Megosztás a következőn keresztül:


ASimFileEventLogs

Az Advanced Security Information Model (ASIM) fájlesemény-normalizálási séma olyan fájltevékenységeket ír le, mint például fájlok vagy dokumentumok létrehozása, módosítása vagy törlése.

Táblaattribútumok

Attribútum Érték
Erőforrástípusok microsoft.securityinsights/asimtables
Kategóriák Biztonság
Megoldások SecurityInsights
Alapszintű napló Igen
Betöltési idő átalakítás Igen
Minta lekérdezések -

Oszlopok

Oszlop Típus Leírás
FolyamatVégrehajtásiParancssor karakterlánc Az eljáró folyamat futtatásához használt parancssor.
ActingProcessGuid karakterlánc Az eljáró folyamat generált egyedi azonosítója (GUID).
EljárásAzonosító karakterlánc Az eljáró folyamat folyamatazonosítója (PID).
EljárásiFolyamatNév karakterlánc Az eljáró folyamat neve.
SzereplőEredetiFelhasználóTípus karakterlánc A jelentési eszköz által megadott eredeti színész felhasználói típus.
ActorScope karakterlánc A hatókör, például az Azure AD-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van.
SzereplőHatókörAzonosító karakterlánc A hatókör azonosítója, például az Azure AD directory azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van.
ActorSessionId karakterlánc Az Aktor bejelentkezési munkamenetének egyedi azonosítója.
ActorUserAadId karakterlánc A színész Azure Active Directory-azonosítója.
ActorUserId karakterlánc A színész géppel olvasható, alfanumerikus, egyedi ábrázolása.
SzereplőFelhasználóAzonosítóTípus karakterlánc Az ActorUserId mezőben tárolt azonosító típusa.
SzereplőFelhasználónév karakterlánc Az Aktor felhasználóneve, beleértve a tartományinformációkat, ha elérhető.
SzereplőFelhasználónévTípus karakterlánc Az ActorUsername mezőben tárolt felhasználónév típusát adja meg.
ActorUserSid karakterlánc Az aktor Windows-felhasználói azonosítója (SID-k).
SzereplőFelhasználóTípus karakterlánc Az aktor típusa.
További mezők dinamikus További információ, amely a forrás által biztosított kulcs-/érték párok használatával jelenik meg, amelyek nem feleltethetők meg az ASim számára.
_BilledSize valódi A rekord mérete bájtban
DvcAction karakterlánc A webes munkameneten végrehajtott művelet.
DvcDescription karakterlánc Az eszközhöz társított leíró szöveg.
DvcDomain karakterlánc Az eseményt jelentő eszköz tartománya.
DvcDomainType karakterlánc A DvcDomain típusa. Az érvényes értékek közé tartozik a "Windows" és az "FQDN".
DvcFQDN karakterlánc Annak az eszköznek a gazdaneve, amelyen az esemény történt, vagy amely az eseményt jelentette.
DvcHostname karakterlánc Az eseményt jelentő eszköz állomásneve.
DvcId karakterlánc Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette.
DvcIdType karakterlánc A DvcId típusa.
DvcInterface karakterlánc A jelentéskészítő eszköz által megadott eredeti DvcAction.
DvcIpAddr karakterlánc Az eseményt jelentő eszköz IP-címe.
DvcMacAddr karakterlánc Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette.
DvcOriginalAction karakterlánc A jelentéskészítő eszköz által megadott eredeti DvcAction.
DvcOs karakterlánc Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette.
DvcOsVersion karakterlánc Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette.
DvcScope karakterlánc A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope az Azure-beli előfizetés nevére és egy AWS-fiókazonosítóra képez le.
DvcScopeId karakterlánc A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy adott Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le.
DvcZone karakterlánc Az a hálózat, amelyen az esemény történt, vagy amely a sémától függően jelentette az eseményt.
Eseményszám egész Ezt az értéket akkor használja a rendszer, ha a forrás támogatja az összesítést, és egyetlen rekord több eseményt is jelölhet.
EseményVégeIdő dátum/idő Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja.
Eseményüzenet karakterlánc Általános üzenet vagy leírás.
EredetiEseményEredményRészletek karakterlánc A forrás által megadott eredeti eredményadatok. Ez az érték az EventResultDetails származtatására szolgál, amely az egyes sémák esetében csak egy dokumentált értéket tartalmazhat.
EventOriginalSeverity karakterlánc A jelentéskészítő eszköz által megadott eredeti súlyosság. Ez az érték az EventSeverity származtatására szolgál.
EseményEredetiAltípus karakterlánc Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. Ez a mező például az eredeti Windows-bejelentkezési típus tárolására szolgál. hu-HU: Ez az érték az EventSubType származtatására szolgál, amelynek az egyes sémákhoz csak egy értéke lehet dokumentálva.
EredetiEseménytípus karakterlánc Ha a forrás megadja az eredeti eseménytípust vagy -azonosítót.
EventOriginalUid (EseményEredetiUID) karakterlánc Az eredeti rekord egyedi azonosítója, ha a forrás megadja.
Esemény Tulajdonosa karakterlánc Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrejött.
EventProduct karakterlánc Az eseményt létrehozó termék.
EseményTermékVerzió karakterlánc Az eseményt létrehozó termék verziója.
Eseményjelentés URL karakterlánc Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről.
EseményEredmény karakterlánc Az esemény kimenetét a következő értékek egyikével jelölik: Siker, Részleges, Sikertelen, NA (nem alkalmazható). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből.
EseményEredményRészletek karakterlánc A HTTP-állapotkód.
EventSchema karakterlánc A séma, amelybe az esemény normalizálva van. Minden séma dokumentálja a séma nevét.
EventSchemaVersion karakterlánc A séma verziója.
EventSeverity karakterlánc Az esemény súlyossága. Az érvényes értékek a következők: Információs, Alacsony, Közepes vagy Magas.
Esemény kezdési ideje dátum/idő Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja.
EseményAltípus karakterlánc Szükség esetén az eseménytípus további leírása.
EseményTípus karakterlánc A rekord által jelentett művelet.
EventVendor karakterlánc Az eseményt létrehozó termék szállítója.
HashTípus karakterlánc A Hash alias mezőjében tárolt hash típusa.
HttpUserAgent (HTTP felhasználói ügynök) karakterlánc Amikor a műveletet HTTP vagy HTTPS használatával indítják el, a HTTP felhasználói ügynök fejléc az, ami számít.
_Felszámítható-e karakterlánc Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable nem teljesül, false a feldolgozás nem kerül számlázásra az Azure-fiókjában.
Hálózati Alkalmazásprotokoll karakterlánc Ha a műveletet egy távoli rendszer kezdeményezi, a kapcsolat vagy munkamenet által használt alkalmazásréteg protokollja.
_ResourceId (erőforrás azonosító) karakterlánc Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van
SzabályNeve karakterlánc A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva.
SzabálySzám egész A vizsgálati eredményekhez társított szabály száma.
SourceSystem karakterlánc Az ügynök típusa, amely az eseményt gyűjtötte. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure az Azure Diagnostics esetében
ForrásLeírás karakterlánc Az eszközhöz társított leíró szöveg.
SrcDeviceType karakterlánc A forráseszköz típusa.
SrcDomain karakterlánc A forráseszköz tartománya.
ForrásDomainTípus karakterlánc A SrcDomain típusa.
SrcDvcId karakterlánc A forráseszköz azonosítója.
SrcDvcIdType karakterlánc Az SrcDvcId típusa.
SrcDvcScope karakterlánc A felhőplatform hatóköre, amelyhez az eszköz tartozik.
SrcDvcScopeId karakterlánc A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik.
ForrásfájlLétrehozásiIdőpont dátum/idő A forrásfájl létrehozásának időpontja.
SrcFileDirectory karakterlánc A forrásfájl mappája vagy helye.
SrcFileExtension karakterlánc A forrásfájl-bővítmény.
SrcFileMD5 karakterlánc A forrásfájl MD5 kivonata.
Forrásfájl MIME-típus karakterlánc A forrásfájl MIME vagy média típusa.
SrcFileName karakterlánc A forrásfájl neve elérési út vagy hely nélkül, de szükség esetén kiterjesztéssel.
SrcFilePath karakterlánc A forrásfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájlnevet és a bővítményt.
SrcFilePathType karakterlánc Az SrcFilePath típusa.
SrcFileSHA1 karakterlánc A forrásfájl SHA-1 kivonata.
SrcFileSHA256 karakterlánc A forrásfájl SHA-256 kivonata.
SrcFileSHA512 karakterlánc A forrásfájl SHA-512 kivonata.
SrcFileSize hosszú A forrásfájl mérete bájtban.
SrcFQDN karakterlánc A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető.
SrcGeoCity karakterlánc A forrás IP-címéhez társított város.
ForrásFöldrajziOrszág karakterlánc A forrás IP-címéhez társított ország.
SrcGeoLatitude valódi A forrás IP-címhez társított földrajzi koordináták szélessége.
SrcGeoHosszúság valódi A forrás IP-címhez társított földrajzi koordináták hosszúsága.
ForrásGeoRégió karakterlánc A forrás IP-címhez társított országon belüli régió.
SrcHostname karakterlánc A forráseszköz gazdagépneve, a tartományinformációk kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet.
SrcIpAddr karakterlánc Ha a műveletet egy távoli rendszer kezdeményezi, a rendszer IP-címe.
SrcMacAddr karakterlánc A forráseszköz MAC-címe.
ForrásEredetiKockázatiSzint karakterlánc A forráshoz társított kockázati szint. A jelentéskészítő eszköz által jelentett vagy gazdagított formában.
SrcPortNumber egész Ha a műveletet egy távoli rendszer kezdeményezi, az a portszám, amelyről a kapcsolatot kezdeményezték.
SrcRiskLevel egész A forráshoz társított kockázati szint.
_SubscriptionId (előfizetési azonosító) karakterlánc Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van
Célalkalmazásazonosító karakterlánc A célalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon.
TargetAppName karakterlánc A célalkalmazás neve.
Célszoftvertípus karakterlánc A célalkalmazás típusa.
CélfájlLétrehozásiIdő dátum/idő A célfájl létrehozásának időpontja.
TargetFileDirectory karakterlánc A célfájl mappája vagy helye.
TargetFileExtension karakterlánc A célfájl-bővítmény.
TargetFileMD5 karakterlánc A célfájl MD5 kivonata.
célfájl MIME-típus karakterlánc A célfájl Mime vagy Media típusa.
TargetFileName karakterlánc A célfájl neve elérési út vagy hely nélkül, de szükség esetén kiterjesztéssel.
Célfájl útvonal karakterlánc A célfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájlnevet és a bővítményt.
Célfájl-útvonal típusa karakterlánc A TargetFilePath típusa.
TargetFileSHA1 karakterlánc A célfájl SHA-1 kivonata.
TargetFileSHA256 karakterlánc A célfájl SHA-256 kivonata.
TargetFileSHA512 karakterlánc A forrásfájl SHA-512 kivonata.
TargetFileSize hosszú A célfájl mérete bájtban.
CélzottEredetiAlkalmazástípus karakterlánc A jelentéskészítő eszköz által jelentett célalkalmazás-típus.
TargetUrl karakterlánc Ha a műveletet HTTP vagy HTTPS használatával indítják el, a használt URL-címet kell használni.
BérlőAzonosító karakterlánc A Log Analytics-munkaterület azonosítója
Fenyegetéskategória karakterlánc A fájltevékenységben azonosított fenyegetés vagy kártevők kategóriája.
Fenyegetettségi Bizalom (ThreatConfidence) egész A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva.
Veszélyterület karakterlánc Az a mező, amelyhez fenyegetést azonosítottak. Az érték SrcFilePath vagy DstFilePath.
FenyegetettFájlÚtvonal karakterlánc Egy fájl elérési útja, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatFilePath által képviselt mező nevét tartalmazza.
Az első fenyegetés jelentésének ideje dátum/idő Az IP-cím vagy tartomány első azonosítása fenyegetésként.
VeszélyAzonosító karakterlánc A fájltevékenységben azonosított fenyegetés vagy kártevő azonosítója.
AktívFenyegetés boolean Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül.
Utolsó fenyegetés jelentési ideje dátum/idő Az IP-címet vagy tartományt utoljára fenyegetésként azonosították.
FenyegetésNeve karakterlánc A fájltevékenységben azonosított fenyegetés vagy kártevő neve.
Fenyegetés Eredeti Bizalom karakterlánc Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon.
Eredeti fenyegetés kockázati szintje karakterlánc A jelentéskészítő eszköz által jelentett kockázati szint.
Fenyegetéskockázati Szint egész Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie.
GenerálásiIdőpont dátum/idő Az esemény létrehozásának idejét tükröző időbélyeg.
Típus karakterlánc A tábla neve