Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Schéma událostí registru ASim představuje aktivitu Systému Windows při vytváření, úpravách nebo odstraňování entit registru systému Windows. Události registru jsou specifické pro systémy Windows, ale jsou hlášeny různými systémy, které monitorují Windows, jako jsou systémy EDR (detekce koncových bodů a odezva), Sysmon nebo samotný Systém Windows.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/asimtables |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Podpora DCR v čase příjmu dat | Ano |
| Příjem dat pouze u jezera | Ano |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Příkazový řádek pro běžící proces | řetězec | Příkazový řádek použitý ke spuštění procesu. |
| ActingProcessGuid | řetězec | Vygenerovaný jedinečný identifikátor hereckého procesu. |
| IdAktivníhoProcesu | řetězec | ID procesu zpracování. |
| NázevAkčníhoProcesu | řetězec | Název souboru bitové kopie procesu hereckého procesu. |
| AktérOriginálníTypUživatele | řetězec | Původní typ uživatele objektu actor, pokud zdroj poskytuje. |
| ActorScope | řetězec | Obor, například tenant Azure AD, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorScopeId | řetězec | ID oboru, například ID tenanta Azure AD, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID relace přihlášení objektu Actor. |
| ID uživatele herce (ActorUserAadId) | řetězec | ID objektu actor v Azure Active Directory. |
| ActorUserId | řetězec | Jedinečné ID objektu Actor. |
| Typ uživatelského ID herce | řetězec | Typ ID uloženého v poli ActorUserId. |
| HerecUzivatelskeJmeno | řetězec | Uživatelské jméno uživatele, který událost zahájil. |
| TypUživatelskéhoJménaAktéra | řetězec | Určuje typ uživatelského jména uloženého v poli ActorUsername. |
| ActorUserSid | řetězec | ID uživatele systému Windows (SID) objektu actor. |
| Typ uživatele herce | řetězec | Typ objektu Actor. |
| Další pole | dynamický | Další informace, reprezentované pomocí párů klíč/hodnota poskytnuté zdrojem, které se nemapují na ASim. |
| _Fakturovaná velikost | opravdový | Velikost záznamu v bajtech |
| DvcAction | řetězec | V případě systémů zabezpečení generování sestav akce prováděné systémem. |
| Popis dvcDescription | řetězec | Popisný text přidružený k zařízení |
| DvcDomain | řetězec | Doména zařízení hlásí událost. |
| DvcDomainType | řetězec | Typ DvcDomain. |
| DvcFQDN | řetězec | Název hostitele zařízení, na kterém došlo k události nebo na které byla událost hlášena. |
| DvcHostname | řetězec | Název hostitele zařízení, které hlásí událost. |
| DvcId | řetězec | Jedinečné ID zařízení, na kterém došlo k události nebo které událost nahlásila. |
| DvcIdType (typ identifikátoru zařízení) | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém byla zaznamenána data. |
| DvcIpAddr | řetězec | IP adresa zařízení, které hlásí událost. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. |
| DvcOriginalAction | řetězec | Původní DvcAction, jak poskytuje zařízení pro generování sestav. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení, na kterém došlo k události nebo na kterém byla událost hlášena. |
| DvcOsVersion | řetězec | Verze operačního systému v zařízení, na kterém došlo k události nebo která ohlásila událost. |
| DvcScope | řetězec | Rozsah cloudové platformy, do které zařízení patří. DvcScope se mapuje na název předplatného v Azure a na ID účtu v AWS. |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síť, na které došlo k události nebo která ohlásila událost. |
| Počet událostí | int (integer) | Počet událostí popsaných záznamem. |
| Čas ukončení události | datetime | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas, kdy byla vygenerována poslední událost. Pokud zdrojový záznam nezadá, toto pole aliasy pole TimeGenerated. |
| Zpráva o události | řetězec | Obecná zpráva nebo popis |
| Podrobnosti o původním výsledku události | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. |
| UdálostOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro generování sestav. |
| PůvodníPodtypUdálosti | řetězec | Původní podtyp nebo ID události, pokud zdroj poskytuje. |
| PůvodníTypUdálosti | řetězec | Jedinečné ID původního záznamu, pokud zdroj poskytuje. |
| UdálostOriginálníUid | řetězec | . |
| Vlastník události | řetězec | Vlastník události, která je obvykle oddělením nebo dceřinou společností, ve které byla vygenerována. |
| EventProduct | řetězec | Produkt, který událost generuje. |
| Událost verze produktu | řetězec | Verze produktu generující událost. |
| URL zprávy o události | řetězec | Adresa URL zadaná v události pro prostředek, který poskytuje další informace o události. |
| Výsledek události | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| Podrobnosti výsledků události | řetězec | Důvod nebo podrobnosti výsledku hlášeného v poli EventResult |
| Schéma událostí | řetězec | Název schématu. |
| Verze schématu události | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| Čas začátku události | datetime | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas, kdy byla vygenerována první událost. Pokud zdrojový záznam nezadá, toto pole aliasy pole TimeGenerated. |
| Podtyp události | řetězec | Popisuje dílčí rozdělení operace hlášené v poli EventType. |
| Typ události | řetězec | Popisuje operaci hlášenou záznamem. |
| EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud se příjem dat _IsBillable false neúčtuje vašemu účtu Azure |
| Řádek příkazů nadřazeného procesu | řetězec | Příkazový řádek použitý ke spuštění procesu. |
| ParentProcessGuid | řetězec | Vygenerovaný jedinečný identifikátor nadřazeného procesu. |
| ID nadřazeného procesu | řetězec | ID procesu nadřazeného procesu. |
| NázevNadřazenéhoProcesu | řetězec | Název souboru image nadřazeného procesu. |
| Klíč registru | řetězec | Klíč registru přidružený k operaci, normalizovaný na standardní zásady vytváření názvů kořenových klíčů. |
| KlíčPředchozíhoRegistru | řetězec | U operací, které upravují registr, se původní klíč registru normalizuje na standardní pojmenování kořenového klíče. |
| PředchozíHodnotaRegistru | řetězec | U operací, které upravují registr, je původní typ hodnoty normalizován do standardního formuláře. |
| RegistryPreviousValueData | řetězec | Původní data registru pro operace, které upravují registr. |
| RegistryPreviousValueType | řetězec | Pro operace, které upravují registr, původní typ hodnoty. |
| Hodnota registru | řetězec | Hodnota registru přidružená k operaci. |
| Data Hodnoty Registru | řetězec | Data uložená v hodnotě registru. |
| TypHodnotyRegistru | řetězec | Typ hodnoty registru normalizovaný na standardní formulář. |
| _ResourceId (ID zdroje) | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| NázevPravidla | řetězec | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| ČísloPravidla | int (integer) | Počet pravidel přidružených k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| _ID předplatného | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Identifikátor nájemce (TenantId) | řetězec | ID pracovního prostoru služby Log Analytics |
| Kategorie hrozby | řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě. |
| Důvěra v hrozby | int (integer) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| Pole hrozeb | řetězec | Pole, pro které byla zjištěna hrozba. |
| Čas prvního nahlášení ohrožení | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
| Identifikátor hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě. |
| HrozbaJeAktivní | Booleova hodnota | Skutečné ID zjištěné hrozby se považuje za aktivní hrozbu. |
| Čas posledního hlášení hrozby | datetime | Čas posledního zjištění IP adresy nebo domény jako hrozby |
| Název hrozby | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě. |
| HrozbaPůvodníDůvěra | řetězec | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| Původní úroveň rizika hrozby | řetězec | Úroveň rizika hlášená zařízením pro generování sestav. |
| Úroveň rizika ohrožení | int (integer) | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. |
| Čas vygenerování | datetime | Časové razítko (UTC) odráží čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |