Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az ASim-beállításjegyzék eseményséma a Windows-beállításjegyzék entitásainak létrehozására, módosítására vagy törlésére vonatkozó Windows-tevékenységet jelöli. A beállításjegyzék eseményei kifejezetten Windows rendszerekre vonatkoznak, de ezeket olyan különféle rendszerek jelzik, amelyek a Windows működését figyelik, mint például az EDR (végpontészlelés és válasz) rendszerek, a Sysmon, vagy maga a Windows.
Tábla attribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | microsoft.securityinsights/asimtables |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | Igen |
| Adatbetöltés közbeni átalakítás | Igen |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| FolyamatVégrehajtásiParancssor | húr | A folyamat futtatásához használt parancssor. |
| ActingProcessGuid | húr | Az eljáró folyamat generált egyedi azonosítója. |
| EljárásAzonosító | húr | Az eljáró folyamat folyamatazonosítója. |
| Cselekvési Folyamat Neve | húr | Az eljáró folyamat képfájljának fájlneve. |
| SzereplőEredetiFelhasználóTípus | húr | Az eredeti aktor felhasználótípusa, ha a forrás megadja. |
| ActorScope | húr | A hatókör, például az Azure AD-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. |
| SzereplőHatókörAzonosító | húr | A hatókör azonosítója, például az Azure AD-bérlő azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van. |
| ActorSessionId | húr | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. |
| ActorUserAadId | húr | A színész Azure Active Directory-azonosítója. |
| ActorUserId | húr | Az Aktor egyedi azonosítója. |
| SzereplőFelhasználóAzonosítóTípus | húr | Az ActorUserId mezőben tárolt azonosító típusa. |
| SzereplőFelhasználónév | húr | Az eseményt kezdeményező felhasználó felhasználóneve. |
| SzereplőFelhasználónévTípus | húr | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. |
| ActorUserSid | húr | Az aktor Windows-felhasználói azonosítója (SID-k). |
| SzereplőFelhasználóTípus | húr | Az Aktor típusa. |
| További mezők | dinamikus | További információ, amely a forrás által biztosított kulcs-/érték párok használatával jelenik meg, amelyek nem felelnek meg az ASim rendszernek. |
| _BilledSize | valós | A rekord mérete bájtban |
| DvcAction | húr | Az a művelet, amelyet a rendszer a biztonsági rendszerek jelentésekor végrehajt. |
| DvcDescription | húr | Az eszközhöz társított leíró szöveg. |
| DvcDomain | húr | Az eseményt jelentő eszköz tartománya. |
| DvcDomainType | húr | A DvcDomain típusa. |
| DvcFQDN | húr | Annak az eszköznek a gazdaneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcHostname | húr | Az eseményt jelentő eszköz állomásneve. |
| DvcId | húr | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcIdType | húr | A DvcId típusa. |
| DvcInterface | húr | Az a hálózati adapter, amelyen az adatokat rögzítették. |
| DvcIpAddr | húr | Az eseményt jelentő eszköz IP-címe. |
| DvcMacAddr | húr | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcOriginalAction | húr | Az eredeti DvcAction, amit a jelentéskészítő eszköz megadott. |
| DvcOs | húr | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcOsVersion | húr | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcScope | húr | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope megfelel az Azure-beli előfizetés nevének és egy AWS-fiókazonosítónak. |
| DvcScopeId | húr | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId az Azure esetében egy előfizetés-azonosítóra, míg az AWS esetében egy fiókazonosítóra irányul. |
| DvcZone | húr | Az a hálózat, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| Eseményszám | egész | A rekord által leírt események száma. |
| Esemény befejezésének ideje | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EseményÜzenet | húr | Általános üzenet vagy leírás. |
| EseményEredetiEredményRészletek | húr | A forrás által megadott eredeti eredményadatok. |
| EventOriginalSeverity | húr | A jelentéskészítő eszköz által megadott eredeti súlyosság. |
| EredetiEseményAltTípus | húr | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. |
| EredetiEseménytípus | húr | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
| EventOriginalUid (EseményEredetiUID) | húr | . |
| Eseménytulajdonos | húr | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrejött. |
| EventProduct | húr | Az eseményt létrehozó termék. |
| EseményTermékVerzió | húr | Az eseményt létrehozó termék verziója. |
| Eseményjelentés URL | húr | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
| EseményEredmény | húr | Az esemény kimenetét a következő értékek egyikével jelölik: Siker, Részleges, Sikertelen, NA (nem alkalmazható). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
| EseményEredményRészletek | húr | Az EventResult mezőben jelentett eredmény oka vagy részletei. |
| EventSchema | húr | A séma neve. |
| EventSchemaVersion | húr | A séma verziója. |
| EventSeverity | húr | Az esemény súlyossága. Az érvényes értékek a következők: Információs, Alacsony, Közepes vagy Magas. |
| EseményKezdésiIdő | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, akkor az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EseményAltípus | húr | Az EventType mezőben jelentett művelet albontását ismerteti. |
| Eseménytípus | húr | A rekord által jelentett műveletet ismerteti. |
| EventVendor | húr | Az eseményt létrehozó termék szállítója. |
| _Felszámítható-e | húr | Meghatározza, hogy az adatok betöltése számlázható-e. Ha a _IsBillable betölti, false a számlázás nem történik meg az Azure-fiókjában |
| ParentProcessCommandLine | húr | A folyamat futtatásához használt parancssor. |
| ParentProcessGuid | húr | A szülőfolyamat generált egyedi azonosítója. |
| ParentProcessId | húr | A szülőfolyamat folyamatazonosítója. |
| ParentProcessName | húr | A szülőfolyamat képfájljának fájlneve. |
| Regisztrációs kulcs | húr | A művelethez társított beállításkulcs normál gyökérkulcs-elnevezési konvenciókra normalizálva. |
| ElőzőRegisztrációsKulcs | húr | A beállításjegyzéket módosító műveletek esetében az eredeti beállításkulcs normál gyökérkulcs-elnevezésre van normalizálva. |
| KorábbiRegiszterÉrték | húr | A beállításjegyzéket módosító műveletek esetében az eredeti értéktípus a szabványos formára normalizálva. |
| Előzőérték-adat a Névjegyzékben | húr | A beállításjegyzéket módosító műveletek eredeti beállításjegyzék-adatai. |
| ElőzőRegisztrációsÉrtéktípus | húr | A beállításjegyzéket módosító műveletek esetében az eredeti értéktípus. |
| Beállításjegyzék érték | húr | A művelethez társított beállításjegyzék-érték. |
| RegiszterértékAdat | húr | A beállításjegyzék-értékben tárolt adatok. |
| Bejegyzés érték típusa | húr | A beállításjegyzék-érték típusa, normál formátumra normalizálva. |
| _ResourceId (erőforrás azonosító) | húr | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
| SzabályNév | húr | A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva. |
| SzabálySzám | egész | A vizsgálati eredményekhez társított szabály száma. |
| SourceSystem | húr | Az ügynök típusa, amely az eseményt gyűjtötte. Például Windows-ügynököknél: OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux minden Linux-ügynök, vagy Azure az Azure Diagnostics esetében. |
| _ElőfizetésAzonosító | húr | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
| Bérlő azonosító | húr | A Log Analytics-munkaterület azonosítója |
| Fenyegetés Kategória | húr | A tevékenységben azonosított fenyegetés vagy kártevők kategóriája. |
| FenyegetésBizalom | egész | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| Veszélyterület | húr | Az a mező, amelyhez fenyegetést azonosítottak. |
| Az első fenyegetés jelentésének ideje | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| FenyegetésAzonosító | húr | A tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
| FenyegetésAktív | boole | Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül. |
| Utolsó fenyegetés jelentési ideje | dátum/idő | Az IP-cím vagy tartomány utolsó alkalommal történt azonosítása fenyegetésként. |
| Veszélynév | húr | A tevékenységben azonosított fenyegetés vagy kártevő neve. |
| EredetiFeneygetésBizalom | húr | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
| Eredeti fenyegetés kockázati szintje | húr | A jelentéskészítő eszköz által jelentett kockázati szint. |
| FenyegetésKockázatiSzint | egész | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. |
| Generálási idő | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg (UTC). |
| Típus | húr | A tábla neve |