ASimUserManagementActivityLogs
Das Schema der ASim-Benutzerverwaltung stellt Benutzerverwaltungsaktivitäten dar, z. B. das Erstellen eines Benutzers oder einer Gruppe, das Ändern eines Benutzerattributes oder das Hinzufügen eines Benutzers zu einer Gruppe. Solche Ereignisse werden z. B. von Betriebssystemen, Verzeichnisdiensten, Identitätsverwaltungssystemen und anderen Systemen gemeldet, die über die lokale Benutzerverwaltungsaktivität berichten.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | microsoft.securityinsights/asimtables |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation der Erfassungszeit | Yes |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
ActingAppId | Zeichenfolge | Die ID der Anwendung, die der Akteur zur Durchführung der Aktivität verwendet, einschließlich eines Prozesses, Browsers oder Dienstes. |
ActingAppName | Zeichenfolge | Der Name der Anwendung, die der Akteur zur Durchführung der Aktivität verwendet, einschließlich eines Prozesses, Browsers oder Dienstes. |
ActingAppType | Zeichenfolge | Der Typ der agierenden Anwendung. |
ActingOriginalAppType | Zeichenfolge | Der vom Berichterstellungsgerät gemeldete anwendungstyp. |
ActorOriginalUserType | Zeichenfolge | Der ursprüngliche Akteurbenutzertyp, sofern von der Quelle bereitgestellt. |
ActorScope | Zeichenfolge | Der Bereich, z. B. der Azure AD-Mandant, in dem ActorUserId und ActorUsername definiert sind. |
ActorScopeId | Zeichenfolge | Die Bereichs-ID, z. B. die Azure AD-Mandanten-ID, in der ActorUserId und ActorUsername definiert sind. |
ActorSessionId | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Akteurs. |
ActorUserAadId | Zeichenfolge | Die Azure Active Directory-ID des Akteurs. |
ActorUserId | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. |
ActorUserIdType | Zeichenfolge | Der Typ der ID, die im Feld ActorUserId gespeichert ist. |
ActorUsername | Zeichenfolge | Der Benutzername des Akteurs, einschließlich Domäneninformationen, sofern verfügbar. |
ActorUsernameType | Zeichenfolge | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. |
ActorUserSid | Zeichenfolge | Die Windows-Benutzer-ID (SIDs) des Akteurs. |
ActorUserType | Zeichenfolge | Der Typ des Akteurs. |
AdditionalFields | dynamisch | Zusätzliche Informationen, die mithilfe von Schlüssel-Wert-Paaren dargestellt werden, die von der Quelle bereitgestellt werden und die ASim nicht zugeordnet sind. |
_BilledSize | real | Die Datensatzgröße in Bytes |
DvcAction | Zeichenfolge | Zum Melden von Sicherheitssystemen die vom System ausgeführte Aktion. |
DvcDescription | Zeichenfolge | Ein mit dem Gerät verknüpfter beschreibender Text. |
DvcDomain | Zeichenfolge | Die Domäne des Geräts, das das Ereignis meldet. |
DvcDomainType | Zeichenfolge | Der Typ von DvcDomain. |
DvcFQDN | Zeichenfolge | Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
DvcHostname | Zeichenfolge | Der Hostname des Geräts, das das Ereignis meldet. |
DvcId | Zeichenfolge | Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
DvcIdType | Zeichenfolge | Der Typ von DvcId. |
DvcInterface | Zeichenfolge | Die Netzwerkschnittstelle, über die Daten erfasst wurden. |
DvcIpAddr | Zeichenfolge | Die IP-Adresse des Geräts, das das Ereignis meldet. |
DvcMacAddr | Zeichenfolge | Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
DvcOriginalAction | Zeichenfolge | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
DvcOs | Zeichenfolge | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
DvcOsVersion | Zeichenfolge | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
DvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einem Abonnementnamen in Azure und einer Konto-ID in AWS zugeordnet. |
DvcScopeId | Zeichenfolge | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DvcZone | Zeichenfolge | Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
EventCount | INT | Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden. |
EventEndTime | datetime | Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle die Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, ist der Zeitpunkt, zu dem das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
EventMessage | Zeichenfolge | Eine allgemeine Nachricht oder Beschreibung. |
EventOriginalResultDetails | Zeichenfolge | Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. |
EventOriginalSeverity | Zeichenfolge | Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. |
EventOriginalSubType | Zeichenfolge | Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
EventOriginalType | Zeichenfolge | Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
EventOriginalUid | Zeichenfolge | Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt. |
EventOwner | Zeichenfolge | Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde |
EventProduct | Zeichenfolge | Das Produkt, das das Ereignis erzeugt. |
EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
EventReportUrl | Zeichenfolge | Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält. |
EventResult | Zeichenfolge | Das Ergebnis des Ereignisses, dargestellt durch einen der folgenden Werte: Success, Partial, Failure, NA (Not Applicable). Der Wert kann nicht direkt von den Quellen bereitgestellt werden. In diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld EventResultDetails. |
EventResultDetails | Zeichenfolge | Grund oder Details für das im Feld EventResult gemeldete Ergebnis. |
EventSchema | Zeichenfolge | Der Name des Schemas |
EventSchemaVersion | Zeichenfolge | Die Version des Schemas. |
EventSeverity | Zeichenfolge | Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High. |
EventStartTime | datetime | Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle die Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, ist dies der Zeitpunkt, zu dem das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
EventSubType | Zeichenfolge | Beschreibt eine Untereinheit des Vorgangs, der im Feld EventType gemeldet wird. |
EventType | Zeichenfolge | Beschreibt den vom Datensatz gemeldeten Vorgang. |
EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. |
GroupId | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung der Gruppe für Aktivitäten, die eine Gruppe betreffen. |
GroupIdType | Zeichenfolge | Der Typ der ID, die im Feld GroupId gespeichert ist. |
GroupName | Zeichenfolge | Der Gruppenname, einschließlich der Domäneninformationen, sofern verfügbar, für Aktivitäten, die eine Gruppe betreffen. |
GroupNameType | Zeichenfolge | Gibt den Typ des Gruppennamens an, der im Feld GroupName gespeichert ist. |
GroupOriginalType | Zeichenfolge | Der ursprüngliche Gruppentyp, sofern von der Quelle bereitgestellt. |
GroupType | Zeichenfolge | Der Typ der Gruppe für Aktivitäten, die eine Gruppe betreffen. |
HttpUserAgent | Zeichenfolge | Wenn die Authentifizierung über HTTP oder HTTPS erfolgt, entspricht der Wert dieses Felds dem HTTP-Header „user_agent“, der von der agierenden Anwendung beim Durchführen der Authentifizierung bereitgestellt wird. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
NewPropertyValue | Zeichenfolge | Der neue Wert, der in der angegebenen Eigenschaft gespeichert ist. |
PreviousPropertyValue | Zeichenfolge | Der vorherige Wert, der in der angegebenen Eigenschaft gespeichert wurde. |
_ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
RuleName | Zeichenfolge | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
RuleNumber | INT | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
SrcDescription | Zeichenfolge | Ein beschreibender Text, der dem Quellgerät zugeordnet ist. |
SrcDeviceType | Zeichenfolge | Der Typ des Quellgeräts. |
SrcDomain | Zeichenfolge | Die Domäne des Quellgeräts. |
SrcDomainType | Zeichenfolge | Der Typ von SrcDomain. |
SrcDvcId | Zeichenfolge | Die ID des Quellgeräts, wie im Datensatz angegeben. |
SrcDvcIdType | Zeichenfolge | Der Typ von SrcDvcId. |
SrcDvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Quellgerät gehört. SrcDvcScope wird einem Abonnementnamen in Azure und einer Konto-ID in AWS zugeordnet. |
SrcDvcScopeId | Zeichenfolge | Die Cloudplattformbereichs-ID, zu der das Quellgerät gehört. SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
SrcFQDN | Zeichenfolge | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. |
SrcGeoCity | Zeichenfolge | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoLatitude | real | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoLongitude | real | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
SrcGeoRegion | Zeichenfolge | Die Region innerhalb eines Landes, das der Quell-IP-Adresse zugeordnet ist. |
SrcHostname | Zeichenfolge | Der Hostname des Quellgeräts ohne Domäneninformationen. |
SrcIpAddr | Zeichenfolge | Die IP-Adresse des Quellgeräts. |
SrcMacAddr | Zeichenfolge | Die MAC-Adresse des Quellgeräts. |
SrcOriginalRiskLevel | Zeichenfolge | Die Risikostufe, die mit der identifizierten Quelle verbunden ist, wie vom Berichterstellungsgerät gemeldet. |
SrcPortNumber | INT | Der Quell-IP-Port, von dem die Verbindung stammt. |
SrcRiskLevel | INT | Die Risikostufe, die der identifizierten Quelle zugeordnet ist. |
_SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
TargetOriginalUserType | Zeichenfolge | Der ursprüngliche Zielbenutzertyp, sofern von der Quelle bereitgestellt. |
TargetUserId | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Zielbenutzers. |
TargetUserIdType | Zeichenfolge | Der Typ der ID, die im Feld TargetUserId gespeichert ist. |
TargetUsername | Zeichenfolge | Der Zielbenutzername ggf. mit Informationen zur Domäne. |
TargetUsernameType | Zeichenfolge | Gibt den Typ des Benutzernamens an, der im Feld TargetUsername gespeichert ist. |
TargetUserScope | Zeichenfolge | Der Bereich, z. B. Azure AD-Mandantenname, in dem TargetUserId und TargetUsername definiert sind. |
TargetUserScopeId | Zeichenfolge | Die Bereichs-ID, z. B. die Azure AD-Mandanten-ID, in der TargetUserId und TargetUsername definiert sind. |
TargetUserSessionId | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Benutzers. |
TargetUserType | Zeichenfolge | Der Typ des Zielbenutzers. |
TargetUserUid | Zeichenfolge | Die Unix- oder Linux-Benutzer-ID des Benutzers. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
ThreatCategory | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
ThreatConfidence | INT | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
ThreatField | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. |
ThreatFirstReportedTime | datetime | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatId | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
ThreatIsActive | bool | True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet. |
ThreatLastReportedTime | datetime | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatName | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
ThreatOriginalConfidence | Zeichenfolge | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
ThreatOriginalRiskLevel | Zeichenfolge | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
ThreatRiskLevel | INT | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. |
TimeGenerated | datetime | Der Zeitstempel (UTC), der den Zeitpunkt widerspiegelt, zu dem das Ereignis generiert wurde. |
type | Zeichenfolge | Der Name der Tabelle. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für