ASimAuthenticationEventLogs
Table des événements d’authentification normalisés Microsoft Sentinel. Stocke les événements associés, par exemple, à l’authentification, à la connexion et à la déconnexion de l’utilisateur.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | microsoft.securityinsights/authenticationevent |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| ActingAppId | string | ID de l’application effectuant l’autorisation pour le compte de l’intervenant, y compris un processus, un navigateur ou un service. |
| ActingAppName | string | Nom de l’application effectuant l’autorisation pour le compte de l’intervenant, y compris un processus, un navigateur ou un service. |
| ActingAppType | string | Type de l’application agissante. |
| ActingOriginalAppType | string | Type d’application agissant comme indiqué par l’appareil de création de rapports. |
| ActorOriginalUserType | string | Type d’utilisateur signalé par le dispositif de reporting. |
| ActorScope | string | L’étendue, par exemple l’abonné Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorScopeId | string | ID d’étendue, tel que l’ID de locataire Azure AD, dans lequel ActorUserId et ActorUsername sont définis. |
| ActorSessionId | string | ID unique de la session de connexion de l’intervenant. |
| ActorUserId | string | Représentation unique, alphanumérique et lisible par machine de l’acteur. |
| ActorUserIdType | string | Type de l’ID stocké dans le champ ActorUserId. |
| ActorUsername | string | Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’elles sont disponibles. |
| ActorUsernameType | string | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. |
| ActorUserType | string | Type de l’intervenant. |
| AdditionalFields | dynamique | Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| DvcAction | string | Pour la création de rapports sur les systèmes de sécurité, l’action entreprise par le système. |
| DvcDescription | string | Obtient le texte descriptif associé à l’appareil. |
| DvcDomain | string | Domaine de l’appareil signalant l’événement. |
| DvcDomainType | string | Type de DvcDomain. |
| DvcFQDN | string | Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname | string | Nom d’hôte de l’appareil signalant l’événement. |
| DvcId | string | ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType | string | Type de DvcId. |
| DvcInterface | string | Interface réseau sur laquelle les données ont été capturées. |
| DvcIpAddr | string | Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr | string | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOriginalAction | string | Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs | string | Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOsVersion | string | La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcScope | string | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId | string | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone | string | Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| EventCount | int | Nombre d’événements décrits par l’enregistrement. |
| EventEndTime | DATETIME | Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventMessage | string | Message général ou description. |
| EventOriginalResultDetails | string | Détails des résultats d’origine fournis par la source. |
| EventOriginalSeverity | string | La gravité d’origine, telle que fournie par l’appareil de reporting. |
| EventOriginalSubType | string | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalType | string | Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid | string | ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| EventOwner | string | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct | string | Produit générant l’événement. |
| EventProductVersion | string | Version du produit générant l’événement. |
| EventReportUrl | string | URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| EventResult | string | Résultat de l’événement, représenté par l’une des valeurs suivantes : Success, Partial, Failure, NA (Not Applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple, le champ EventResultDetails. |
| EventResultDetails | string | Détails associés au résultat de l’événement. Ce champ est généralement rempli lorsque le résultat est un échec. |
| EventSchemaVersion | string | Version du schéma. |
| EventSeverity | string | La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| EventStartTime | DATETIME | Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventSubType | string | Type de connexion par exemple System, Interactive, RemoteInteractive, Service, RemoteService, RemoteRole ou AssumeRole. |
| Type d’événement | string | Décrit l’opération signalée par l’enregistrement |
| EventVendor | string | Fournisseur du produit générant l’événement. |
| HttpUserAgent | string | Quand l’authentification est effectuée via HTTP ou HTTPS, la valeur de ce champ est l’en-tête HTTP user_agent fourni par l’application agissante lors de l’exécution de l’authentification. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
| LogonMethod | string | Méthode utilisée pour effectuer l’authentification. |
| LogonProtocol | string | Protocole utilisé pour effectuer l’authentification. |
| _ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| RuleName | string | Nom ou ID de la règle associée aux résultats de l’inspection. |
| RuleNumber | int | Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| SrcDescription | string | Texte descriptif associé à l’appareil source. |
| SrcDeviceType | string | Type de l’appareil source. |
| SrcDomain | string | Domaine de l’appareil source. |
| SrcDomainType | string | Type de SrcDomain. |
| SrcDvcId | string | ID de l’appareil source. |
| SrcDvcIdType | string | Type de SrcDvcId. |
| SrcDvcOs | string | Système d’exploitation de l’appareil source. |
| SrcDvcScope | string | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScopeId | string | ID d’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcFQDN | string | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. |
| SrcGeoCity | string | Ville associée à l’adresse IP source. |
| SrcGeoCountry | string | Pays associé à l’adresse IP source. |
| SrcGeoLatitude | real | Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude | real | Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion | string | Région au sein d’un pays associé à l’adresse IP source. |
| SrcHostname | string | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. |
| SrcIpAddr | string | Adresse IP de l’appareil source. |
| SrcIsp | string | Fournisseur de services Internet (ISP) utilisé par l’appareil source pour se connecter à Internet. |
| SrcOriginalRiskLevel | string | Niveau de risque associé à la source identifiée comme indiqué par l’appareil de création de rapports. |
| SrcPortNumber | int | Port IP d’où provient la connexion. |
| SrcRiskLevel | int | Niveau de risque associé à la source identifiée. |
| _SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TargetAppId | string | ID de l’application pour laquelle l’autorisation est requise, souvent affectée par l’appareil de création de rapports. |
| TargetAppName | string | Nom de l’application pour laquelle l’autorisation est requise, y compris un service, une URL ou une application SaaS. |
| TargetAppType | string | Type de l’application effectuant l’autorisation pour le compte de l’intervenant. |
| TargetDescription | string | Texte descriptif associé à l’appareil cible. |
| TargetDeviceType | string | Type de l’appareil cible. |
| TargetDomain | string | Domaine de l’appareil cible. |
| TargetDomainType | string | Type de TargetDomain. |
| TargetDvcId | string | ID de l’appareil cible. |
| TargetDvcIdType | string | Type de TargetDvcId. |
| TargetDvcOs | string | Système d’exploitation de l’appareil cible. |
| TargetDvcScope | string | Étendue de la plateforme cloud à laquelle appartient l’appareil cible. TargetDvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| TargetDvcScopeId | string | ID d’étendue de plateforme cloud auquel appartient l’appareil cible. TargetDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| TargetFQDN | string | Nom d’hôte de l’appareil cible, y compris les informations de domaine, le cas échéant. |
| TargetGeoCity | string | Ville associée à l’adresse IP cible. |
| TargetGeoCountry | string | Pays associé à l’adresse IP cible. |
| TargetGeoLatitude | real | Latitude de la coordonnée géographique associée à l’adresse IP cible. |
| TargetGeoLongitude | real | Longitude de la coordonnée géographique associée à l’adresse IP cible. |
| TargetGeoRegion | string | Région dans un pays qui est associée à l’adresse IP cible. |
| TargetHostname | string | Nom d’hôte de l’appareil cible, à l’exception des informations de domaine. |
| TargetIpAddr | string | Adresse IP de l’appareil cible. |
| TargetOriginalAppType | string | Type d’application cible tel que signalé par l’appareil de création de rapports. |
| TargetOriginalRiskLevel | string | Niveau de risque associé à la cible, comme indiqué par l’appareil de rapport. |
| TargetOriginalUserType | string | Type d’utilisateur signalé par le dispositif de reporting. |
| TargetPortNumber | int | Port de l’appareil cible. |
| TargetRiskLevel | int | Niveau de risque associé à la cible. |
| TargetSessionId | string | ID unique de la session de connexion de l’acteur cible. |
| TargetUrl | string | URL associée à l’application cible. |
| TargetUserId | string | Représentation unique, alphanumérique et lisible par ordinateur de l’acteur. |
| TargetUserIdType | string | Type de l’ID stocké dans le champ TargetUserId. |
| TargetUsername | string | Nom d’utilisateur de l’acteur cible, y compris les informations de domaine lorsqu’elles sont disponibles. |
| TargetUsernameType | string | Type du nom d’utilisateur de l’acteur cible spécifié dans le champ TargetUsername |
| TargetUserScope | string | Étendue, par exemple l’abonné Azure AD, dans laquelle DstUserId et DstUsername sont définis. |
| TargetUserScopeId | string | ID d’étendue, tel que l’ID de locataire Azure AD, dans lequel TargetUserId et TargetUsername sont définis. |
| TargetUserType | string | Type de l’acteur cible. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatCategory | string | Catégorie de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatConfidence | int | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField | string | Champ pour lequel une menace a été identifiée. |
| ThreatFirstReportedTime | DATETIME | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatId | string | ID de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatIpAddr | string | Adresse IP pour laquelle une menace a été identifiée. |
| ThreatIsActive | bool | True si la menace identifiée est considérée comme une menace active. |
| ThreatLastReportedTime | DATETIME | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatName | string | Nom de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatOriginalConfidence | string | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel | string | Niveau de risque signalé par le périphérique de reporting. |
| ThreatRiskLevel | int | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. |
| TimeGenerated | DATETIME | Horodatage (UTC) qui reflète l’heure à laquelle l’événement a été généré. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour