CommonSecurityLog
Tato tabulka slouží ke shromažďování událostí ve formátu společných událostí, které se nejčastěji odesílají z různých bezpečnostních zařízení, jako jsou Check Point, Palo Alto a další.
Atributy tabulky
Atribut | Hodnota |
---|---|
Typy prostředků | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Kategorie | Zabezpečení |
Řešení | Zabezpečení, SecurityInsights |
Základní protokol | No |
Transformace doby příjmu dat | Yes |
Ukázkové dotazy | Ano |
Sloupce
Sloupec | Typ | Description |
---|---|---|
Aktivita | řetězec | Řetězec, který představuje čitelný a srozumitelný popis události. |
AdditionalExtensions | řetězec | Zástupný symbol pro další pole. Pole se protokolují jako páry klíč-hodnota. |
ApplicationProtocol | řetězec | Protokol použitý v aplikaci, například HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS atd. |
_BilledSize | real | Velikost záznamu v bajtech |
Název_hostitele_kolektoru | řetězec | Název hostitele počítače kolektoru, na kterém běží agent. |
CommunicationDirection | řetězec | Jakékoli informace o tom, jakým směrem se pozorovaná komunikace udála. Platné hodnoty: 0 = příchozí, 1 = odchozí. |
Počítač | řetězec | Hostitel ze Syslogu. |
DestinationDnsDomain | řetězec | Část DNS plně kvalifikovaného názvu domény (FQDN). |
Název cílového hostitele | řetězec | Cíl, na který událost odkazuje v síti IP. Formát by měl být plně kvalifikovaný název domény přidružený k cílovému uzlu, pokud je uzel k dispozici. Příklad: host.domain.com nebo hostitel. |
Ip adresa cíle | řetězec | Cílová adresa IpV4, na kterou událost odkazuje v síti IP. |
DestinationMACAddress | řetězec | Cílová adresa MAC (FQDN) |
DestinationNTDomain | řetězec | Název cílové adresy domény systému Windows. |
Cílový port | int | Cílový port. Platné hodnoty: 0 – 65535. |
DestinationProcessId | int | ID cílového procesu přidruženého k události. |
Název cílovéhoprocesu | řetězec | Název cílového procesu události, například telnetd nebo sshd. |
Název cílové služby | řetězec | Služba, na kterou událost cílí. Příklad: sshd. |
DestinationTranslatedAddress | řetězec | Identifikuje přeložený cíl, na který událost odkazuje v síti IP jako IP adresa IPv4. |
DestinationTranslatedPort | int | Port po překladu, například brána firewall: Platná čísla portů: 0 – 65535. |
DestinationUserID (ID cílového uživatele) | řetězec | Identifikuje cílového uživatele podle ID. Například v Unixu je uživatel root obecně přidružený k ID uživatele 0. |
DestinationUserName | řetězec | Identifikuje cílového uživatele podle jména. |
CílováuserPrivileges | řetězec | Definuje oprávnění cílového použití. Platné hodnoty: Admninistrator, User, Guest. |
DeviceAction | řetězec | Akce uvedená v události. |
DeviceAddress | řetězec | Adresa IPv4 zařízení, které událost generuje. |
DeviceCustomDate1 | řetězec | Jedno ze dvou polí časového razítka dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a pokud je to možné, vyhledejte konkrétnější slovníkové pole. |
DeviceCustomDate1Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomDate2 | řetězec | Jedno ze dvou polí časového razítka dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a pokud je to možné, vyhledejte konkrétnější slovníkové pole. |
DeviceCustomDate2Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomFloatingPoint1 | real | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
DeviceCustomFloatingPoint1Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomFloatingPoint2 | real | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
DeviceCustomFloatingPoint2Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomFloatingPoint3 | real | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
DeviceCustomFloatingPoint3Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomFloatingPoint4 | real | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
DeviceCustomFloatingPoint4Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomIPv6Address1 | řetězec | Jedno ze čtyř polí adres IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
DeviceCustomIPv6Address1Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomIPv6Address2 | řetězec | Jedno ze čtyř polí adres IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
DeviceCustomIPv6Address2Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomIPv6Address3 | řetězec | Jedno ze čtyř polí adres IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
DeviceCustomIPv6Address3Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomIPv6Address4 | řetězec | Jedno ze čtyř polí adres IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
DeviceCustomIPv6Address4Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomNumber1 | int | Brzy bude zastaralé pole. Bude nahrazeno polem FieldDeviceCustomNumber1. |
DeviceCustomNumber1Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomNumber2 | int | Brzy bude zastaralé pole. Nahradí se polem FieldDeviceCustomNumber2. |
DeviceCustomNumber2Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomNumber3 | int | Brzy bude zastaralé pole. Nahradí se polem FieldDeviceCustomNumber3. |
DeviceCustomNumber3Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomString1 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a pokud je to možné, vyhledejte konkrétnější slovníkové pole. |
DeviceCustomString1Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomString2 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a pokud je to možné, vyhledejte konkrétnější slovníkové pole. |
DeviceCustomString2Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomString3 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a pokud je to možné, vyhledejte konkrétnější slovníkové pole. |
DeviceCustomString3Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomString4 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a pokud je to možné, vyhledejte konkrétnější slovníkové pole. |
DeviceCustomString4Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomString5 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a pokud je to možné, vyhledejte konkrétnější slovníkové pole. |
DeviceCustomString5Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceCustomString6 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a pokud je to možné, vyhledejte konkrétnější slovníkové pole. |
DeviceCustomString6Label | řetězec | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
DeviceDnsDomain | řetězec | Část domény DNS plně kvalifikovaného názvu domény (FQDN). |
DeviceEventCategory | řetězec | Představuje kategorii přiřazenou původním zařízením. Zařízení často ke klasifikaci událostí používají vlastní schéma kategorizace. Příklad: /Monitor/Disk/Read. |
DEVICEEventClassID | řetězec | Řetězec nebo celé číslo, které slouží jako jedinečný identifikátor pro každý typ události. |
DeviceExternalID | řetězec | Název, který jednoznačně identifikuje zařízení, které událost generuje. |
DeviceFacility | řetězec | Zařízení, které událost generuje. Například: auth nebo local1. |
DeviceInboundInterface | řetězec | Rozhraní, na kterém paket nebo data vstoupila do zařízení. Příklad: ethernet1/2. |
DeviceMacAddress | řetězec | Adresa MAC zařízení, které událost generuje. |
DeviceName | řetězec | Plně kvalifikovaný název domény přidružený k uzlu zařízení, pokud je uzel k dispozici. Příklad: host.domain.com nebo hostitel. |
DeviceNtDomain | řetězec | Doména systému Windows adresy zařízení. |
DeviceOutboundInterface | řetězec | Rozhraní, na kterém paket nebo data opustila zařízení. |
DevicePayloadId | řetězec | Jedinečný identifikátor datové části přidružené k události. |
Produkt zařízení | řetězec | Řetězec, který společně s definicemi produktu a verze zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
DeviceTimeZone | řetězec | Časové pásmo zařízení, které událost generuje. |
DeviceTranslatedAddress | řetězec | Identifikuje přeloženou adresu zařízení, na kterou událost odkazuje, v síti IP. Formát je adresa IPv4. |
DeviceVendor | řetězec | Řetězec, který společně s definicemi produktu a verze zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
DeviceVersion | řetězec | Řetězec, který společně s definicemi produktu a verze zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
EndTime | datetime | Čas, kdy aktivita související s událostí skončila. |
EventCount | int | Počet přidružený k události, který ukazuje, kolikrát byla zjištěna stejná událost. |
EventOutcome | řetězec | Zobrazí výsledek, obvykle jako úspěch nebo neúspěch. |
Typ události | int | Typ události. Hodnoty zahrnují: 0: základní událost, 1: agregovaná, 2: korelační událost, 3: událost akce. Poznámka: Tuto událost je možné u základních událostí vynechat. |
ExternalID | int | Brzy bude zastaralé pole. Nahradí se ExtID. |
ExtID | řetězec | ID používané původním zařízením (nahradí starší externalID). Tyto hodnoty mají obvykle rostoucí hodnoty, které jsou spojené s událostí. |
FieldDeviceCustomNumber1 | long | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku (nahradí starší verzi DeviceCustomNumber1). Používejte střídmě a vyhledejte konkrétnější slovníkové pole, pokud je to možné. |
FieldDeviceCustomNumber2 | long | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku (nahradí starší verzi DeviceCustomNumber2). Používejte střídmě a vyhledejte konkrétnější slovníkové pole, pokud je to možné. |
FieldDeviceCustomNumber3 | long | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku (nahradí starší verzi DeviceCustomNumber3). Používejte střídmě a vyhledejte konkrétnější slovníkové pole, pokud je to možné. |
FileCreateTime | řetězec | Čas vytvoření souboru. |
FileHash | řetězec | Hodnota hash souboru |
Id souboru | řetězec | ID přidružené k souboru, například inode. |
FileModificationTime | řetězec | Čas, kdy byl soubor naposledy změněn. |
FileName | řetězec | Název souboru bez cesty. |
Filepath | řetězec | Úplná cesta k souboru, včetně názvu souboru. Například: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip. |
FilePermission | řetězec | Oprávnění souboru. Příklad: "2,1,1". |
Velikost | int | Velikost souboru v bajtech |
Filetype | řetězec | Typ souboru, například potrubí, soket atd. |
FlexDate1 | řetězec | Pole časového razítka dostupné pro mapování časového razítka, které se nevztahuje na žádné jiné definované pole časového razítka v tomto slovníku. Používejte všechna flexibilní pole střídmě a vyhledejte konkrétnější slovníková pole, pokud je to možné. Tato pole jsou obvykle vyhrazena pro použití zákazníkem a dodavatelé by je neměli nastavovat, pokud to není nutné. |
FlexDate1Label | řetězec | Pole popisku je řetězec a popisuje účel pole flex. |
FlexNumber1 | int | Číselná pole dostupná pro mapování dat Int, která se nevztahují na žádné jiné pole v tomto slovníku. |
FlexNumber1Label | řetězec | Popisek, který popisuje hodnotu v FlexNumber1 |
FlexNumber2 | int | Číselná pole dostupná pro mapování dat Int, která se nevztahují na žádné jiné pole v tomto slovníku. |
FlexNumber2Label | řetězec | Popisek, který popisuje hodnotu v FlexNumber2 |
FlexString1 | řetězec | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a vyhledejte konkrétnější slovníkové pole, pokud je to možné. Tato pole jsou obvykle vyhrazena pro použití zákazníkem a dodavatelé by je neměli nastavovat, pokud to není nutné. |
FlexString1Label | řetězec | Pole popisku je řetězec a popisuje účel pole flex. |
FlexString2 | řetězec | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Používejte střídmě a vyhledejte konkrétnější slovníkové pole, pokud je to možné. Tato pole jsou obvykle vyhrazena pro použití zákazníkem a dodavatelé by je neměli nastavovat, pokud to není nutné. |
FlexString2Label | řetězec | Pole popisku je řetězec a popisuje účel flexibilního pole. |
Typ objektu indexu | řetězec | Typ hrozby Škodlivé IP adresy podle našeho informačního kanálu TI. |
_IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
LogSeverity | řetězec | Řetězec nebo celé číslo, které popisuje důležitost události. Platné řetězcové hodnoty: Neznámé, Nízké, Střední, Vysoké Very-High Platné celočíselné hodnoty: 0-3 = Nízká, 4-6 = Střední, 7-8 = Vysoká, 9-10 = Velmi vysoká. |
MaliciousIP | řetězec | Pokud některá z IP adres ve zprávě koreluje s aktuálním informačním kanálem TI, který máme, zobrazí se tady. |
MaliciousIPCountry | řetězec | Země škodlivé IP adresy podle geografických informací v době příjmu záznamů. |
MaliciousIPLatitude | real | Zeměpisná šířka škodlivé IP adresy podle geografických informací v době příjmu záznamů. |
MaliciousIPLongitude | real | Zeměpisná délka škodlivé IP adresy podle geografických informací v době příjmu záznamů. |
Zpráva | řetězec | Zpráva s dalšími podrobnostmi o události |
OldFileCreateTime | řetězec | Čas vytvoření starého souboru |
Starý SouborHash | řetězec | Hodnota hash starého souboru |
ID původního souboru | řetězec | A ID přidružené ke starému souboru, například inode. |
OldFileModificationTime | řetězec | Čas poslední změny starého souboru |
Název původního souboru | řetězec | Název starého souboru |
OldFilePath | řetězec | Úplná cesta k původnímu souboru, včetně názvu souboru. Například: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip. |
OldFilePermission | řetězec | Oprávnění starého souboru. Příklad: "2,1,1". |
OldFileSize | int | Velikost starého souboru v bajtech. |
OldFileType | řetězec | Typ souboru starého souboru, například kanál, soket atd. |
OriginalLogSeverity | řetězec | Nemapovaná verze LogSeverity. Příklad: Upozornění/Kritické/Informace místo normilizované hodnoty Nízká,Střední/Vysoká v poli LogSeverity |
ProcessID | int | Definuje ID procesu na zařízení, které událost generuje. |
ProcessName | řetězec | Název procesu přidružený k události. Například v systému UNIX proces generující položku syslog. |
Protokol | řetězec | Transportní protokol, který identifikuje použitý protokol vrstvy 4. Možné hodnoty zahrnují názvy protokolů, například TCP nebo UDP. |
Důvod | řetězec | Důvod vygenerování události auditu Například "chybné heslo" nebo "neznámý uživatel". Může se jednat také o chybu nebo návratový kód. Příklad: "0x1234". |
ReceiptTime | řetězec | Čas, kdy byla přijata událost související s aktivitou. Liší se od pole Timegenerated( Čas vygenerováno), kdy byla událost přijata do počítače kolektoru protokolů. |
ReceivedBytes | long | Počet přenesených bajtů při příchozím přenosu |
RemoteIP | řetězec | Vzdálená IP adresa odvozená od hodnoty směru události, pokud je to možné. |
RemotePort | řetězec | Vzdálený port odvozený od hodnoty směru události, pokud je to možné. |
Odkaz na odkaz sestavy | řetězec | Odkaz na sestavu informačního kanálu TI. |
RequestClientApplication | řetězec | Uživatelský agent přidružený k požadavku. |
Requestcontext | řetězec | Popisuje obsah, ze kterého požadavek pochází, například odkazující server HTTP. |
RequestCookies | řetězec | Soubory cookie přidružené k požadavku. |
Metoda požadavku | řetězec | Metoda používaná pro přístup k adrese URL. Mezi platné hodnoty patří metody, jako jsou POST, GET atd. |
Adresa URL požadavku | řetězec | Adresa URL, ke které se přistupuje pro požadavek HTTP, včetně protokolu. Příklad: http://www/secure.com. |
_Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
SentBytes | long | Počet přenesených bajtů odchozích přenosů |
SimplifiedDeviceAction | řetězec | Mapovaná verze DeviceAction, například Denied > Deny. |
Doména SourceDnsDomain | řetězec | Část domény DNS kompletního plně kvalifikovaného názvu domény. |
Název zdrojového hostitele | řetězec | Identifikuje zdroj, na který událost odkazuje v síti IP. Formátem by měl být plně kvalifikovaný název domény (DQDN) přidružený ke zdrojovému uzlu, pokud je uzel k dispozici. Příklad: hostitel nebo host.domain.com. |
Zdrojová IP adresa | řetězec | Zdroj, na který událost odkazuje v síti IP, jako adresa IPv4. |
SourceMACAddress | řetězec | Zdrojová adresa MAC. |
SourceNTDomain | řetězec | Název domény systému Windows pro zdrojovou adresu. |
SourcePort | int | Číslo zdrojového portu. Platná čísla portů jsou 0 až 65535. |
Id zdrojového kódu | int | ID zdrojového procesu přidruženého k události. |
Název zdrojového kódu | řetězec | Název zdrojového procesu události. |
Název zdrojové služby | řetězec | Služba zodpovědná za generování události. |
SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
ZdrojtranslatedAddress | řetězec | Identifikuje přeložený zdroj, na který událost odkazuje v síti IP. |
SourceTranslatedPort | int | Zdrojový port po překladu, například brána firewall. Platná čísla portů jsou 0 až 65535. |
ID zdrojového uživatele | řetězec | Identifikuje zdrojového uživatele podle ID. |
Zdrojové uživatelské jméno | řetězec | Identifikuje zdrojového uživatele podle jména. Email adresy se také mapují do polí UserName. Odesílatel je kandidátem na vložení do tohoto pole. |
SourceUserPrivileges | řetězec | Oprávnění zdrojového uživatele. Mezi platné hodnoty patří: Administrator, User, Guest. |
StartTime | datetime | Čas, kdy aktivita, na kterou událost odkazuje, začala. |
_SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
ThreatConfidence | řetězec | Spolehlivost hrozeb škodlivé IP adresy podle našeho informačního kanálu TI. |
ThreatDescription | řetězec | Popis hrozby škodlivé IP adresy podle našeho informačního kanálu TI. |
ThreatSeverity | int | Závažnost hrozby Škodlivé IP adresy podle našeho informačního kanálu TI v době příjmu záznamů. |
TimeGenerated | datetime | Čas shromažďování událostí ve standardu UTC. |
Typ | řetězec | Název tabulky |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro