové aplikace | řetězec | Název cílové aplikace. |
| Typ cílové aplikace | řetězec | Typ cílové aplikace. |
| TargetFileCreationTime | datetime | Čas vytvoření cílového souboru. |
| Adresář cílového souboru | řetězec | Cílová složka nebo umístění souboru. |
| TargetFileExtension | řetězec | Cílová přípona souboru. |
| Cílový souborMD5 | řetězec | Hodnota hash MD5 cílového souboru. |
| Typ cílového souboruMime | řetězec | Typ MIME nebo Média cílového souboru. |
| TargetFileName | řetězec | Název cílového souboru, bez cesty nebo umístění, ale s příponou, pokud je to relevantní. |
| Cesta k cílovému souboru | řetězec | Úplná normalizovaná cesta k cílovému souboru, včetně složky nebo umístění, názvu souboru a přípony. |
| Typ_cesty_souboru_cíle | řetězec | Typ TargetFilePath. |
| Cílový souborSHA1 | řetězec | Hodnota hash SHA-1 cílového souboru. |
| Cílový souborSHA256 | řetězec | Hodnota hash SHA-256 cílového souboru. |
| Cílový souborSHA512 | řetězec | Hodnota hash SHA-512 zdrojového souboru. |
| Velikost cílového souboru | long | Velikost cílového souboru v bajtech. |
| TargetOriginalAppType | řetězec | Typ cílové aplikace hlášený zařízením pro generování sestav. |
| Cílová adresa URL | řetězec | Při inicializování operace pomocí protokolu HTTP nebo HTTPS se použije adresa URL. |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| ThreatCategory | řetězec | Kategorie hrozby nebo malwaru identifikované v souborové aktivitě. |
| ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatField | řetězec | Pole, pro které byla zjištěna hrozba. Hodnota je SrcFilePath nebo DstFilePath. |
| ThreatFilePath | řetězec | Cesta k souboru, pro který byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatFilePath představuje. |
| ThreatFirstReportedTime | datetime | Při prvním identifikaci IP adresy nebo domény jako hrozby. |
| Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě se souborem |
| ThreatIsActive | bool | True ID identifikované hrozby se považuje za aktivní hrozbu. |
| ThreatLastReportedTime | datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
| ThreatName | řetězec | Název hrozby nebo malwaru identifikovaného v aktivitě souboru. |
| ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby nahlášená zařízením pro hlášení. |
| ThreatOriginalRiskLevel | řetězec | Úroveň rizika hlášená zařízením pro hlášení. |
| ThreatRiskLevel | int | Úroveň rizika spojená se identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. |
| TimeGenerated | datetime | Časové razítko odrážející čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro