ASimFileEventLogs
Az Advanced Security Information Model (ASIM) fájlesemény-normalizálási séma olyan fájltevékenységeket ír le, mint a fájlok vagy dokumentumok létrehozása, módosítása vagy törlése.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | microsoft.securityinsights/asimtables |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | No |
Betöltési idő átalakítás | Yes |
Mintalekérdezések | - |
Oszlopok
Oszlop | Típus | Description |
---|---|---|
ActingProcessCommandLine | sztring | Az eljáró folyamat futtatásához használt parancssor. |
ActingProcessGuid | sztring | Az eljáró folyamat létrehozott egyedi azonosítója (GUID). |
ActingProcessId | sztring | Az eljáró folyamat folyamatazonosítója (PID). |
ActingProcessName | sztring | Az eljáró folyamat neve. |
AktorOriginalUserType | sztring | Az eredeti aktor felhasználótípusa a jelentéskészítő eszköz által megadott módon. |
Aktorhatókör | sztring | A hatókör, például Azure AD bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. |
AktorscopeId | sztring | A hatókör-azonosító, például Azure AD címtár-azonosító, amelyben az ActorUserId és az ActorUsername definiálva van. |
ActorSessionId | sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. |
ActorUserAadId | sztring | Az aktor Azure Active Directory-azonosítója. |
ActorUserId | sztring | Az aktor gépi olvasható, alfanumerikus, egyedi ábrázolása. |
ActorUserIdType | sztring | Az ActorUserId mezőben tárolt azonosító típusa. |
ActorUsername | sztring | Az Aktor felhasználóneve, beleértve a tartományadatokat, ha elérhetők. |
ActorUsernameType | sztring | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. |
ActorUserSid | sztring | Az aktor Windows-felhasználói azonosítója (SID-k). |
ActorUserType | sztring | Az aktor típusa. |
AdditionalFields | dinamikus | További információk, amelyeket a forrás által biztosított kulcs/érték párok jelölnek, amelyek nem képeznek le ASim-hez. |
_BilledSize | valós szám | A rekord mérete bájtban |
DvcAction | sztring | A webes munkameneten végrehajtott művelet. |
DvcDescription | sztring | Az eszközhöz társított leíró szöveg. |
DvcDomain | sztring | Az eseményt jelentő eszköz tartománya. |
DvcDomainType | sztring | A DvcDomain típusa. Az érvényes értékek közé tartozik a "Windows" és az "FQDN". |
DvcFQDN | sztring | Annak az eszköznek az állomásneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcHostname | sztring | Az eseményt jelentő eszköz állomásneve. |
DvcId | sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcIdType | sztring | A DvcId típusa. |
DvcInterface | sztring | A jelentéskészítő eszköz által biztosított eredeti DvcAction. |
DvcIpAddr | sztring | Az eseményt jelentő eszköz IP-címe. |
DvcMacAddr | sztring | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcOriginalAction | sztring | A jelentéskészítő eszköz által biztosított eredeti DvcAction. |
DvcOs | sztring | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcOsVersion | sztring | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcScope | sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope az Azure-beli előfizetés nevére és az AWS-fiókazonosítóra képez le. |
DvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
DvcZone | sztring | Az a hálózat, amelyen az esemény történt, vagy amely az eseményt jelentette a sémától függően. |
EventCount | int | Ez az érték akkor használatos, ha a forrás támogatja az összesítést, és egyetlen rekord több eseményt is jelölhet. |
EventEndTime | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventMessage | sztring | Általános üzenet vagy leírás. |
EventOriginalResultDetails | sztring | A forrás által megadott eredeti eredményadatok. Ez az érték az EventResultDetails származtatására szolgál, amelynek az egyes sémákhoz csak az egyik értéknek kell dokumentálnia. |
EventOriginalSeverity | sztring | A jelentéskészítő eszköz által megadott eredeti súlyosság. Ez az érték az EventSeverity származtatására szolgál. |
EventOriginalSubType | sztring | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. Ez a mező például az eredeti Windows bejelentkezési típus tárolására szolgál. Ez az érték az EventSubType származtatására szolgál, amelynek csak az egyik értéknek kell dokumentálnia az egyes sémákhoz. |
EventOriginalType | sztring | Az eredeti eseménytípus vagy -azonosító, ha a forrás megadja. |
EventOriginalUid | sztring | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
EventOwner | sztring | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrehozták. |
EventProduct | sztring | Az eseményt létrehozó termék. |
EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
EventReportUrl | sztring | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
EventResult | sztring | Az esemény kimenete, amelyet a következő értékek egyike jelöl: Success, Partial, Failure, NA (Not Applicable). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
EventResultDetails | sztring | A HTTP-állapotkód. |
EventSchema | sztring | Az esemény sémájának normalizálása. Minden séma dokumentálja a séma nevét. |
EventSchemaVersion | sztring | A séma verziója. |
EventSeverity | sztring | Az esemény súlyossága. Az érvényes értékek a következők: Tájékoztató, Alacsony, Közepes vagy Magas. |
EventStartTime | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventSubType | sztring | Szükség esetén az eseménytípus további leírása. |
EventType | sztring | A rekord által jelentett művelet. |
EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
HashType | sztring | A Kivonat alias mezőjében tárolt kivonat típusa. |
HttpUserAgent | sztring | Ha a műveletet HTTP vagy HTTPS használatával indítják el, a HTTP felhasználói ügynök fejléce. |
_IsBillable | sztring | Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés false történik, a számlázás nem történik meg az Azure-fiókban |
NetworkApplicationProtocol | sztring | Ha a műveletet egy távoli rendszer kezdeményezi, a kapcsolat vagy munkamenet által használt alkalmazásréteg-protokollt. |
_ResourceId | sztring | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
RuleName | sztring | A szabály neve vagy azonosítója a vizsgálati eredmények alapján. |
RuleNumber | int | A vizsgálati eredményekhez társított szabály száma. |
SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
SrcDescription | sztring | Az eszközhöz társított leíró szöveg. |
SrcDeviceType | sztring | A forráseszköz típusa. |
SrcDomain | sztring | A forráseszköz tartománya. |
SrcDomainType | sztring | Az SrcDomain típusa. |
SrcDvcId | sztring | A forráseszköz azonosítója. |
SrcDvcIdType | sztring | Az SrcDvcId típusa. |
SrcDvcScope | sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. |
SrcDvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. |
SrcFileCreationTime | dátum/idő | A forrásfájl létrehozásának időpontja. |
SrcFileDirectory | sztring | A forrásfájl mappája vagy helye. |
SrcFileExtension | sztring | A forrásfájl kiterjesztése. |
SrcFileMD5 | sztring | A forrásfájl MD5-kivonata. |
SrcFileMimeType | sztring | A forrásfájl Mime vagy Media típusa. |
SrcFileName | sztring | A forrásfájl neve elérési út vagy hely nélkül, de szükség esetén kiterjesztéssel. |
SrcFilePath | sztring | A forrásfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájlnevet és a kiterjesztést. |
SrcFilePathType | sztring | Az SrcFilePath típusa. |
SrcFileSHA1 | sztring | A forrásfájl SHA-1 kivonata. |
SrcFileSHA256 | sztring | A forrásfájl SHA-256 kivonata. |
SrcFileSHA512 | sztring | A forrásfájl SHA-512 kivonata. |
SrcFileSize | hosszú | A forrásfájl mérete bájtban. |
SrcFQDN | sztring | A forráseszköz állomásneve, beleértve a tartományadatokat, ha elérhetők. |
SrcGeoCity | sztring | A forrás IP-címéhez társított város. |
SrcGeoCountry | sztring | A forrás IP-címéhez társított ország. |
SrcGeoL hála | valós szám | A forrás IP-címéhez társított földrajzi koordináták szélessége. |
SrcGeoLongitude | valós szám | A forrás IP-címéhez társított földrajzi koordináták hosszúsága. |
SrcGeoRegion | sztring | A forrás IP-címhez társított országon belüli régió. |
SrcHostname | sztring | A forráseszköz gazdaneve, a tartományi adatok kivételével. Ha nem áll rendelkezésre eszköznév, tárolja a megfelelő IP-címet ebben a mezőben. |
SrcIpAddr | sztring | Ha a műveletet egy távoli rendszer kezdeményezi, a rendszer IP-címe. |
SrcMacAddr | sztring | A forráseszköz MAC-címe. |
SrcOriginalRiskLevel | sztring | A forráshoz társított kockázati szint. A jelentéskészítő eszköz által jelentett vagy bővített módon. |
SrcPortNumber | int | Ha a műveletet egy távoli rendszer kezdeményezi, az a portszám, amelyről a kapcsolatot kezdeményezték. |
SrcRiskLevel | int | A forráshoz társított kockázati szint. |
_SubscriptionId | sztring | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
TargetAppId | sztring | A célalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. |
TargetAppName | sztring | A célalkalmazás neve. |
TargetAppType | sztring | A célalkalmazás típusa. |
TargetFileCreationTime | dátum/idő | A célfájl létrehozásának időpontja. |
TargetFileDirectory | sztring | A célfájl mappája vagy helye. |
TargetFileExtension | sztring | A célfájl kiterjesztése. |
TargetFileMD5 | sztring | A célfájl MD5-kivonata. |
TargetFileMimeType | sztring | A célfájl Mime vagy Media típusa. |
TargetFileName | sztring | A célfájl neve elérési út vagy hely nélkül, de szükség esetén kiterjesztéssel. |
TargetFilePath | sztring | A célfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájlnevet és a kiterjesztést. |
TargetFilePathType | sztring | A TargetFilePath típusa. |
TargetFileSHA1 | sztring | A célfájl SHA-1 kivonata. |
TargetFileSHA256 | sztring | A célfájl SHA-256 kivonata. |
TargetFileSHA512 | sztring | A forrásfájl SHA-512 kivonata. |
TargetFileSize | hosszú | A célfájl mérete bájtban. |
TargetOriginalAppType | sztring | A jelentéskészítő eszköz által jelentett célalkalmazás-típus. |
TargetUrl | sztring | Ha a műveletet HTTP vagy HTTPS használatával indítják el, az URL-címet használja. |
TenantId | sztring | A Log Analytics-munkaterület azonosítója |
ThreatCategory | sztring | A fájltevékenységben azonosított fenyegetés vagy kártevő kategóriája. |
ThreatConfidence | int | Az azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
ThreatField | sztring | Az a mező, amelyhez fenyegetést azonosítottak. Az érték vagy SrcFilePath vagy DstFilePath. |
ThreatFilePath | sztring | Egy fájl elérési útja, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatFilePath mező nevét tartalmazza. |
ThreatFirstReportedTime | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
ThreatId | sztring | A fájltevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
ThreatIsActive | logikai | Az azonosított fenyegetés valós azonosítója aktív fenyegetésnek minősül. |
ThreatLastReportedTime | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
ThreatName | sztring | A fájltevékenységben azonosított fenyegetés vagy kártevő neve. |
ThreatOriginalConfidence | sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje, amelyet a jelentéskészítő eszköz jelentett. |
ThreatOriginalRiskLevel | sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
ThreatRiskLevel | int | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. |
TimeGenerated | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg. |
Típus | sztring | A tábla neve |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: