Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az ASim felhasználói felügyeleti séma olyan felhasználói felügyeleti tevékenységeket jelöl, mint például felhasználó vagy csoport létrehozása, felhasználói attribútum módosítása vagy felhasználó hozzáadása egy csoporthoz. Ezeket az eseményeket például az operációs rendszerek, a címtárszolgáltatások, az identitáskezelő rendszerek és a helyi felhasználókezelési tevékenységről jelentést tevő egyéb rendszerek jelentik.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | microsoft.securityinsights/asimtables |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | Igen |
| Feldolgozási idő átalakítás | Igen |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| ActingAppId | szál | A színész által a tevékenység végrehajtásához használt alkalmazás azonosítója, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. |
| SzínjátszóAppNév | szál | A tevékenység végrehajtásához használt alkalmazás neve, beleértve a folyamatot, a böngészőt vagy a szolgáltatást. |
| Színjátszó alkalmazástípus | szál | A működő alkalmazás típusa. |
| Eredeti alkalmazástípus | szál | A jelentéskészítő eszköz által jelentett működő alkalmazástípus. |
| SzereplőEredetiFelhasználóTípus | szál | Az eredeti aktor felhasználótípusa, ha a forrás megadja. |
| ActorScope | szál | A hatókör, mint például az Azure AD-környezet, amelyben az ActorUserId-et és az ActorUsername-et definiálják. |
| SzereplőHatókörAzonosító | szál | A hatókör azonosítója, például az Azure AD-bérlő azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van. |
| ActorSessionId | szál | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. |
| ActorUserAadId | szál | A színész Azure Active Directory-azonosítója. |
| ActorUserId | szál | A színész géppel olvasható, alfanumerikus, egyedi ábrázolása. |
| SzereplőFelhasználóAzonosítóTípus | szál | Az ActorUserId mezőben tárolt azonosító típusa. |
| SzínészFelhasználónév | szál | Az Aktor felhasználóneve, beleértve a tartományinformációkat is, ha elérhető. |
| SzereplőFelhasználónévTípus | szál | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. |
| ActorUserSid | szál | Az aktor Windows-felhasználói azonosítója (SID-k). |
| SzereplőFelhasználóTípus | szál | Az Aktor típusa. |
| További mezők | dinamikus | További információk, amelyek a forrás által biztosított kulcs-/érték párok használatával vannak ábrázolva, és nem rendelhetők hozzá az ASim-hez. |
| _BilledSize | valódi | A rekord mérete bájtban |
| DvcAction | szál | A biztonsági rendszerek jelentésénél a rendszer által végrehajtott műveletek. |
| DvcDescription | szál | Az eszközhöz társított leíró szöveg. |
| DvcDomain | szál | Az eseményt jelentő eszköz tartománya. |
| DvcDomainType | szál | A DvcDomain típusa. |
| DvcFQDN | szál | Annak az eszköznek a gazdaneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcHostname | szál | Az eseményt jelentő eszköz állomásneve. |
| DvcId | szál | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcIdType | szál | A DvcId típusa. |
| DvcInterface | szál | Az a hálózati adapter, amelyen az adatokat rögzítették. |
| DvcIpAddr | szál | Az eseményt jelentő eszköz IP-címe. |
| DvcMacAddr | szál | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcOriginalAction | szál | Az eredeti DvcAction, amelyet a jelentéskészítő eszköz adott meg. |
| DvcOs | szál | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcOsVersion | szál | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcScope | szál | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope az Azure előfizetés nevével és egy AWS-fiókazonosítóval köt össze. |
| DvcScopeId | szál | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy Azure-előfizetés-azonosítóhoz és egy AWS-fiókazonosítóhoz kapcsolható. |
| DvcZone | szál | Az a hálózat, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| Események Száma | Int | A rekord által leírt események száma. |
| EseményVégeIdőpont | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| Eseményüzenet | szál | Általános üzenet vagy leírás. |
| Esemény Eredeti Eredmény Részletei | szál | A forrás által megadott eredeti eredményadatok. |
| EventOriginalSeverity | szál | A jelentéskészítő eszköz által megadott eredeti súlyosság. |
| EredetiEseményAltípus | szál | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. |
| EredetiEseménytípus | szál | Ha a forrás megadja az eredeti eseménytípust vagy -azonosítót. |
| EventOriginalUid (EseményEredetiUID) | szál | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
| Eseménytulajdonos | szál | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrejött. |
| EventProduct | szál | Az eseményt létrehozó termék. |
| EseményTermékVerzió | szál | Az eseményt létrehozó termék verziója. |
| Eseményjelentés URL | szál | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
| EseményEredmény | szál | Az esemény kimenetét a következő értékek egyikével jelölik: Siker, Részleges, Sikertelen, NA (nem alkalmazható). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
| Eseményeredmény részletei | szál | Az EventResult mezőben jelentett eredmény oka vagy részletei. |
| EventSchema | szál | A séma neve |
| EventSchemaVersion | szál | A séma verziója. |
| EventSeverity | szál | Az esemény súlyossága. Az érvényes értékek a következők: Információs, Alacsony, Közepes vagy Magas. |
| EseményKezdésiIdő | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, akkor az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EseményAltípus | szál | Az EventType mezőben jelentett művelet albontását ismerteti. |
| Eseménytípus | szál | A rekord által jelentett műveletet ismerteti. |
| EventVendor | szál | Az eseményt létrehozó termék szállítója. |
| Csoportazonosító | szál | A csoport géppel olvasható, alfanumerikus, egyedi ábrázolása egy csoportot érintő tevékenységekhez. |
| Csoport ID Típus | szál | A GroupId mezőben tárolt azonosító típusa. |
| Csoportnév | szál | A csoport neve, beleértve a tartományinformációkat is, ha rendelkezésre állnak, a csoportokat érintő tevékenységekhez. |
| CsoportnévTípus | szál | A GroupName mezőben tárolt csoportnév típusát adja meg. |
| EredetiCsoportTípus | szál | Az eredeti csoporttípus, ha a forrás megadja. |
| Csoporttípus | szál | A csoport típusa egy csoportot érintő tevékenységekhez. |
| HttpUserAgent (HTTP felhasználói ügynök) | szál | Ha a hitelesítés HTTP-en vagy HTTPS-en keresztül történik, a mező értéke az user_agent HTTP-fejléc, amelyet az eljáró alkalmazás biztosít a hitelesítés végrehajtásakor. |
| _Felszámítható-e | szál | Meghatározza, hogy az adatok beolvasása számlázható-e. Amikor a _IsBillable false, nem kerül számlázásra az Azure-fiókjában |
| ÚjTulajdonságÉrték | szál | A megadott tulajdonságban tárolt új érték. |
| ElőzőTulajdonságÉrték | szál | A megadott tulajdonságban tárolt előző érték. |
| _ResourceId (erőforrás azonosító) | szál | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
| SzabályNeve | szál | A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva. |
| SzabálySzám | Int | A vizsgálati eredményekhez társított szabály száma. |
| SourceSystem | szál | Az eseményt összegyűjtő ügynök típusa. Például Windows-ügynök esetében OpsManager lehet közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynökre, vagy Azure az Azure Diagnostics-re vonatkozóan. |
| ForrásLeírás | szál | A forráseszközhöz társított leíró szöveg. |
| SrcDeviceType | szál | A forráseszköz típusa. |
| SrcDomain | szál | A forráseszköz tartománya. |
| Forrásdomaintípus | szál | A SrcDomain típusa. |
| SrcDvcId | szál | A forráseszköz azonosítója, ahogyan azt a rekordban jelentették. |
| SrcDvcIdType | szál | Az SrcDvcId típusa. |
| SrcDvcScope | szál | A forráseszközhöz tartozó felhőplatform hatóköre. Az SrcDvcScope az Azure-beli előfizetés nevét és egy AWS-fiókazonosítót köt össze. |
| SrcDvcScopeId | szál | A felhőplatform hatókörazonosítója, amelyhez a forráseszköz tartozik. Az SrcDvcScopeId megfelel egy Azure-előfizetés-azonosítónak és egy AWS-fiókazonosítónak. |
| SrcFQDN | szál | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. |
| SrcGeoCity | szál | A forrás IP-címéhez társított város. |
| ForrásFöldrajziOrszág | szál | A forrás IP-címéhez társított ország. |
| SrcGeoLatitude | valódi | A forrás IP-címhez társított földrajzi koordináták szélessége. |
| SrcGeoHosszúság | valódi | A forrás IP-címhez társított földrajzi koordináták hosszúsága. |
| ForrásFöldrajziRégió | szál | A forrás IP-címhez társított országon belüli régió. |
| SrcHostname | szál | A forráseszköz gazda neve, a tartományinformációk nélkül. |
| SrcIpAddr | szál | A forráseszköz IP-címe. |
| SrcMacAddr | szál | A forráseszköz MAC-címe. |
| ForrásEredetiKockázatiSzint | szál | A jelentéskészítési eszköz által jelentett azonosított forrás kockázati szintje. |
| SrcPortNumber | Int | A forrás IP-portja, ahonnan a kapcsolat származik. |
| SrcRiskLevel | Int | Az azonosított forráshoz társított kockázati szint. |
| _SubscriptionId (előfizetési azonosító) | szál | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
| CélEredetiFelhasználóiTípus | szál | Az eredeti célfelhasználó típusa, ha a forrás megadja. |
| CélFelhasználóAzonosító | szál | A célfelhasználó géppel olvasható, alfanumerikus, egyedi ábrázolása. |
| TargetFelhasználóiAzonosítóTípus | szál | A TargetUserId mezőben tárolt azonosító típusa. |
| TargetUsername | szál | A célnév, beleértve a tartományinformációkat is, ha elérhetőek. |
| CélfelhasználónévTípus | szál | A TargetUsername mezőben tárolt felhasználónév típusát adja meg. |
| CélzottFelhasználóiHatókör | szál | A hatókör, például az Azure AD-bérlő neve, amelyben a TargetUserId és a TargetUsername van definiálva. |
| TargetUserScopeId | szál | A hatókör azonosítója, például az Azure AD-bérlő azonosítója, amelyben a TargetUserId és a TargetUsername van definiálva. |
| Célfelhasználó munkamenetazonosító | szál | A felhasználó bejelentkezési munkamenetének egyedi azonosítója. |
| Felhasználótípus célzás | szál | A célfelhasználó típusa. |
| CélFelhasználóiAzonosító | szál | A felhasználó Unix vagy Linux felhasználói azonosítója. |
| Bérlőazonosító | szál | A Log Analytics-munkaterület azonosítója |
| Fenyegetés Kategória | szál | A tevékenységben azonosított fenyegetés vagy kártevők kategóriája. |
| Fenyegetési Bizalom | Int | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| FenyegetésMező | szál | Az a mező, amelyhez fenyegetést azonosítottak. |
| FenyegetésElsőJelentésiIdeje | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| VeszélyAzonosító | szál | A tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
| Fenyegetés aktív | Bool | Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül. |
| Fenyegetés utoljára jelentett időpont | dátum/idő | ** Az IP-címet vagy a tartományt utoljára fenyegetésként azonosították. |
| FenyegetésNeve | szál | A tevékenységben azonosított fenyegetés vagy kártevő neve. |
| EredetiFenyegetésBizalom | szál | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
| EredetiFenyegetésiKockázatiSzint | szál | A jelentéskészítő eszköz által jelentett kockázati szint. |
| Fenyegetettségi Kockázati Szint | Int | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. |
| GenerálásiIdő | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg (UTC). |
| Típus | szál | A tábla neve |