Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma d’événement du Registre ASim représente l’activité Windows de création, de modification ou de suppression d’entités de Registre Windows. Les événements de registre sont spécifiques aux systèmes Windows, mais ils sont signalés par différents systèmes qui surveillent Windows, tels que les systèmes de PEPT (détection et réponse des points de terminaison), Sysmon ou Windows lui-même.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressources | microsoft.securityinsights/asimtables |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| ActingProcessCommandLine | ficelle | Ligne de commande utilisée pour exécuter le processus. |
| ActingProcessGuid | ficelle | Identificateur unique généré du processus d’action. |
| ActingProcessId | ficelle | ID de processus du processus d’action. |
| ActingProcessName | ficelle | Nom de fichier du fichier image du processus en cours. |
| TypeD'utilisateurD'origineDeL'acteur | ficelle | Type de l’utilisateur intervenant d’origine, s’il est fourni par la source. |
| ActorScope | ficelle | L’étendue, par exemple l’abonné Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorScopeId | ficelle | ID d’étendue, tel que l’ID de locataire Azure AD, dans lequel ActorUserId et ActorUsername sont définis. |
| ActorSessionId | ficelle | ID unique de la session de connexion de l’Intervenant. |
| ActorUserAadId | ficelle | ID Azure Active Directory de l’acteur. |
| ActorUserId | ficelle | ID unique de l’Intervenant. |
| Type d'ID utilisateur de l'acteur | ficelle | Type de l’ID stocké dans le champ ActorUserId. |
| ActorUsername | ficelle | Nom d’utilisateur de l’utilisateur qui a lancé l’événement. |
| ActorUsernameType | ficelle | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. |
| ActorUserSid | ficelle | ID utilisateur Windows (SID) de l’acteur. |
| Type d'utilisateur de l'acteur | ficelle | Type de l’intervenant. |
| AdditionalFields | dynamique | Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| DvcAction | ficelle | Pour les systèmes de sécurité de création de rapports, l’action effectuée par le système. |
| DvcDescription | ficelle | Obtient le texte descriptif associé à l’appareil. |
| DvcDomain | ficelle | Domaine de l’appareil signalant l’événement. |
| DvcDomainType | ficelle | Type de DvcDomain. |
| DvcFQDN | ficelle | Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname | ficelle | Nom d’hôte de l’appareil signalant l’événement. |
| DvcId | ficelle | ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType | ficelle | Type de DvcId. |
| DvcInterface | ficelle | Interface réseau sur laquelle les données ont été capturées. |
| DvcIpAddr | ficelle | Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr | ficelle | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOriginalAction | ficelle | Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs | ficelle | Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOsVersion | ficelle | La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcScope | ficelle | Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope mappe à un nom d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId | ficelle | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone | ficelle | Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| Nombre d'événements | Int | Nombre d’événements décrits par l’enregistrement. |
| HeureDeFinDeL'Événement | DATETIME | Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| Message d'Événement | ficelle | Message général ou description. |
| DétailsDuRésultatOriginalDeL'Événement | ficelle | Détails des résultats d’origine fournis par la source. |
| EventOriginalSeverity | ficelle | La gravité d’origine, telle que fournie par l’appareil de reporting. |
| SousTypeOriginalDeL'Événement | ficelle | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. |
| TypeOriginalDeL'Événement | ficelle | ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| EventOriginalUid | ficelle | . |
| Propriétaire de l'Événement | ficelle | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct | ficelle | Produit générant l’événement. |
| EventProductVersion | ficelle | Version du produit générant l’événement. |
| URL de rapport d'événement | ficelle | URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| Résultat de l'événement | ficelle | Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| Détails des Résultats de l'Événement | ficelle | Raison ou détails du résultat rapporté dans le champ EventResult. |
| Schéma d'Événement | ficelle | Nom du schéma. |
| EventSchemaVersion | ficelle | Version du schéma. |
| EventSeverity | ficelle | La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| HeureDeDébutDeL'Événement | DATETIME | Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| Sous-type d'événement | ficelle | Décrit une subdivision de l’opération rapportée dans le champ EventType. |
| Type d’événement | ficelle | Décrit l’opération signalée par l’enregistrement. |
| EventVendor | ficelle | Fournisseur du produit générant l’événement. |
| _IsBillable | ficelle | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| ParentProcessCommandLine | ficelle | Ligne de commande utilisée pour exécuter le processus. |
| ParentProcessGuid | ficelle | Identificateur unique généré du processus parent. |
| ParentProcessId | ficelle | ID de processus du processus parent. |
| Nom du processus parent | ficelle | Nom de fichier du fichier image du processus parent. |
| Clé du Registre | ficelle | La clé de registre associée à l’opération, normalisée aux conventions de nommage de clé racine standard. |
| RegistryPreviousKey | ficelle | Pour les opérations qui modifient le registre, la clé de registre d’origine, normalisée au nom de clé racine standard. |
| RegistryPreviousValue | ficelle | Pour les opérations qui modifient le registre, le type de valeur d’origine, normalisé au format standard. |
| RegistryPreviousValueData | ficelle | Pour les opérations qui modifient le registre, les données de registre d’origine. |
| RegistryPreviousValueType | ficelle | Pour les opérations qui modifient le registre, le type de valeur d’origine. |
| RegistryValue | ficelle | Valeur de registre associée à l’opération. |
| DonnéesDeValeurDuRegistre (RegistryValueData) | ficelle | Données stockées dans la valeur de registre. |
| TypeDeValeurDuRegistre | ficelle | Type de valeur de Registre normalisé au format standard. |
| _ResourceId (Identifiant de Ressource) | ficelle | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| Nom de la Règle | ficelle | Nom ou ID de la règle associée aux résultats de l’inspection. |
| Numéro de Règle | Int | Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem | ficelle | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| _IdentifiantDeSouscription | ficelle | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| Id de locataire | ficelle | ID de l’espace de travail Log Analytics |
| Catégorie de menace | ficelle | Catégorie des menaces ou programmes malveillants identifiés dans l’activité. |
| ThreatConfidence | Int | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField | ficelle | Champ pour lequel une menace a été identifiée. |
| ThreatFirstReportedTime | DATETIME | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Identifiant de menace | ficelle | ID de la menace ou des programmes malveillants identifiés dans l’activité. |
| La menace est active | bool | True ID de la menace identifiée qui est considérée comme une menace active. |
| ThreatLastReportedTime | DATETIME | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Nom de la menace | ficelle | Nom de la menace ou des programmes malveillants identifiés dans l’activité. |
| ThreatOriginalConfidence | ficelle | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| Niveau de risque initial de la menace | ficelle | Niveau de risque signalé par le périphérique de reporting. |
| Niveau de risque de menace | Int | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. |
| TimeGenerated | DATETIME | Horodatage (UTC) reflétant l’heure dans laquelle l’événement a été généré. |
| Catégorie | ficelle | Le nom de la table |