ASimRegistryEventLogs
Schéma událostí registru ASim představuje aktivitu Windows při vytváření, úpravě nebo odstraňování entit registru systému Windows. Události registru jsou specifické pro systémy Windows, ale hlásí je různé systémy, které systém Windows monitorují, například systémy EDR (End Point Detection and Response), Sysmon nebo samotný systém Windows.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/asimtables |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| ActingProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu. |
| ActingProcessGuid | řetězec | Vygenerovaný jedinečný identifikátor hereckého procesu. |
| ActingProcessId | řetězec | ID procesu působícího procesu. |
| ActingProcessName | řetězec | Název souboru obrázku hereckého procesu. |
| ActorOriginalUserType | řetězec | Původní typ uživatele objektu actor, pokud ho zdroj poskytuje. |
| ActorScope | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány ActorUserId a ActorUsername. |
| Id objektu ActorScope | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definovány Id actorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID relace přihlášení objektu Actor. |
| ActorUserAadId | řetězec | ID objektu actor v Azure Active Directory. |
| ActorUserId | řetězec | Jedinečné ID objektu Actor. |
| ActorUserIdType | řetězec | Typ ID uloženého v poli ActorUserId. |
| ActorUsername | řetězec | Uživatelské jméno uživatele, který událost inicioval. |
| ActorUsernameType | řetězec | Určuje typ uživatelského jména uloženého v poli ActorUsername. |
| ActorUserSid | řetězec | ID uživatele systému Windows (SID) objektu actor. |
| ActorUserType | řetězec | Typ objektu Actor. |
| Další pole | dynamic | Další informace reprezentované pomocí párů klíč/hodnota od zdroje, které se nemapují na ASim. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DvcAction | řetězec | U systémů zabezpečení generování sestav akce, kterou systém provedl. |
| Popis dvcdescription | řetězec | Popisný text přidružený k zařízení. |
| Doména DvcDomain | řetězec | Doména zařízení, které událost hlásí. |
| DvcDomainType | řetězec | Typ DvcDomain. |
| Plně kvalifikovaný název domény | řetězec | Název hostitele zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Název hostitele dvc | řetězec | Název hostitele zařízení, které událost hlásí. |
| Id dvc | řetězec | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Typ dvcId | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém byla data zachycena. |
| DvcIpAddr | řetězec | IP adresa zařízení, které událost hlásí. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Akce dvcOriginalAction | řetězec | Původní DvcAction poskytovaná zařízením pro generování sestav. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Verze dvcOs | řetězec | Verze operačního systému v zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. Mapování DvcScope na název předplatného v Azure a na ID účtu v AWS |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síť, ve které k události došlo nebo která událost nahlásila. |
| Počet událostí | int | Počet událostí popsaných záznamem |
| EventEndTime | datetime | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, označuje čas vygenerování poslední události. Pokud ho zdrojový záznam nezadá, bude toto pole aliasovat pole TimeGenerated. |
| EventMessage | řetězec | Obecná zpráva nebo popis |
| EventOriginalResultDetails | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. |
| EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro generování sestav. |
| EventOriginalSubType | řetězec | Původní podtyp události nebo ID, pokud je zadaný zdrojem. |
| EventOriginalType | řetězec | Jedinečné ID původního záznamu, pokud je zadaný zdrojem. |
| Identifikátor událostiOriginalUid | řetězec | . |
| Vlastník události | řetězec | Vlastník události, což je obvykle oddělení nebo pobočka, ve které se událost vygenerovala. |
| Produkt události | řetězec | Produkt generující událost. |
| EventProductVersion | řetězec | Verze produktu, který generuje událost. |
| EventReportUrl | řetězec | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
| EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Úspěch, Částečné selhání, Selhání, NE (Nejde použít). Hodnotu nelze zadat přímo ze zdrojů. V takovém případě je odvozena z jiných polí události, například pole EventResultDetails. |
| EventResultDetails | řetězec | Důvod nebo podrobnosti o výsledku hlášeného v poli EventResult |
| EventSchema | řetězec | Název schématu. |
| EventSchemaVersion | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| EventStartTime | datetime | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, jedná se o čas, kdy byla vygenerována první událost. Pokud ho zdrojový záznam nezadá, bude toto pole aliasovat pole TimeGenerated. |
| Typ podsítě události | řetězec | Popisuje dílčí dělení operace hlášené v poli EventType. |
| Typ události | řetězec | Popisuje operaci hlášenou záznamem. |
| EventVendor | řetězec | Dodavatel produktu, který generuje událost. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
| ParentProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu. |
| ParentProcessGuid | řetězec | Vygenerovaný jedinečný identifikátor nadřazeného procesu. |
| ParentProcessId | řetězec | ID procesu nadřazeného procesu. |
| ParentProcessName | řetězec | Název souboru nadřazeného souboru bitové kopie procesu. |
| Registrykey | řetězec | Klíč registru přidružený k operaci, normalizovaný na standardní zásady vytváření názvů kořenových klíčů. |
| RegistrPreviousKey | řetězec | Pro operace, které upravují registr, se původní klíč registru normalizuje na standardní pojmenování kořenového klíče. |
| RegistryPreviousValue | řetězec | Pro operace, které upravují registr, původní typ hodnoty normalizován do standardního formuláře. |
| RegistryPreviousValueData | řetězec | Původní data registru pro operace, které upravují registr. |
| RegistryPreviousValueType | řetězec | Pro operace, které upravují registr, je původní typ hodnoty. |
| Hodnota registru | řetězec | Hodnota registru přidružená k operaci. |
| RegistryValueData | řetězec | Data uložená v hodnotě registru. |
| Typ hodnoty registru | řetězec | Typ hodnoty registru normalizované do standardního formátu. |
| _Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Název pravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| RuleNumber | int | Číslo pravidla přidruženého k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| _SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| ThreatCategory | řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě. |
| ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatField | řetězec | Pole, pro které byla zjištěna hrozba. |
| ThreatFirstReportedTime | datetime | Při prvním identifikaci IP adresy nebo domény jako hrozby. |
| Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě. |
| ThreatIsActive | bool | True ID zjištěné hrozby se považuje za aktivní hrozbu. |
| ThreatLastReportedTime | datetime | Čas poslední identifikace IP adresy nebo domény jako hrozby. |
| ThreatName | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě. |
| ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby hlášená zařízením pro hlášení. |
| ThreatOriginalRiskLevel | řetězec | Úroveň rizika hlášená zařízením pro generování sestav. |
| ThreatRiskLevel | int | Úroveň rizika související s identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. |
| TimeGenerated | datetime | Časové razítko (UTC) odrážející čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro