Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Advanced Security Information Model (ASIM) fájlesemény-normalizálási séma olyan fájltevékenységeket ír le, mint például fájlok vagy dokumentumok létrehozása, módosítása vagy törlése.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | microsoft.securityinsights/asimtables |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | Igen |
Betöltési idő átalakítás | Igen |
Minta lekérdezések | - |
Oszlopok
Oszlop | Típus | Leírás |
---|---|---|
FolyamatVégrehajtásiParancssor | karakterlánc | Az eljáró folyamat futtatásához használt parancssor. |
ActingProcessGuid | karakterlánc | Az eljáró folyamat generált egyedi azonosítója (GUID). |
EljárásAzonosító | karakterlánc | Az eljáró folyamat folyamatazonosítója (PID). |
EljárásiFolyamatNév | karakterlánc | Az eljáró folyamat neve. |
SzereplőEredetiFelhasználóTípus | karakterlánc | A jelentési eszköz által megadott eredeti színész felhasználói típus. |
ActorScope | karakterlánc | A hatókör, például az Azure AD-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. |
SzereplőHatókörAzonosító | karakterlánc | A hatókör azonosítója, például az Azure AD directory azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van. |
ActorSessionId | karakterlánc | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. |
ActorUserAadId | karakterlánc | A színész Azure Active Directory-azonosítója. |
ActorUserId | karakterlánc | A színész géppel olvasható, alfanumerikus, egyedi ábrázolása. |
SzereplőFelhasználóAzonosítóTípus | karakterlánc | Az ActorUserId mezőben tárolt azonosító típusa. |
SzereplőFelhasználónév | karakterlánc | Az Aktor felhasználóneve, beleértve a tartományinformációkat, ha elérhető. |
SzereplőFelhasználónévTípus | karakterlánc | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. |
ActorUserSid | karakterlánc | Az aktor Windows-felhasználói azonosítója (SID-k). |
SzereplőFelhasználóTípus | karakterlánc | Az aktor típusa. |
További mezők | dinamikus | További információ, amely a forrás által biztosított kulcs-/érték párok használatával jelenik meg, amelyek nem feleltethetők meg az ASim számára. |
_BilledSize | valódi | A rekord mérete bájtban |
DvcAction | karakterlánc | A webes munkameneten végrehajtott művelet. |
DvcDescription | karakterlánc | Az eszközhöz társított leíró szöveg. |
DvcDomain | karakterlánc | Az eseményt jelentő eszköz tartománya. |
DvcDomainType | karakterlánc | A DvcDomain típusa. Az érvényes értékek közé tartozik a "Windows" és az "FQDN". |
DvcFQDN | karakterlánc | Annak az eszköznek a gazdaneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcHostname | karakterlánc | Az eseményt jelentő eszköz állomásneve. |
DvcId | karakterlánc | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcIdType | karakterlánc | A DvcId típusa. |
DvcInterface | karakterlánc | A jelentéskészítő eszköz által megadott eredeti DvcAction. |
DvcIpAddr | karakterlánc | Az eseményt jelentő eszköz IP-címe. |
DvcMacAddr | karakterlánc | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcOriginalAction | karakterlánc | A jelentéskészítő eszköz által megadott eredeti DvcAction. |
DvcOs | karakterlánc | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcOsVersion | karakterlánc | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcScope | karakterlánc | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope az Azure-beli előfizetés nevére és egy AWS-fiókazonosítóra képez le. |
DvcScopeId | karakterlánc | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy adott Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
DvcZone | karakterlánc | Az a hálózat, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt. |
Eseményszám | egész | Ezt az értéket akkor használja a rendszer, ha a forrás támogatja az összesítést, és egyetlen rekord több eseményt is jelölhet. |
EseményVégeIdő | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
Eseményüzenet | karakterlánc | Általános üzenet vagy leírás. |
EredetiEseményEredményRészletek | karakterlánc | A forrás által megadott eredeti eredményadatok. Ez az érték az EventResultDetails származtatására szolgál, amely az egyes sémák esetében csak egy dokumentált értéket tartalmazhat. |
EventOriginalSeverity | karakterlánc | A jelentéskészítő eszköz által megadott eredeti súlyosság. Ez az érték az EventSeverity származtatására szolgál. |
EseményEredetiAltípus | karakterlánc | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. Ez a mező például az eredeti Windows-bejelentkezési típus tárolására szolgál. hu-HU: Ez az érték az EventSubType származtatására szolgál, amelynek az egyes sémákhoz csak egy értéke lehet dokumentálva. |
EredetiEseménytípus | karakterlánc | Ha a forrás megadja az eredeti eseménytípust vagy -azonosítót. |
EventOriginalUid (EseményEredetiUID) | karakterlánc | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
Esemény Tulajdonosa | karakterlánc | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrejött. |
EventProduct | karakterlánc | Az eseményt létrehozó termék. |
EseményTermékVerzió | karakterlánc | Az eseményt létrehozó termék verziója. |
Eseményjelentés URL | karakterlánc | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
EseményEredmény | karakterlánc | Az esemény kimenetét a következő értékek egyikével jelölik: Siker, Részleges, Sikertelen, NA (nem alkalmazható). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
EseményEredményRészletek | karakterlánc | A HTTP-állapotkód. |
EventSchema | karakterlánc | A séma, amelybe az esemény normalizálva van. Minden séma dokumentálja a séma nevét. |
EventSchemaVersion | karakterlánc | A séma verziója. |
EventSeverity | karakterlánc | Az esemény súlyossága. Az érvényes értékek a következők: Információs, Alacsony, Közepes vagy Magas. |
Esemény kezdési ideje | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EseményAltípus | karakterlánc | Szükség esetén az eseménytípus további leírása. |
EseményTípus | karakterlánc | A rekord által jelentett művelet. |
EventVendor | karakterlánc | Az eseményt létrehozó termék szállítója. |
HashTípus | karakterlánc | A Hash alias mezőjében tárolt hash típusa. |
HttpUserAgent (HTTP felhasználói ügynök) | karakterlánc | Amikor a műveletet HTTP vagy HTTPS használatával indítják el, a HTTP felhasználói ügynök fejléc az, ami számít. |
_Felszámítható-e | karakterlánc | Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable nem teljesül, false a feldolgozás nem kerül számlázásra az Azure-fiókjában. |
Hálózati Alkalmazásprotokoll | karakterlánc | Ha a műveletet egy távoli rendszer kezdeményezi, a kapcsolat vagy munkamenet által használt alkalmazásréteg protokollja. |
_ResourceId (erőforrás azonosító) | karakterlánc | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
SzabályNeve | karakterlánc | A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva. |
SzabálySzám | egész | A vizsgálati eredményekhez társított szabály száma. |
SourceSystem | karakterlánc | Az ügynök típusa, amely az eseményt gyűjtötte. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure az Azure Diagnostics esetében |
ForrásLeírás | karakterlánc | Az eszközhöz társított leíró szöveg. |
SrcDeviceType | karakterlánc | A forráseszköz típusa. |
SrcDomain | karakterlánc | A forráseszköz tartománya. |
ForrásDomainTípus | karakterlánc | A SrcDomain típusa. |
SrcDvcId | karakterlánc | A forráseszköz azonosítója. |
SrcDvcIdType | karakterlánc | Az SrcDvcId típusa. |
SrcDvcScope | karakterlánc | A felhőplatform hatóköre, amelyhez az eszköz tartozik. |
SrcDvcScopeId | karakterlánc | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. |
ForrásfájlLétrehozásiIdőpont | dátum/idő | A forrásfájl létrehozásának időpontja. |
SrcFileDirectory | karakterlánc | A forrásfájl mappája vagy helye. |
SrcFileExtension | karakterlánc | A forrásfájl-bővítmény. |
SrcFileMD5 | karakterlánc | A forrásfájl MD5 kivonata. |
Forrásfájl MIME-típus | karakterlánc | A forrásfájl MIME vagy média típusa. |
SrcFileName | karakterlánc | A forrásfájl neve elérési út vagy hely nélkül, de szükség esetén kiterjesztéssel. |
SrcFilePath | karakterlánc | A forrásfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájlnevet és a bővítményt. |
SrcFilePathType | karakterlánc | Az SrcFilePath típusa. |
SrcFileSHA1 | karakterlánc | A forrásfájl SHA-1 kivonata. |
SrcFileSHA256 | karakterlánc | A forrásfájl SHA-256 kivonata. |
SrcFileSHA512 | karakterlánc | A forrásfájl SHA-512 kivonata. |
SrcFileSize | hosszú | A forrásfájl mérete bájtban. |
SrcFQDN | karakterlánc | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. |
SrcGeoCity | karakterlánc | A forrás IP-címéhez társított város. |
ForrásFöldrajziOrszág | karakterlánc | A forrás IP-címéhez társított ország. |
SrcGeoLatitude | valódi | A forrás IP-címhez társított földrajzi koordináták szélessége. |
SrcGeoHosszúság | valódi | A forrás IP-címhez társított földrajzi koordináták hosszúsága. |
ForrásGeoRégió | karakterlánc | A forrás IP-címhez társított országon belüli régió. |
SrcHostname | karakterlánc | A forráseszköz gazdagépneve, a tartományinformációk kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. |
SrcIpAddr | karakterlánc | Ha a műveletet egy távoli rendszer kezdeményezi, a rendszer IP-címe. |
SrcMacAddr | karakterlánc | A forráseszköz MAC-címe. |
ForrásEredetiKockázatiSzint | karakterlánc | A forráshoz társított kockázati szint. A jelentéskészítő eszköz által jelentett vagy gazdagított formában. |
SrcPortNumber | egész | Ha a műveletet egy távoli rendszer kezdeményezi, az a portszám, amelyről a kapcsolatot kezdeményezték. |
SrcRiskLevel | egész | A forráshoz társított kockázati szint. |
_SubscriptionId (előfizetési azonosító) | karakterlánc | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
Célalkalmazásazonosító | karakterlánc | A célalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. |
TargetAppName | karakterlánc | A célalkalmazás neve. |
Célszoftvertípus | karakterlánc | A célalkalmazás típusa. |
CélfájlLétrehozásiIdő | dátum/idő | A célfájl létrehozásának időpontja. |
TargetFileDirectory | karakterlánc | A célfájl mappája vagy helye. |
TargetFileExtension | karakterlánc | A célfájl-bővítmény. |
TargetFileMD5 | karakterlánc | A célfájl MD5 kivonata. |
célfájl MIME-típus | karakterlánc | A célfájl Mime vagy Media típusa. |
TargetFileName | karakterlánc | A célfájl neve elérési út vagy hely nélkül, de szükség esetén kiterjesztéssel. |
Célfájl útvonal | karakterlánc | A célfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájlnevet és a bővítményt. |
Célfájl-útvonal típusa | karakterlánc | A TargetFilePath típusa. |
TargetFileSHA1 | karakterlánc | A célfájl SHA-1 kivonata. |
TargetFileSHA256 | karakterlánc | A célfájl SHA-256 kivonata. |
TargetFileSHA512 | karakterlánc | A forrásfájl SHA-512 kivonata. |
TargetFileSize | hosszú | A célfájl mérete bájtban. |
CélzottEredetiAlkalmazástípus | karakterlánc | A jelentéskészítő eszköz által jelentett célalkalmazás-típus. |
TargetUrl | karakterlánc | Ha a műveletet HTTP vagy HTTPS használatával indítják el, a használt URL-címet kell használni. |
BérlőAzonosító | karakterlánc | A Log Analytics-munkaterület azonosítója |
Fenyegetéskategória | karakterlánc | A fájltevékenységben azonosított fenyegetés vagy kártevők kategóriája. |
Fenyegetettségi Bizalom (ThreatConfidence) | egész | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
Veszélyterület | karakterlánc | Az a mező, amelyhez fenyegetést azonosítottak. Az érték SrcFilePath vagy DstFilePath. |
FenyegetettFájlÚtvonal | karakterlánc | Egy fájl elérési útja, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatFilePath által képviselt mező nevét tartalmazza. |
Az első fenyegetés jelentésének ideje | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
VeszélyAzonosító | karakterlánc | A fájltevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
AktívFenyegetés | boolean | Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül. |
Utolsó fenyegetés jelentési ideje | dátum/idő | Az IP-címet vagy tartományt utoljára fenyegetésként azonosították. |
FenyegetésNeve | karakterlánc | A fájltevékenységben azonosított fenyegetés vagy kártevő neve. |
Fenyegetés Eredeti Bizalom | karakterlánc | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
Eredeti fenyegetés kockázati szintje | karakterlánc | A jelentéskészítő eszköz által jelentett kockázati szint. |
Fenyegetéskockázati Szint | egész | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. |
GenerálásiIdőpont | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg. |
Típus | karakterlánc | A tábla neve |