Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma normalizace událostí souboru modelu Advanced Security Information Model (ASIM) popisuje aktivitu souborů, jako je vytváření, úpravy nebo odstraňování souborů nebo dokumentů.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/asimtables |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Podpora DCR v čase příjmu dat | Ano |
| Příjem dat pouze u jezera | Ano |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Příkazový řádek jednajícího procesu | řetězec | Příkazový řádek použitý ke spuštění procesu činu. |
| ActingProcessGuid | řetězec | Vygenerovaný jedinečný identifikátor (GUID) hereckého procesu. |
| Id hereckého procesu | řetězec | ID procesu (PID) aktivního procesu. |
| NázevProcesuJednání | řetězec | Název procesu jednání. |
| AktérOriginálníTypUživatele | řetězec | Původní typ uživatelské role, jak ji poskytuje zařízení pro sestavování zpráv. |
| ActorScope | řetězec | Obor, například tenant Azure AD, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorScopeId | řetězec | ID oboru, například ID adresáře Azure AD, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID přihlašovací relace účastníka. |
| ID uživatele herce (ActorUserAadId) | řetězec | ID aktéra v Azure Active Directory. |
| ActorUserId | řetězec | Strojově čitelná, alfanumerická a jedinečná reprezentace herce. |
| Typ uživatelského ID herce | řetězec | Typ ID uloženého v poli ActorUserId. |
| UživatelskéJménoHerec | řetězec | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. |
| TypUživatelskéhoJménaAktéra | řetězec | Určuje typ uživatelského jména uloženého v poli ActorUsername. |
| ActorUserSid | řetězec | ID uživatele systému Windows (SID) pro aktéra. |
| Typ uživatele herce | řetězec | Typ účastníka. |
| Přídavná pole | dynamický | Další informace, reprezentované pomocí párů klíč/hodnota poskytnuté zdrojem, které se nemapují na ASim. |
| _FakturovanáVelikost | skutečný | Velikost záznamu v bajtech |
| DvcAction | řetězec | Akce provedená v rámci webové relace. |
| dvcDescription Popis | řetězec | Popisný text přidružený k zařízení |
| DvcDomain | řetězec | Doména zařízení hlásí událost. |
| DvcDomainType | řetězec | Typ DvcDomain. Mezi platné hodnoty patří Windows a FQDN. |
| DvcFQDN | řetězec | Název hostitele zařízení, na kterém došlo k události nebo na které byla událost hlášena. |
| DvcHostname | řetězec | Název hostitele zařízení, které hlásí událost. |
| DvcId | řetězec | Jedinečné ID zařízení, na kterém došlo k události nebo které událost nahlásila. |
| DvcIdType (typ identifikátoru zařízení) | řetězec | Typ identifikátoru zařízení (DvcId). |
| DvcInterface | řetězec | Původní "DvcAction", jak jej poskytuje zařízení, které generuje zprávy. |
| DvcIpAddr | řetězec | IP adresa zařízení, které hlásí událost. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. |
| DvcOriginalAction | řetězec | Původní "DvcAction", jak jej poskytuje zařízení, které generuje zprávy. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení, na kterém došlo k události nebo na kterém byla událost hlášena. |
| DvcOsVersion | řetězec | Verze operačního systému v zařízení, na kterém došlo k události nebo která ohlásila událost. |
| DvcScope | řetězec | Rozsah cloudové platformy, do které zařízení patří. DvcScope se mapuje na název předplatného v Azure a na ID účtu v AWS. |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se přiřazuje k ID předplatného v Azure a k ID účtu v AWS. |
| DvcZone | řetězec | Síť, na které došlo k události nebo která událost hlásila, v závislosti na schématu. |
| Počet událostí | int (integer) | Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. |
| Čas ukončení události | datetime | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud není zadáno ve zdrojovém záznamu, toto pole používá pole TimeGenerated jako alias. |
| UdálostZpráva | řetězec | Obecná zpráva nebo popis |
| DetailyPůvodníhoVýsledkuUdálosti | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. Tato hodnota se používá k odvození EventResultDetails, které by měly mít pouze jednu z hodnot dokumentovaných pro každé schéma. |
| Původní Závažnost Události | řetězec | Původní závažnost poskytnutá oznamovacím zařízením. Tato hodnota se používá k odvození hodnoty EventSeverity. |
| PůvodníPodtypUdálosti | řetězec | Původní podtyp nebo ID události, pokud zdroj poskytuje. Toto pole se například použije k uložení původního typu přihlášení systému Windows. Tato hodnota se používá k odvození třídy EventSubType, která by měla obsahovat pouze jednu z hodnot zdokumentovaných pro každé schéma. |
| PůvodníTypUdálosti | řetězec | Původní typ nebo ID události, pokud zdroj poskytuje. |
| UdálostOriginálníUid | řetězec | Jedinečné ID původního záznamu, pokud zdroj poskytuje. |
| Vlastník události | řetězec | Vlastník události, která je obvykle oddělením nebo dceřinou společností, ve které byla vygenerována. |
| EventProduct | řetězec | Produkt, který událost generuje. |
| Událost verze produktu | řetězec | Verze produktu generující událost. |
| URL zprávy o události | řetězec | Adresa URL zadaná v události pro prostředek, který poskytuje další informace o události. |
| Výsledek události | řetězec | Výsledek události, reprezentovaný jednou z následujících hodnot: Úspěch, Částečný, Selhání, NA (Není použitelné). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| PodrobnostiVýsledkuUdálosti | řetězec | Stavový kód HTTP |
| Schéma události | řetězec | Schéma, do které se událost normalizuje. Každé schéma dokumentuje název schématu. |
| Verze schématu události | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| ČasZačátkuUdálosti | datetime | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud není zadáno ve zdrojovém záznamu, toto pole používá pole TimeGenerated jako alias. |
| Podtyp události | řetězec | Další popis typu události, pokud je k dispozici. |
| Typ události | řetězec | Operace, kterou zaznamenal záznam. |
| EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
| typ hashování | řetězec | Typ hashe uložený v poli Hash alias. |
| HTTP uživatelský agent | řetězec | Při zahájení operace pomocí protokolu HTTP nebo HTTPS se používá hlavička uživatelského agenta HTTP. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud je _IsBillable false, příjem dat se neúčtuje na váš účet Azure. |
| Protokol síťových aplikací | řetězec | Když je operace inicializována vzdáleným systémem, protokol aplikační vrstvy používaný v rámci připojení nebo relace. |
| _ResourceId (ID zdroje) | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Název pravidla | řetězec | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| ČísloPravidla | int (integer) | Počet pravidel přidružených k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, kterým byla událost shromážděna. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| SrcDescription | řetězec | Popisný text přidružený k zařízení |
| Typ zdrojového zařízení | řetězec | Typ zdrojového zařízení. |
| SrcDomain | řetězec | Doména zdrojového zařízení. |
| TypZdrojovéDomény | řetězec | Typ SrcDomain. |
| SrcDvcId | řetězec | ID zdrojového zařízení. |
| SrcDvcIdType | řetězec | Typ SrcDvcId. |
| SrcDvcScope | řetězec | Rozsah cloudové platformy, do které zařízení patří. |
| SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. |
| Čas vytvoření zdrojového souboru | datetime | Čas vytvoření zdrojového souboru. |
| SrcFileDirectory | řetězec | Složka nebo umístění zdrojového souboru. |
| SrcFileExtension | řetězec | Přípona zdrojového souboru. |
| SrcFileMD5 | řetězec | Hodnota hash MD5 zdrojového souboru. |
| Typ MIME zdrojového souboru | řetězec | Typ MIME nebo média zdrojového souboru. |
| SrcFileName | řetězec | Název zdrojového souboru bez cesty nebo umístění, ale s příponou, pokud je to relevantní. |
| SrcFilePath | řetězec | Úplná normalizovaná cesta zdrojového souboru, včetně složky nebo umístění, názvu souboru a přípony. |
| SrcFilePathType | řetězec | Typ SrcFilePath. |
| SrcFileSHA1 | řetězec | Hodnota hash SHA-1 zdrojového souboru. |
| SrcFileSHA256 | řetězec | Hash SHA-256 zdrojového souboru. |
| SrcFileSHA512 | řetězec | Hash SHA-512 zdrojového souboru. |
| SrcFileSize | dlouhý | Velikost zdrojového souboru v bajtech |
| SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. |
| ZdrojGeoMěsto | řetězec | Město přidružené ke zdrojové IP adrese. |
| SrcGeoZemě | řetězec | Země přidružená ke zdrojové IP adrese. |
| SrcGeoLatitude | skutečný | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| ZdrojGeografickáDélka | skutečný | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoRegion | řetězec | Oblast v rámci země přidružené ke zdrojové IP adrese. |
| NázevZdrojovéhoHostitele | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, uložte do tohoto pole příslušnou IP adresu. |
| Zdrojová IP adresa (SrcIpAddr) | řetězec | Když je operace inicializována vzdáleným systémem, IP adresa tohoto systému. |
| SrcMacAddr | řetězec | Adresa MAC zdrojového zařízení. |
| Úroveň původního rizika zdroje | řetězec | Úroveň rizika přidružená ke zdroji Jak je hlášeno zařízením pro generování sestav nebo doplněným. |
| ČísloZdrojovéhoPortu | int (integer) | Když je operace inicializována vzdáleným systémem, číslo portu, ze kterého bylo zahájeno připojení. |
| SrcRiskLevel | int (integer) | Úroveň rizika přidružená ke zdroji |
| _ID předplatného | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Id cílové aplikace | řetězec | ID cílové aplikace, jak je hlášeno hlásicím zařízením. |
| TargetAppName | řetězec | Název cílové aplikace. |
| Typ cílové aplikace | řetězec | Typ cílové aplikace. |
| Čas vytvoření cílového souboru | datetime | Čas vytvoření cílového souboru. |
| Cílový adresář souborů | řetězec | Cílová složka nebo umístění souboru. |
| TargetFileExtension | řetězec | Cílová přípona souboru. |
| TargetFileMD5 | řetězec | Hodnota hash MD5 cílového souboru. |
| TargetFileMimeType | řetězec | Typ MIME nebo média cílového souboru. |
| TargetFileName | řetězec | Název cílového souboru bez cesty nebo umístění, ale s příponou, pokud je to relevantní. |
| TargetFilePath | řetězec | Úplná normalizovaná cesta cílového souboru, včetně složky nebo umístění, názvu souboru a přípony. |
| TargetFilePathType | řetězec | Typ TargetFilePath |
| TargetFileSHA1 | řetězec | Hodnota hash SHA-1 cílového souboru. |
| TargetFileSHA256 | řetězec | Hash SHA-256 cílového souboru. |
| TargetFileSHA512 | řetězec | Hash SHA-512 zdrojového souboru. |
| Cílová velikost souboru | dlouhý | Velikost cílového souboru v bajtech. |
| Typ aplikace TargetOriginal | řetězec | Typ cílové aplikace, jak je hlášen hlásícím zařízením. |
| Cílová adresa URL | řetězec | Při zahájení operace pomocí protokolu HTTP nebo HTTPS se použije adresa URL. |
| ID nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Kategorie hrozeb | řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě souboru. |
| Důvěra hrozby | int (integer) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| Pole hrozeb | řetězec | Pole, pro které byla zjištěna hrozba. Hodnota je SrcFilePath nebo DstFilePath. |
| Cesta k souboru hrozby | řetězec | Cesta k souboru, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole, které ThreatFilePath představuje. |
| Čas prvního nahlášení ohrožení | datetime | Případ první identifikace IP adresy nebo domény jako hrozby. |
| IdentifikátorHrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě souboru. |
| HrozbaJeAktivní | Booleova hodnota | Skutečné ID zjištěné hrozby se považuje za aktivní hrozbu. |
| ČasPosledníhoZaznamenáníHrozby | datetime | Poslední doba, kdy byla IP adresa nebo doména označena jako hrozba. |
| Název hrozby | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě souboru. |
| PůvodníDůvěraHrozby | řetězec | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| Původní úroveň rizika hrozby | řetězec | Úroveň rizika hlášená hlásícím zařízením. |
| Úroveň Rizika Hrozby | int (integer) | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. |
| Čas vygenerování | datetime | Časové razítko odrážející čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |