ASimAuditEventLogs
A Microsoft Sentinel normalizált naplózási események táblája. Tárolja az információs rendszerek naplózási naplójával és a naplónaplók rendszerkonfigurációs tevékenységeivel és szabályzatmódosításaival kapcsolatos eseményeket. Ezeket a módosításokat gyakran a rendszergazdák hajtják végre, de a felhasználók saját alkalmazásaik beállításainak konfigurálásakor is végrehajthatják őket.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | microsoft.securityinsights/auditeventnormalized |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | No |
Betöltési idő átalakítás | Yes |
Mintalekérdezések | - |
Oszlopok
Oszlop | Típus | Description |
---|---|---|
ActingAppId | sztring | A jelentett tevékenységet kezdeményező alkalmazás azonosítója, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. |
ActingAppName | sztring | A jelentett tevékenységet kezdeményező alkalmazás neve, beleértve a szolgáltatást, egy URL-címet vagy egy SaaS-alkalmazást. |
ActingAppType | sztring | Az eljáró alkalmazás típusa. |
ActingOriginalAppType | sztring | A jelentéskészítő eszköz által jelentett működő alkalmazástípus. |
ActorOriginalUserType | sztring | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
ActorScope | sztring | A hatókör, például Azure AD bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. |
ActorScopeId | sztring | A hatókör azonosítója, például Azure AD bérlőazonosító, amelyben az ActorUserId és az ActorUsername definiálva van. |
ActorSessionId | sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. |
ActorUserAadId | sztring | A színész Azure Active Directory-azonosítója. |
ActorUserId | sztring | A színész gépi olvasható, alfanumerikus, egyedi ábrázolása. |
ActorUserIdType | sztring | Az ActorUserId mezőben tárolt azonosító típusa. |
ActorUsername | sztring | Az Aktor felhasználóneve, beleértve a tartomány adatait, ha elérhető. |
ActorUsernameType | sztring | Az Aktor ActionUsername mezőjében megadott felhasználónév típusa |
ActorUserSid | sztring | Az aktor Windows-felhasználói azonosítója (SID-k). |
ActorUserType | sztring | Az Aktor típusa. |
További mezők | dinamikus | További információk, amelyek a forrás által biztosított kulcs/érték párok használatával jelennek meg, amelyek nem képeznek le ASim-et. |
_BilledSize | valós szám | A rekord mérete bájtban |
DvcAction | sztring | A biztonsági rendszerek jelentéséhez a rendszer által végrehajtott művelet. |
DvcDescription | sztring | Az eszközhöz társított leíró szöveg. |
DvcDomain | sztring | Az eseményt jelentő eszköz tartománya. |
DvcDomainType | sztring | A DvcDomain típusa. |
DvcFQDN | sztring | Annak az eszköznek a gazdaneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcHostname | sztring | Az eseményt jelentő eszköz állomásneve. |
DvcId | sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcIdType | sztring | A DvcId típusa. |
DvcInterface | sztring | Az a hálózati adapter, amelyen az adatokat rögzítették. |
DvcIpAddr | sztring | Az eseményt jelentő eszköz IP-címe. |
DvcMacAddr | sztring | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcOriginalAction | sztring | A jelentéskészítő eszköz által biztosított eredeti DvcAction. |
DvcOs | sztring | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcOsVersion | sztring | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcScope | sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
DvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
DvcZone | sztring | Az a hálózat, amelyen az esemény történt, vagy amely az eseményt jelentette. |
EventCount | int | A rekord által leírt események száma. |
EventEndTime | dátum/idő | Az az időpont (UTC), amelyben az esemény véget ért. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventMessage | sztring | Általános üzenet vagy leírás. |
EventOriginalResultDetails | sztring | A forrás által megadott eredeti eredményadatok. |
EventOriginalSeverity | sztring | A jelentéskészítő eszköz által megadott eredeti súlyosság. |
EventOriginalSubType | sztring | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. |
EventOriginalType | sztring | Az eredeti eseménytípus vagy -azonosító, ha a forrás megadja. |
EventOriginalUid | sztring | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
EventOwner | sztring | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrehozták. |
EventProduct | sztring | Az eseményt létrehozó termék. |
EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
EventReportUrl | sztring | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
EventResult | sztring | Az esemény kimenete, amelyet a következő értékek egyike jelöl: Success, Partial, Failure, NA (Not Applicable). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
EventResultDetails | sztring | Az EventResult mezőben jelentett eredmény oka vagy részletei. |
EventSchemaVersion | sztring | A séma verziója. |
EventSeverity | sztring | Az esemény súlyossága. Az érvényes értékek a következők: Tájékoztató, Alacsony, Közepes vagy Magas. |
EventStartTime | dátum/idő | Az az időpont (UTC), amelyben az esemény elindult. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventSubType | sztring | Az EventType mezőben jelentett művelet egy alrovatát ismerteti. |
EventType | sztring | A rekord által jelentett műveletet ismerteti |
EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
HttpUserAgent | sztring | Ha a hitelesítés HTTP-en vagy HTTPS-en keresztül történik, ez a mező értéke az user_agent HTTP-fejléc, amelyet az eljáró alkalmazás biztosít a hitelesítés végrehajtásakor. |
_IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
NewValue | sztring | Az Objektum új értéke a művelet végrehajtása után. |
Objektum | sztring | Annak az objektumnak a neve, amelyen az EventType által azonosított műveletet végrehajtják. |
ObjectId | sztring | Annak az objektumnak a neve, amelyen az EventType által azonosított műveletet végrehajtják. |
ObjectType | sztring | Az objektum típusa. |
OldValue | sztring | Az Objektum régi értéke a művelet előtt. |
Művelet | sztring | A jelentéskészítő eszköz által jelentett módon naplózott művelet. |
OriginalObjectType | sztring | A jelentéskészítő eszköz által jelentett objektumtípus. |
_ResourceId | sztring | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
RuleName | sztring | A vizsgálati eredményekhez társított szabály neve vagy azonosítója. |
RuleNumber | int | Az vizsgálati eredményekhez társított szabály száma. |
SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök, vagy Azure a Azure Diagnostics |
SrcDescription | sztring | A forráseszközhöz társított leíró szöveg. |
SrcDeviceType | sztring | A forráseszköz típusa. |
SrcDomain | sztring | A forráseszköz tartománya. |
SrcDomainType | sztring | A SrcDomain típusa. |
SrcDvcId | sztring | A forráseszköz azonosítója. |
SrcDvcIdType | sztring | Az SrcDvcId típusa. |
SrcDvcScope | sztring | A felhőplatform hatóköre, amelyhez a forráseszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
SrcDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez a forráseszköz tartozik. Az SrcDvcScopeId megfeleltet egy Azure-beli előfizetés-azonosítónak és egy fiókazonosítónak az AWS-en. |
SrcFQDN | sztring | A forráseszköz állomásneve, beleértve a tartományadatokat, ha elérhető. |
SrcGeoCity | sztring | A forrás IP-címéhez társított város. |
SrcGeoCountry | sztring | A forrás IP-címéhez társított ország. |
SrcGeoLatitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták szélessége. |
SrcGeoLongitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták hosszúsága. |
SrcGeoRegion | sztring | A forrás IP-címéhez társított országon belüli régió. |
SrcHostname | sztring | A forráseszköz gazdagépneve, a tartományadatok kivételével. |
SrcIpAddr | sztring | A forrás IP-címe, amelyről a kapcsolat vagy a munkamenet származik. |
SrcOriginalRiskLevel | sztring | Az azonosított forrás kockázati szintje a jelentéskészítő eszköz által jelentett módon. |
SrcPortNumber | int | A forrás IP-portja, amelyről a kapcsolat származik. |
SrcRiskLevel | int | Az azonosított forráshoz társított kockázati szint. |
_SubscriptionId | sztring | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
TargetAppId | sztring | Annak az alkalmazásnak az azonosítója, amelyre az esemény vonatkozik, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. |
TargetAppName | sztring | Annak az alkalmazásnak a neve, amelyre az esemény vonatkozik, beleértve a szolgáltatást, egy URL-címet vagy egy SaaS-alkalmazást. |
TargetAppType | sztring | Az Aktor nevében engedélyező alkalmazás típusa. |
TargetDescription | sztring | A céleszközhöz társított leíró szöveg. |
TargetDeviceType | sztring | A céleszköz típusa. |
TargetDomain | sztring | A céleszköz tartománya. |
TargetDomainType | sztring | A TargetDomain típusa. |
TargetDvcId | sztring | A céleszköz azonosítója. |
TargetDvcIdType | sztring | A TargetDvcId típusa. |
TargetDvcOs | sztring | A céleszköz operációs rendszere. |
TargetDvcScope | sztring | A céleszközhöz tartozó felhőplatform hatóköre. A TargetDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
TargetDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez a céleszköz tartozik. A TargetDvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
TargetFQDN | sztring | A céleszköz állomásneve, beleértve a tartományadatokat, ha elérhető. |
TargetGeoCity | sztring | A cél IP-címhez társított város. |
TargetGeoCountry | sztring | A cél IP-címhez társított ország. |
TargetGeoLatitude | valós szám | A cél IP-címhez társított földrajzi koordináták szélessége. |
TargetGeoLongitude | valós szám | A cél IP-címhez társított földrajzi koordináták hosszúsága. |
TargetGeoRegion | sztring | A cél IP-címhez társított országon belüli régió. |
TargetHostname | sztring | A céleszköz állomásneve, a tartományadatok kivételével. |
TargetIpAddr | sztring | Az a cél IP-cím, amelyről a kapcsolat vagy a munkamenet származik. |
TargetOriginalAppType | sztring | A célalkalmazás típusa a jelentéskészítő eszköz által jelentett módon. |
TargetOriginalRiskLevel | sztring | A célhoz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. |
TargetPortNumber | int | A cél IP-port, amelyről a kapcsolat származik. |
TargetRiskLevel | int | A célhoz társított kockázati szint. |
TargetUrl | sztring | A célalkalmazáshoz társított URL-cím. |
TenantId | sztring | A Log Analytics-munkaterület azonosítója |
ThreatCategory | sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevők kategóriája. |
ThreatConfidence | int | Az azonosított fenyegetés megbízhatósági szintje, 0 és 100 közötti értékre normalizálva. |
ThreatField | sztring | Az a mező, amelyhez fenyegetést azonosítottak. |
ThreatFirstReportedTime | dátum/idő | Az IP-cím vagy tartomány első észlelése fenyegetésként. |
ThreatId | sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
ThreatIpAddr | sztring | Olyan IP-cím vagy tartomány, amelyhez fenyegetést azonosítottak. |
ThreatIsActive | logikai | Igaz, ha az azonosított fenyegetés aktív fenyegetésnek minősül. |
ThreatLastReportedTime | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
ThreatName | sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő neve. |
ThreatOriginalConfidence | sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje, amelyet a jelentéskészítő eszköz jelentett. |
ThreatOriginalRiskLevel | sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
ThreatRiskLevel | int | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. |
TimeGenerated | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg (UTC). |
Típus | sztring | A tábla neve |
ÉrtékTípusa | sztring | A régi és az új értékek típusa. |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: