ASimAuthenticationEventLogs
Microsoft Sentinel normalizált hitelesítési események táblája. Tárolja például a felhasználói hitelesítéssel, bejelentkezéssel és kijelentkezéssel kapcsolatos eseményeket.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | microsoft.securityinsights/authenticationevent |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | Yes |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| ActingAppId | sztring | A színész nevében engedélyező alkalmazás azonosítója, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. |
| ActingAppName | sztring | Az alkalmazás neve, amely a szereplő nevében engedélyezve van, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. |
| ActingAppType | sztring | Az eljáró alkalmazás típusa. |
| ActingOriginalAppType | sztring | A jelentéskészítő eszköz által jelentett működő alkalmazástípus. |
| ActorOriginalUserType | sztring | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
| ActorScope | sztring | A hatókör, például Azure AD bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. |
| ActorScopeId | sztring | A hatókör azonosítója, például Azure AD bérlőazonosító, amelyben az ActorUserId és az ActorUsername definiálva van. |
| ActorSessionId | sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. |
| ActorUserId | sztring | A színész gépi olvasható, alfanumerikus, egyedi ábrázolása. |
| ActorUserIdType | sztring | Az ActorUserId mezőben tárolt azonosító típusa. |
| ActorUsername | sztring | Az Aktor felhasználóneve, beleértve a tartomány adatait, ha elérhető. |
| ActorUsernameType | sztring | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. |
| ActorUserType | sztring | Az Aktor típusa. |
| További mezők | dinamikus | További információk, amelyek a forrás által biztosított kulcs/érték párok használatával jelennek meg, amelyek nem képeznek le ASim-et. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| DvcAction | sztring | A biztonsági rendszerek jelentéséhez a rendszer által végrehajtott művelet. |
| DvcDescription | sztring | Az eszközhöz társított leíró szöveg. |
| DvcDomain | sztring | Az eseményt jelentő eszköz tartománya. |
| DvcDomainType | sztring | A DvcDomain típusa. |
| DvcFQDN | sztring | Annak az eszköznek a gazdaneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcHostname | sztring | Az eseményt jelentő eszköz állomásneve. |
| DvcId | sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcIdType | sztring | A DvcId típusa. |
| DvcInterface | sztring | Az a hálózati adapter, amelyen az adatokat rögzítették. |
| DvcIpAddr | sztring | Az eseményt jelentő eszköz IP-címe. |
| DvcMacAddr | sztring | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcOriginalAction | sztring | A jelentéskészítő eszköz által biztosított eredeti DvcAction. |
| DvcOs | sztring | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcOsVersion | sztring | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcScope | sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| DvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| DvcZone | sztring | Az a hálózat, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| EventCount | int | A rekord által leírt események száma. |
| EventEndTime | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EventMessage | sztring | Általános üzenet vagy leírás. |
| EventOriginalResultDetails | sztring | A forrás által megadott eredeti eredményadatok. |
| EventOriginalSeverity | sztring | A jelentéskészítő eszköz által megadott eredeti súlyosság. |
| EventOriginalSubType | sztring | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. |
| EventOriginalType | sztring | Az eredeti eseménytípus vagy -azonosító, ha a forrás megadja. |
| EventOriginalUid | sztring | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
| EventOwner | sztring | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrehozták. |
| EventProduct | sztring | Az eseményt létrehozó termék. |
| EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
| EventReportUrl | sztring | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
| EventResult | sztring | Az esemény kimenete, amelyet a következő értékek egyike jelöl: Success, Partial, Failure, NA (Not Applicable). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
| EventResultDetails | sztring | Az esemény eredményéhez társított részletek. Ezt a mezőt általában akkor tölti ki a rendszer, ha az eredmény hiba. |
| EventSchemaVersion | sztring | A séma verziója. |
| EventSeverity | sztring | Az esemény súlyossága. Az érvényes értékek a következők: Tájékoztató, Alacsony, Közepes vagy Magas. |
| EventStartTime | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EventSubType | sztring | A bejelentkezési típus például: System, Interactive, RemoteInteractive, Service, RemoteService, Remote vagy AssumeRole. |
| EventType | sztring | A rekord által jelentett műveletet ismerteti |
| EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
| HttpUserAgent | sztring | Ha a hitelesítés HTTP-en vagy HTTPS-en keresztül történik, ez a mező értéke az user_agent HTTP-fejléc, amelyet az eljáró alkalmazás biztosít a hitelesítés végrehajtásakor. |
| _IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
| BejelentkezésMethod | sztring | A hitelesítés végrehajtásához használt módszer. |
| LogonProtocol | sztring | A hitelesítés végrehajtásához használt protokoll. |
| _ResourceId | sztring | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
| RuleName | sztring | A vizsgálati eredményekhez társított szabály neve vagy azonosítója. |
| RuleNumber | int | A vizsgálati eredményekhez társított szabály száma. |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
| SrcDescription | sztring | A forráseszközhöz társított leíró szöveg. |
| SrcDeviceType | sztring | A forráseszköz típusa. |
| SrcDomain | sztring | A forráseszköz tartománya. |
| SrcDomainType | sztring | Az SrcDomain típusa. |
| SrcDvcId | sztring | A forráseszköz azonosítója. |
| SrcDvcIdType | sztring | Az SrcDvcId típusa. |
| SrcDvcOs | sztring | A forráseszköz operációs rendszere. |
| SrcDvcScope | sztring | A felhőplatform hatóköre, amelyhez a forráseszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| SrcDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez a forráseszköz tartozik. Az SrcDvcScopeId leképezése egy Azure-beli előfizetés-azonosítóra és egy fiókazonosítóra az AWS-ben. |
| SrcFQDN | sztring | A forráseszköz állomásneve, beleértve a tartományadatokat, ha elérhetők. |
| SrcGeoCity | sztring | A forrás IP-címéhez társított város. |
| SrcGeoCountry | sztring | A forrás IP-címéhez társított ország. |
| SrcGeoL hála | valós szám | A forrás IP-címéhez társított földrajzi koordináták szélessége. |
| SrcGeoLongitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták hosszúsága. |
| SrcGeoRegion | sztring | A forrás IP-címhez társított országon belüli régió. |
| SrcHostname | sztring | A forráseszköz gazdaneve, a tartományi adatok kivételével. |
| SrcIpAddr | sztring | A forráseszköz IP-címe. |
| SrcIsp | sztring | A forráseszköz által az internethez való csatlakozáshoz használt internetszolgáltató (ISP). |
| SrcOriginalRiskLevel | sztring | A kockázati szint a jelentéskészítő eszköz által jelentett azonosított forrással azonos. |
| SrcPortNumber | int | Az IP-port, amelyről a kapcsolat létrejött. |
| SrcRiskLevel | int | Az azonosított forráshoz társított kockázati szint. |
| _SubscriptionId | sztring | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
| TargetAppId | sztring | Annak az alkalmazásnak az azonosítója, amelyhez az engedélyezés szükséges, gyakran a jelentéskészítő eszköz rendeli hozzá. |
| TargetAppName | sztring | Annak az alkalmazásnak a neve, amelyhez az engedélyezés szükséges, beleértve a szolgáltatást, egy URL-címet vagy egy SaaS-alkalmazást. |
| TargetAppType | sztring | Az Aktor nevében engedélyező alkalmazás típusa. |
| TargetDescription | sztring | A céleszközhöz társított leíró szöveg. |
| TargetDeviceType | sztring | A céleszköz típusa. |
| TargetDomain | sztring | A céleszköz tartománya. |
| TargetDomainType | sztring | A TargetDomain típusa. |
| TargetDvcId | sztring | A céleszköz azonosítója. |
| TargetDvcIdType | sztring | A TargetDvcId típusa. |
| TargetDvcOs | sztring | A céleszköz operációs rendszere. |
| TargetDvcScope | sztring | A céleszközhöz tartozó felhőplatform-hatókör. A TargetDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| TargetDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez a céleszköz tartozik. A TargetDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| TargetFQDN | sztring | A céleszköz állomásneve, beleértve a tartományadatokat, ha elérhetők. |
| TargetGeoCity | sztring | A cél IP-címhez társított város. |
| TargetGeoCountry | sztring | A cél IP-címhez társított ország. |
| TargetGeoLatitude | valós szám | A cél IP-címhez társított földrajzi koordináták szélessége. |
| TargetGeoLongitude | valós szám | A cél IP-címhez társított földrajzi koordináták hosszúsága. |
| TargetGeoRegion | sztring | A cél IP-címhez társított országon belüli régió. |
| TargetHostname | sztring | A céleszköz állomásneve, a tartományi adatok kivételével. |
| TargetIpAddr | sztring | A céleszköz IP-címe. |
| TargetOriginalAppType | sztring | A jelentéskészítő eszköz által jelentett célalkalmazás-típus. |
| TargetOriginalRiskLevel | sztring | A célhoz társított kockázati szint a jelentéskészítő eszköz által jelentett módon. |
| TargetOriginalUserType | sztring | A jelentéskészítő eszköz által jelentett felhasználótípus. |
| TargetPortNumber | int | A céleszköz portja. |
| TargetRiskLevel | int | A célhoz társított kockázati szint. |
| TargetSessionId | sztring | A Cél aktor bejelentkezési munkamenetének egyedi azonosítója. |
| TargetUrl | sztring | A célalkalmazáshoz társított URL-cím. |
| TargetUserId | sztring | Az aktor gépi olvasható, alfanumerikus, egyedi ábrázolása. |
| TargetUserIdType | sztring | A TargetUserId mezőben tárolt azonosító típusa. |
| TargetUsername | sztring | A cél aktor felhasználóneve, beleértve a tartományadatokat, ha elérhetők. |
| TargetUsernameType | sztring | A TargetUsername mezőben megadott Cél aktor felhasználónevének típusa |
| TargetUserScope | sztring | A hatókör, például Azure AD bérlő, amelyben a TargetUserId és a TargetUsername definiálva van. |
| TargetUserScopeId | sztring | A hatókör azonosítója, például Azure AD bérlőazonosító, amelyben a TargetUserId és a TargetUsername definiálva van. |
| TargetUserType | sztring | A Cél aktor típusa. |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| ThreatCategory | sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő kategóriája. |
| ThreatConfidence | int | Az azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| ThreatField | sztring | Az a mező, amelyhez fenyegetést azonosítottak. |
| ThreatFirstReportedTime | dátum/idő | Az IP-cím vagy tartomány első észlelése fenyegetésként. |
| ThreatId | sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
| ThreatIpAddr | sztring | Egy IP-cím, amelyhez fenyegetést azonosítottak. |
| ThreatIsActive | logikai | Igaz, ha az azonosított fenyegetés aktív fenyegetésnek minősül. |
| ThreatLastReportedTime | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
| ThreatName | sztring | A naplózási tevékenységben azonosított fenyegetés vagy kártevő neve. |
| ThreatOriginalConfidence | sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje, amelyet a jelentéskészítő eszköz jelentett. |
| ThreatOriginalRiskLevel | sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
| ThreatRiskLevel | int | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. |
| TimeGenerated | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg (UTC). |
| Típus | sztring | A tábla neve |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: