ASimAuditEventLogs
Tabel peristiwa audit yang dinormalisasi Microsoft Azure Sentinel. Menyimpan peristiwa yang terkait dengan jejak audit sistem informasi dan aktivitas konfigurasi sistem log jejak audit dan perubahan kebijakan. Perubahan tersebut sering dilakukan oleh administrator sistem, tetapi juga dapat dilakukan oleh pengguna saat mengonfigurasi pengaturan aplikasi mereka sendiri.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/auditeventnormalized |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| ActingAppId | string | ID aplikasi yang memulai aktivitas yang dilaporkan, termasuk proses, browser, atau layanan. |
| ActingAppName | string | Nama aplikasi yang memulai aktivitas yang dilaporkan, termasuk layanan, URL, atau aplikasi SaaS. |
| ActingAppType | string | Jenis aplikasi bertindak. |
| ActingOriginalAppType | string | Jenis aplikasi bertindak seperti yang dilaporkan oleh perangkat pelaporan. |
| ActorOriginalUserType | string | Jenis pengguna seperti yang dilaporkan oleh perangkat pelaporan. |
| ActorScope | string | Cakupan, seperti penyewa Azure AD, di mana ActorUserId dan ActorUsername ditentukan. |
| ActorScopeId | string | ID cakupan, seperti ID penyewa Azure AD, di mana ActorUserId dan ActorUsername ditentukan. |
| ActorSessionId | string | ID unik dari sesi rincian masuk Pelaku. |
| ActorUserAadId | string | ID Azure Active Directory dari aktor. |
| ActorUserId | string | Representasi aktor yang dapat dibaca mesin, alfanumerik, dan unik. |
| ActorUserIdType | string | Jenis ID yang disimpan pada bidang ActorUserId. |
| ActorUsername | string | Nama pengguna Actor, termasuk informasi domain saat tersedia. |
| ActorUsernameType | string | Jenis nama pengguna Actor yang ditentukan di bidang ActionUsername |
| ActorUserSid | string | ID pengguna Windows (SID) aktor. |
| ActorUserType | string | Jenis Pelaku. |
| AdditionalFields | dinamis | Informasi tambahan, diwakili menggunakan pasangan kunci/nilai yang disediakan oleh sumber yang tidak dipetakan ke ASim. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DvcAction | string | Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem. |
| DvcDescription | string | Teks deskriptif yang terkait dengan perangkat. |
| DvcDomain | string | Domain perangkat yang melaporkan peristiwa. |
| DvcDomainType | string | Jenis DvcDomain. |
| DvcFQDN | string | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcHostname | string | Nama host perangkat yang melaporkan peristiwa. |
| DvcId | string | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcIdType | string | Jenis DvcId. |
| DvcInterface | string | Antarmuka jaringan tempat data diambil. |
| DvcIpAddr | string | Alamat IP perangkat yang melaporkan peristiwa. |
| DvcMacAddr | string | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| DvcOriginalAction | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| DvcOs | string | Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. |
| DvcOsVersion | string | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| DvcScope | string | Cakupan platform cloud milik perangkat. Peta DvcScope ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcScopeId | string | ID cakupan platform cloud milik perangkat. DvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcZone | string | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| EventCount | int | Jumlah peristiwa yang dijelaskan oleh rekaman. |
| EventEndTime | tanggalwaktu | Waktu (UTC) di mana peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventMessage | string | Pesan atau deskripsi umum. |
| EventOriginalResultDetails | string | Detail hasil asli disediakan oleh sumber. |
| EventOriginalSeverity | string | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. |
| EventOriginalSubType | string | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. |
| EventOriginalType | string | Jenis acara asli atau ID, jika disediakan oleh sumber. |
| EventOriginalUid | string | ID unik dari rekaman asli, jika disediakan oleh sumbernya. |
| EventOwner | string | Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempatnya dihasilkan. |
| EventProduct | string | Produk yang menghasilkan peristiwa. |
| EventProductVersion | string | Versi produk yang menghasilkan peristiwa. |
| EventReportUrl | string | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
| EventResult | string | Hasil peristiwa, diwakili oleh salah satu nilai berikut: Sukses, Parsial, Kegagalan, NA (Tidak Berlaku). Nilai mungkin tidak disediakan langsung oleh sumber, dalam hal ini berasal dari bidang peristiwa lain, misalnya, bidang EventResultDetails. |
| EventResultDetails | string | Alasan atau detail hasil yang dilaporkan di EventResult. |
| EventSchemaVersion | string | Versi skema. |
| EventSeverity | string | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informasi, Rendah, Sedang, atau Tinggi. |
| EventStartTime | tanggalwaktu | Waktu (UTC) di mana peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventSubType | string | Penjelasan operasi subdivisi telah di laporkan di bidang EventType. |
| EventType | string | Menjelaskan operasi yang dilaporkan oleh rekaman |
| EventVendor | string | Vendor dari produk yang menghasilkan peristiwa. |
| HttpUserAgent | string | Ketika autentikasi dilakukan melalui HTTP atau HTTPS, nilai bidang ini adalah header HTTP user_agent yang disediakan oleh aplikasi bertindak saat melakukan autentikasi. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| NewValue | string | Nilai baru Objek setelah operasi dilakukan. |
| Object | string | Nama objek tempat operasi yang diidentifikasi oleh EventType dilakukan. |
| ObjectId | string | Nama objek tempat operasi yang diidentifikasi oleh EventType dilakukan. |
| Jenis Objek | string | Jenis Objek. |
| OldValue | string | Nilai lama Objek sebelum operasi. |
| Operasi | string | Operasi diaudit seperti yang dilaporkan oleh perangkat pelaporan. |
| OriginalObjectType | string | Jenis objek seperti yang dilaporkan oleh perangkat pelaporan. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| RuleName | string | Nama atau ID aturan yang terkait dengan hasil inspeksi. |
| RuleNumber | int | Jumlah aturan yang terkait dengan hasil inspeksi. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| SrcDescription | string | Teks deskriptif yang terkait dengan perangkat sumber. |
| SrcDeviceType | string | Jenis perangkat sumber |
| SrcDomain | string | Domain perangkat sumber. |
| SrcDomainType | string | Jenis SrcDomain. |
| SrcDvcId | string | ID perangkat sumber. |
| SrcDvcIdType | string | Jenis SrcDvcId. |
| SrcDvcScope | string | Lingkup platform cloud milik perangkat sumber. Peta SrcDvcScope ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcDvcScopeId | string | ID cakupan platform cloud milik perangkat sumber. Peta SrcDvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| SrcFQDN | string | Nama host perangkat sumber, termasuk informasi domain saat tersedia. |
| SrcGeoCity | string | Kota yang terkait dengan alamat IP sumber. |
| SrcGeoCountry | string | Negara yang terkait dengan alamat IP sumber. |
| SrcGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoRegion | string | Wilayah dalam negara yang terkait dengan alamat IP sumber. |
| SrcHostname | string | Nama host perangkat sumber, tidak termasuk informasi domain. |
| SrcIpAddr | string | Alamat IP Sumber dari mana koneksi atau sesi berasal. |
| SrcOriginalRiskLevel | string | Tingkat risiko yang ditembus dengan Sumber yang diidentifikasi seperti yang dilaporkan oleh perangkat pelaporan. |
| SrcPortNumber | int | Port IP Sumber dari mana koneksi berasal. |
| SrcRiskLevel | int | Tingkat risiko yang terkait dengan Sumber yang diidentifikasi. |
| _SubscriptionId | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| TargetAppId | string | ID aplikasi tempat peristiwa berlaku, termasuk proses, browser, atau layanan. |
| TargetAppName | string | Nama aplikasi tempat peristiwa berlaku, termasuk layanan, URL, atau aplikasi SaaS. |
| TargetAppType | string | Jenis aplikasi yang memberi wewenang atas nama Pelaku. |
| TargetDescription | string | Teks deskriptif yang terkait dengan perangkat target. |
| TargetDeviceType | string | Jenis perangkat target. |
| TargetDomain | string | Domain perangkat target. |
| TargetDomainType | string | Jenis TargetDomain. |
| TargetDvcId | string | ID dari perangkat target. |
| TargetDvcIdType | string | Jenis TargetDvcId. |
| TargetDvcOs | string | OS perangkat target. |
| TargetDvcScope | string | Platform cloud mencakup perangkat target miliknya. TargetDvcScope memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| TargetDvcScopeId | string | ID cakupan platform cloud milik perangkat target. TargetDvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| FQDNTarget | string | Nama host perangkat target, termasuk informasi domain saat tersedia. |
| TargetGeoCity | string | Kota yang terkait dengan alamat IP target. |
| TargetGeoCountry | string | Negara yang terkait dengan alamat IP target. |
| TargetGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP target. |
| TargetGeoLongitude | nyata | Bujur koordinat geografis yang terkait dengan alamat IP target. |
| TargetGeoRegion | string | Wilayah dalam negara yang terkait dengan alamat IP target. |
| TargetHostname | string | Nama host perangkat target, tidak termasuk informasi domain. |
| TargetIpAddr | string | Alamat IP Target tempat koneksi atau sesi berasal. |
| TargetOriginalAppType | string | Jenis aplikasi target seperti yang dilaporkan oleh perangkat pelaporan. |
| TargetOriginalRiskLevel | string | Tingkat risiko yang terkait dengan target, seperti yang dilaporkan oleh perangkat pelaporan. |
| TargetPortNumber | int | Port IP Target tempat koneksi berasal. |
| TargetRiskLevel | int | Tingkat risiko yang terkait dengan target. |
| TargetUrl | string | URL yang terkait dengan aplikasi target. |
| TenantId | string | ID ruang kerja Analitik Log |
| ThreatCategory | string | Kategori ancaman atau malware yang diidentifikasi dalam aktivitas audit. |
| ThreatConfidence | int | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatField | string | Bidang yang ancamannya diidentifikasi. |
| ThreatFirstReportedTime | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatId | string | ID ancaman atau malware yang diidentifikasi dalam aktivitas audit. |
| ThreatIpAddr | string | Alamat IP atau Domain tempat ancaman diidentifikasi. |
| ThreatIsActive | bool | Benar jika ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatLastReportedTime | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatName | string | Nama ancaman atau malware yang diidentifikasi dalam aktivitas audit. |
| ThreatOriginalConfidence | string | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalRiskLevel | string | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatRiskLevel | int | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100. |
| TimeGenerated | tanggalwaktu | Tanda waktu (UTC) yang mencerminkan waktu di mana peristiwa dihasilkan. |
| Jenis | string | Nama tabel |
| ValueType | string | Jenis nilai lama dan baru. |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk