Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le schéma ASim User Management représente des activités de gestion des utilisateurs, telles que la création d’un utilisateur ou d’un groupe, la modification de l’attribut utilisateur ou l’ajout d’un utilisateur à un groupe. De tels événements sont signalés, par exemple, par les systèmes d’exploitation, les services d’annuaire, les systèmes de gestion des identités et tout autre système établissant des rapports sur l’activité de gestion des utilisateurs au niveau local.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | microsoft.securityinsights/asimtables |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| ActingAppId | chaîne | ID de l’application utilisée par l’intervenant pour effectuer l’activité. Il peut s’agir notamment d’un processus, d’un navigateur ou d’un service. |
| ActingAppName | chaîne | Nom de l’application utilisée par l’intervenant pour effectuer l’activité. Il peut s’agir notamment d’un processus, d’un navigateur ou d’un service. |
| ActingAppType | chaîne | Type de l’application agissante. |
| ActingOriginalAppType | chaîne | Type d’application agissant, comme signalé par l’appareil concerné. |
| TypeD'utilisateurD'origineDeL'acteur | chaîne | Type de l’utilisateur intervenant d’origine, s’il est fourni par la source. |
| ActorScope | chaîne | L’étendue, comme le locataire Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorScopeId | chaîne | L’ID d’étendue, comme l’ID de locataire Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorSessionId | chaîne | ID unique de la session de connexion de l’intervenant. |
| ActorUserAadId | chaîne | ID Azure Active Directory de l’acteur. |
| ActorUserId | chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’acteur. |
| Type d'ID utilisateur de l'acteur | chaîne | Type de l’ID stocké dans le champ ActorUserId. |
| ActorUsername | chaîne | Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’il est disponible. |
| ActorUsernameType | chaîne | Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. |
| ActorUserSid | chaîne | ID utilisateur Windows (SID) de l’acteur. |
| Type d'utilisateur de l'acteur | chaîne | Type de l’intervenant. |
| AdditionalFields | dynamique | Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| DvcAction | chaîne | Pour les systèmes de sécurité effectuant les signalements, l’action entreprise par le système. |
| DvcDescription | chaîne | Un texte descriptif associé à l'appareil. |
| DvcDomain | chaîne | Domaine de l’appareil signalant l’événement. |
| DvcDomainType | chaîne | Type de DvcDomain. |
| DvcFQDN | chaîne | Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname | chaîne | Nom d’hôte de l’appareil signalant l’événement. |
| DvcId | chaîne | ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType | chaîne | Type de DvcId. |
| DvcInterface | chaîne | Interface réseau sur laquelle les données ont été capturées. |
| DvcIpAddr | chaîne | Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr | chaîne | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOriginalAction | chaîne | La DvcAction d’origine, telle que fournie par l’appareil effectuant le signalement. |
| DvcOs | chaîne | Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOsVersion | chaîne | La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcScope | chaîne | Étendue de la plateforme cloud à laquelle appartient l’appareil. DvcScope est mappé à un nom d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId | chaîne | L’ID d’étendue de la plateforme cloud à laquelle appartient l’appareil. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone | chaîne | Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| Nombre d'Événements | Int | Nombre d’événements décrits par l’enregistrement. |
| Heure de fin de l'événement | date et heure | Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| Message d'Événement | chaîne | Message général ou description. |
| Détails du Résultat Original de l'Événement | chaîne | Détails des résultats d’origine fournis par la source. |
| EventOriginalSeverity | chaîne | La gravité d’origine, telle que fournie par l’appareil effectuant le signalement. |
| SousTypeOriginalDeL'Événement | chaîne | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. |
| TypeOriginalDeL'Événement | chaîne | Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid | chaîne | ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| Responsable de l'événement | chaîne | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct | chaîne | Produit générant l’événement. |
| EventProductVersion | chaîne | Version du produit générant l’événement. |
| URL du Rapport d'Événement | chaîne | URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| Résultat de l'Événement | chaîne | Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| Détails du Résultat de l'Événement | chaîne | Raison ou détails du résultat rapporté dans le champ EventResult. |
| Schéma d'Événement | chaîne | Nom du schéma |
| EventSchemaVersion | chaîne | La version du schéma. |
| EventSeverity | chaîne | La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| HeureDeDébutDeL'Événement | date et heure | Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| SousTypeÉvénement | chaîne | Décrit une subdivision de l’opération rapportée dans le champ EventType. |
| Type d’événement | chaîne | Décrit l’opération signalée par l’enregistrement. |
| EventVendor | chaîne | Fournisseur du produit générant l’événement. |
| Identifiant de Groupe | chaîne | Représentation unique et alphanumérique (lisible par une machine) du groupe, pour les activités impliquant un groupe. |
| GroupIdType | chaîne | Type de l’ID stocké dans le champ GroupId. |
| Nom du groupe | chaîne | Nom du groupe, en incluant les informations de domaine le cas échéant, pour les activités impliquant un groupe. |
| GroupNameType | chaîne | Spécifie le type du nom de groupe stocké dans le champ GroupName. |
| GroupOriginalType | chaîne | Type du groupe d’origine, s’il est fourni par la source. |
| Type de Groupe | chaîne | Type du groupe, pour les activités impliquant un groupe. |
| Agent utilisateur HTTP | chaîne | Quand l’authentification est effectuée via HTTP ou HTTPS, la valeur de ce champ est l’en-tête HTTP user_agent fourni par l’application agissante lors de l’exécution de l’authentification. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| NewPropertyValue | chaîne | Nouvelle valeur stockée dans la propriété spécifiée. |
| ValeurPrécédenteDeLaPropriété | chaîne | Valeur précédente stockée dans la propriété spécifiée. |
| _ResourceId (Identifiant de Ressource) | chaîne | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| Nom de la Règle | chaîne | Nom ou ID de la règle associée aux résultats de l’inspection. |
| NuméroDeRègle | Int | Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem | chaîne | Le type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SrcDescription | chaîne | Texte descriptif associé à l’appareil source. |
| Type d'appareil source (SrcDeviceType) | chaîne | Type de l’appareil source. |
| SrcDomain | chaîne | Domaine de l’appareil source. |
| SrcDomainType | chaîne | Type de SrcDomain. |
| SrcDvcId | chaîne | ID de l’appareil source comme indiqué dans l’enregistrement. |
| SrcDvcIdType | chaîne | Type de l'identifiant SrcDvcId. |
| SrcDvcScope | chaîne | L’étendue de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScope correspond à un nom d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScopeId | chaîne | Identifiant de périmètre de la plateforme cloud à laquelle appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcFQDN | chaîne | Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. |
| SrcGeoVille | chaîne | Ville associée à l’adresse IP source. |
| SrcGeoCountry | chaîne | Pays associé à l’adresse IP source. |
| SrcGeoLatitude | réel | Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude | réel | Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion | chaîne | Région au sein d’un pays associé à l’adresse IP source.. |
| SrcHostname | chaîne | Nom d’hôte de l’appareil source, à l’exception des informations de domaine. |
| SrcIpAddr | chaîne | Adresse IP de l’appareil source. |
| SrcMacAddr | chaîne | Adresse MAC de l’appareil source. |
| SrcOriginalRiskLevel | chaîne | Niveau de risque associé à la source identifiée comme indiqué par l’appareil de création de rapports. |
| SrcPortNumber | Int | Port IP source à partir duquel la connexion provient. |
| SrcRiskLevel | Int | Niveau de risque associé à la source identifiée. |
| _IdentifiantDeSouscription | chaîne | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TargetOriginalUserType | chaîne | Le type d'utilisateur de destination original, s'il est fourni par la source. |
| IdUtilisateurCible | chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’utilisateur cible. |
| Type d'identifiant utilisateur cible | chaîne | Type de l’ID stocké dans le champ TargetUserId. |
| TargetUsername | chaîne | Nom d’utilisateur cible, en incluant les informations de domaine le cas échéant. |
| TargetUsernameType | chaîne | Spécifie le type du nom d’utilisateur stocké dans le champ TargetUsername. |
| TargetUserScope | chaîne | L’étendue, comme le nom du locataire Azure AD, dans laquelle TargetUserId et TargetUsername sont définis. |
| TargetUserScopeId | chaîne | L’ID d’étendue, comme l’ID de locataire Azure AD, dans laquelle TargetUserId et TargetUsername sont définis. |
| TargetUserSessionId | chaîne | ID unique de la session de connexion de l’utilisateur. |
| Type d'utilisateur ciblé | chaîne | Type de l’utilisateur cible. |
| TargetUserUid | chaîne | ID utilisateur Unix ou Linux de l’utilisateur. |
| Id de locataire | chaîne | ID de l’espace de travail Log Analytics |
| Catégorie de Menace | chaîne | Catégorie des menaces ou programmes malveillants identifiés dans l’activité. |
| ThreatConfidence | Int | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField | chaîne | Champ pour lequel une menace a été identifiée. |
| ThreatFirstReportedTime | date et heure | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Identifiant de menace | chaîne | ID de la menace ou des programmes malveillants identifiés dans l’activité. |
| La menace est active | booléen | La menace identifiée par True ID est considérée comme active. |
| ThreatLastReportedTime | date et heure | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Nom de la menace | chaîne | Nom de la menace ou des programmes malveillants identifiés dans l’activité. |
| ThreatOriginalConfidence | chaîne | Le niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil qui effectue le signalement. |
| Niveau de risque initial de la menace | chaîne | Niveau de risque signalé par le périphérique de reporting. |
| Niveau de Risque de Menace | Int | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. |
| TimeGenerated | date et heure | Horodatage (UTC) reflétant l’heure dans laquelle l’événement a été généré. |
| Catégorie | chaîne | Le nom de la table |