CommonSecurityLog
Esta tabla es para recopilar eventos en el formato de evento común, que se envían con más frecuencia desde diferentes dispositivos de seguridad, como Check Point, Palo Alto y mucho más.
Atributos de tabla
| Attribute | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorías | Seguridad |
| Soluciones | Seguridad, SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Type | Descripción |
|---|---|---|
| Actividad | string | Cadena que representa una descripción inteligible y comprensible del evento. |
| AdditionalExtensions | string | Marcador de posición para campos adicionales. Los campos se registran como pares clave-valor. |
| ApplicationProtocol | string | Protocolo usado en la aplicación, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, etc. |
| _BilledSize | real | Tamaño del registro en bytes |
| CollectorHostName | string | Nombre de host de la máquina del recopilador que ejecuta el agente. |
| CommunicationDirection | string | Cualquier información sobre la dirección que ha tomado la comunicación observada. Valores válidos: 0 = Entrante, 1 = Saliente. |
| Computer | string | Host, desde Syslog. |
| DestinationDnsDomain | string | La parte DNS del nombre de dominio completo (FQDN). |
| DestinationHostName | string | Destino al que hace referencia el evento en una red IP. El formato debe ser un FQDN asociado al nodo de destino, cuando un nodo está disponible. Por ejemplo: host.domain.com o host. |
| DestinationIP | string | Dirección IpV4 de destino a la que hace referencia el evento en una red IP. |
| DestinationMACAddress | string | Dirección MAC de destino (FQDN). |
| DestinationNTDomain | string | Nombre de dominio de Windows de la dirección de destino. |
| DestinationPort | int | Puerto de destino. Valores válidos: 0 - 65535. |
| DestinationProcessId | int | Id. proceso de destino asociado al evento. |
| DestinationProcessName | string | Nombre del proceso de destino del evento, como telnetd o sshd. |
| DestinationServiceName | string | Servicio que la etiqueta tiene como evento. Por ejemplo: sshd. |
| DestinationTranslatedAddress | string | Identifica el destino traducido al que hace referencia el evento en una red IP, como una dirección IP IPv4. |
| DestinationTranslatedPort | int | Puerto después de la traducción, como un firewall Números de puerto válidos: 0 a 65535. |
| DestinationUserID | string | Identifica el usuario de destino por id. Por ejemplo: en Unix, el usuario raíz suele asociarse con el identificador de usuario 0. |
| DestinationUserName | string | Identifica el usuario de destino por nombre. |
| DestinationUserPrivileges | string | Define los privilegios del uso de destino. Valores válidos: Admninistrator, User, Guest. |
| DeviceAction | string | La acción mencionada en el evento. |
| DeviceAddress | string | Dirección IPv4 del dispositivo que genera el evento. |
| DeviceCustomDate1 | string | Uno de los dos campos de marca de tiempo disponibles para asignar campos que no se aplican a ningún otro en este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| DeviceCustomDate1Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomDate2 | string | Uno de los dos campos de marca de tiempo disponibles para asignar campos que no se aplican a ningún otro en este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| DeviceCustomDate2Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomFloatingPoint1 | real | Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario. |
| DeviceCustomFloatingPoint1Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomFloatingPoint2 | real | Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario. |
| DeviceCustomFloatingPoint2Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomFloatingPoint3 | real | Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario. |
| DeviceCustomFloatingPoint3Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomFloatingPoint4 | real | Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario. |
| DeviceCustomFloatingPoint4Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomIPv6Address1 | string | Uno de los cuatro campos de dirección IPv6 disponibles para asignar campos que no se aplican a ningún otro de este diccionario. |
| DeviceCustomIPv6Address1Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomIPv6Address2 | string | Uno de los cuatro campos de dirección IPv6 disponibles para asignar campos que no se aplican a ningún otro de este diccionario. |
| DeviceCustomIPv6Address2Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomIPv6Address3 | string | Uno de los cuatro campos de dirección IPv6 disponibles para asignar campos que no se aplican a ningún otro de este diccionario. |
| DeviceCustomIPv6Address3Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomIPv6Address4 | string | Uno de los cuatro campos de dirección IPv6 disponibles para asignar campos que no se aplican a ningún otro de este diccionario. |
| DeviceCustomIPv6Address4Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomNumber1 | int | Pronto será un campo en desuso. Se reemplazará por FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomNumber2 | int | Pronto será un campo en desuso. Se reemplazará por FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomNumber3 | int | Pronto será un campo en desuso. Se reemplazará por FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomString1 | string | Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| DeviceCustomString1Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomString2 | string | Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| DeviceCustomString2Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomString3 | string | Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| DeviceCustomString3Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomString4 | string | Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| DeviceCustomString4Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomString5 | string | Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| DeviceCustomString5Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceCustomString6 | string | Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| DeviceCustomString6Label | string | Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado. |
| DeviceDnsDomain | string | Parte del dominio DNS del nombre de dominio completo (FQDN). |
| DeviceEventCategory | string | Representa la categoría asignada por el dispositivo de origen. Los dispositivos suelen usar su propio esquema de categorización para clasificar eventos. Ejemplo: '/Monitor/Disco/Lectura'. |
| DeviceEventClassID | string | Cadena o entero que actúa como identificador único por tipo de evento. |
| DeviceExternalID | string | Nombre que identifica de forma única el dispositivo que genera el evento. |
| DeviceFacility | string | Dispositivo que genera el evento. Por ejemplo: autenticación o local1. |
| DeviceInboundInterface | string | Interfaz en la que el paquete o los datos entran en el dispositivo. Por ejemplo: ethernet1/2. |
| DeviceMacAddress | string | Dirección MAC del dispositivo que genera el evento. |
| DeviceName | string | El FQDN asociado al nodo del dispositivo, cuando un nodo está disponible. Por ejemplo: host.domain.com o host. |
| DeviceNtDomain | string | Dominio de Windows de la dirección del dispositivo. |
| DeviceOutboundInterface | string | Interfaz en la que el paquete o los datos entran en el dispositivo. |
| DevicePayloadId | string | Identificador único de la carga asociada al evento. |
| DeviceProduct | string | Cadena que junto con las definiciones de producto y versión del dispositivo, identifica de forma única el tipo de dispositivo de envío. |
| DeviceTimeZone | string | Zona horaria del dispositivo que genera el evento. |
| DeviceTranslatedAddress | string | Identifica la dirección de dispositivo traducida a la que hace referencia el evento, en una red IP. El formato es una dirección IPv4. |
| DeviceVendor | string | Cadena que junto con las definiciones de producto y versión del dispositivo, identifica de forma única el tipo de dispositivo de envío. |
| DeviceVersion | string | Cadena que junto con las definiciones de producto y versión del dispositivo, identifica de forma única el tipo de dispositivo de envío. |
| EndTime | datetime | La hora a la que finalizó la actividad relacionada con el evento. |
| EventCount | int | Un recuento asociado al evento, que muestra el número de veces que se observó el mismo evento. |
| EventOutcome | string | Muestra el resultado, normalmente como "correcto" o "error". |
| EventType | int | Tipo de evento. Los valores de valor incluyen: 0: evento base, 1: agregado, 2: evento de correlación, 3: evento de acción. Nota: este evento se puede omitir para los eventos base. |
| ExternalID | int | Pronto será un campo en desuso. Se reemplazará por ExtID. |
| ExtID | string | Identificador usado por el dispositivo de origen (reemplazará externalID heredado). Normalmente, estos valores tienen valores crecientes que están asociados a un evento. |
| FieldDeviceCustomNumber1 | long | Uno de los tres campos numéricos disponibles para asignar campos que no se aplican a ningún otro de este diccionario (reemplazará a DeviceCustomNumber1 heredado). Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| FieldDeviceCustomNumber2 | long | Uno de los tres campos numéricos disponibles para asignar campos que no se aplican a ningún otro de este diccionario (reemplazará a DeviceCustomNumber2 heredado). Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| FieldDeviceCustomNumber3 | long | Uno de los tres campos numéricos disponibles para asignar campos que no se aplican a ningún otro de este diccionario (reemplazará a DeviceCustomNumber3 heredado). Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. |
| FileCreateTime | string | Hora a la que se creó el archivo. |
| FileHash | string | Hash de un archivo. |
| FileID | string | Un id. asociado a un archivo, como el inode. |
| FileModificationTime | string | Hora a la que se modificó el archivo por última vez. |
| FileName | string | Nombre del archivo, sin la ruta de acceso. |
| FilePath | string | Ruta de acceso completa del archivo, incluido el nombre de archivo. Por ejemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip. |
| FilePermission | string | Permisos del archivo. Por ejemplo: '2,1,1'. |
| FileSize | int | El tamaño del archivo en bytes. |
| FileType | string | Tipo de archivo, como canalización, socket, etc. |
| FlexDate1 | string | Campo de marca de tiempo disponible para asignar una marca de tiempo que no se aplica a ningún otro campo de marca de tiempo definido en este diccionario. Use todos los campos flexibles con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. Normalmente, estos campos están reservados para el uso del cliente y los proveedores no deben establecerlos a menos que sea necesario. |
| FlexDate1Label | string | El campo de etiqueta es una cadena y describe el propósito del campo flex. |
| FlexNumber1 | int | Campos numéricos disponibles para asignar datos Int que no se aplican a ningún otro campo de este diccionario. |
| FlexNumber1Label | string | Etiqueta que describe el valor en FlexNumber1 |
| FlexNumber2 | int | Campos numéricos disponibles para asignar datos Int que no se aplican a ningún otro campo de este diccionario. |
| FlexNumber2Label | string | Etiqueta que describe el valor en FlexNumber2 |
| FlexString1 | string | Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. Normalmente, estos campos están reservados para el uso del cliente y los proveedores no deben establecerlos a menos que sea necesario. |
| FlexString1Label | string | El campo de etiqueta es una cadena y describe el propósito del campo flex. |
| FlexString2 | string | Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. Normalmente, estos campos están reservados para el uso del cliente y los proveedores no deben establecerlos a menos que sea necesario. |
| FlexString2Label | string | El campo de etiqueta es una cadena y describe el propósito del campo flex. |
| IndicatorThreatType | string | El tipo de amenaza del Malintencionado según nuestra fuente de TI. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
| LogSeverity | string | Cadena o entero que describe la importancia del evento. Valores de cadena válidos: Valores enteros desconocidos, bajos, medios, altos y muy altos son: 0-3 = Bajo, 4-6 = Medio, 7-8 = Alto, 9-10 = Muy alto. |
| MaliciousIP | string | Si una de las direcciones IP del mensaje estaba correlacionada con la fuente de TI actual, se mostrará aquí. |
| MaliciousIPCountry | string | País del Malintencionado según la información GEO en el momento de la ingesta de registros. |
| MaliciousIPLatitude | real | Latitud del Malintencionado según la información GEO en el momento de la ingesta de registros. |
| MaliciousIPLongitude | real | Longitud del Malintencionado según la información GEO en el momento de la ingesta de registros. |
| Publicación | string | Un mensaje que proporciona más detalles sobre el evento. |
| OldFileCreateTime | string | Hora a la que se creó el archivo anterior. |
| OldFileHash | string | Hash del archivo anterior. |
| OldFileID | string | Y el identificador asociado al archivo anterior, como el inode. |
| OldFileModificationTime | string | Hora a la que se modificó el archivo anterior por última vez. |
| OldFileName | string | Nombre del archivo anterior. |
| OldFilePath | string | Ruta de acceso completa del archivo anterior, incluido el nombre de archivo. Por ejemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip. |
| OldFilePermission | string | Permisos del archivo anterior. Por ejemplo: '2,1,1'. |
| OldFileSize | int | Tamaño del archivo antiguo en bytes. |
| OldFileType | string | Tipo de archivo del archivo anterior, como una canalización, un socket, etc. |
| OriginalLogSeverity | string | Una versión no asignada de LogSeverity. Por ejemplo: Advertencia,Crítica/Información en lugar del valor normalizado Bajo/Medio/Alto en el campo LogSeverity |
| ProcessID | int | Define el identificador del proceso en el dispositivo que genera el evento. |
| ProcessName | string | Nombre del proceso asociado al evento. Por ejemplo: en UNIX, el proceso que genera la entrada de syslog. |
| Protocolo | string | Protocolo de transporte que identifica el protocolo de nivel 4 utilizado. Los valores posibles incluyen nombres de protocolo, como TCP o UDP. |
| Motivo | string | Motivo por el que se generó un evento de auditoría. Por ejemplo, "contraseña incorrecta" o "usuario desconocido". Esto también podría ser un error o un código de retorno. Ejemplo: "0x1234". |
| ReceiptTime | string | La hora a la que finalizó el evento relacionado con la actividad que se recibió. A continuación, difiere el campo "Timegenerated", que es cuando se recibió el evento en la máquina del recopilador de registros. |
| ReceivedBytes | long | Número de bytes transferidos de entrada. |
| RemoteIP | string | La dirección IP remota, derivada del valor de dirección del evento, si es posible. |
| RemotePort | string | El puerto remoto, derivado del valor de dirección del evento, si es posible. |
| ReportReferenceLink | string | Vínculo al informe de la fuente de TI. |
| RequestClientApplication | string | Agente de usuario asociado a la solicitud. |
| RequestContext | string | Describe el contenido desde el que se originó la solicitud, como el origen de referencia HTTP. |
| RequestCookies | string | Cookies asociadas a la solicitud. |
| RequestMethod | string | Método utilizado para tener acceso a una dirección URL. Los valores válidos incluyen métodos como POST, GET, etc. |
| RequestURL | string | Dirección URL a la que se tiene acceso para una solicitud HTTP, incluido el protocolo. Por ejemplo: http://www/secure.com. |
| _ResourceId | string | Identificador único del recurso al que está asociado el registro. |
| SentBytes | long | Número de bytes transferidos de salida. |
| SimplifiedDeviceAction | string | Una versión asignada de DeviceAction, como Denegar denegado > . |
| SourceDnsDomain | string | Elemento del dominio DNS del FQDN completo. |
| SourceHostName | string | Identifica el origen al que hace referencia el evento en una red IP. El formato debe ser un nombre de dominio completo (DQDN) asociado al nodo de origen, cuando un nodo está disponible. Por ejemplo: host o host.domain.com. |
| SourceIP | string | Origen al que hace referencia un evento en una red IP, como una dirección IPv4. |
| SourceMACAddress | string | Dirección MAC de origen. |
| SourceNTDomain | string | Nombre de dominio de Windows para la dirección de origen. |
| SourcePort | int | Número de puerto de origen. Los números de puerto válidos son de 0 a 65535. |
| SourceProcessId | int | Id. del proceso de origen asociado al evento. |
| SourceProcessName | string | Nombre del proceso de origen del evento. |
| SourceServiceName | string | Servicio responsable de generar el evento. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Diagnósticos de Azure |
| SourceTranslatedAddress | string | Identifica el origen traducido al que hace referencia el evento, en una red IP. |
| SourceTranslatedPort | int | Puerto de origen después de la traducción, como un firewall. Los números de puerto válidos son de 0 a 65535. |
| SourceUserID | string | Identifica el usuario de origen por identificador. |
| SourceUserName | string | Identifica el usuario de origen por nombre. Las direcciones de correo electrónico también se asignan a los campos UserName. El remitente es un candidato para colocar en este campo. |
| SourceUserPrivileges | string | Privilegios del usuario de origen. Entre los valores válidos se incluyen: Administrador, Usuario, Invitado. |
| StartTime | datetime | Hora a la que se inicia la actividad a la que hace referencia el evento. |
| _SubscriptionId | string | Identificador único de la suscripción a la que está asociado el registro. |
| TenantId | string | Id. del área de trabajo de Log Analytics |
| ThreatConfidence | string | La confianza en la amenaza del Malintencionado según nuestra fuente de TI. |
| ThreatDescription | string | La descripción de la amenaza del MalintencionadoIP según nuestra fuente de TI. |
| ThreatSeverity | int | La gravedad de la amenaza del Malintencionado según nuestra fuente de TI en el momento de la ingesta de registros. |
| TimeGenerated | datetime | Hora de recopilación de eventos en UTC. |
| Tipo | string | Nombre de la tabla. |