ASimFileEventLogs
Skema normalisasi Peristiwa File Model Informasi Keamanan Tingkat Lanjut (ASIM) menjelaskan aktivitas file seperti membuat, memodifikasi, atau menghapus file atau dokumen.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/asimtables |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| ActingProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses bertindak tersebut. |
| ActingProcessGuid | string | Sebuah pengidentifikasi unik yang dihasilkan (GUID) dari proses bertindak. |
| ActingProcessId | string | Id proses (PID) dari proses bertindak. |
| ActingProcessName | string | Nama dari proses bertindak. |
| ActorOriginalUserType | string | Jenis pengguna aktor asli sebagaimana disediakan oleh perangkat pelaporan. |
| ActorScope | string | Cakupan, seperti penyewa Azure AD, di mana ActorUserId dan ActorUsername didefinisikan. |
| ActorScopeId | string | ID cakupan, seperti Azure AD ID Direktori, di mana ActorUserId dan ActorUsername didefinisikan. |
| ActorSessionId | string | ID unik dari sesi login Pelaku. |
| ActorUserAadId | string | ID Azure Active Directory aktor. |
| ActorUserId | string | Representasi aktor yang dapat dibaca mesin, alfanumerik, dan unik. |
| ActorUserIdType | string | Jenis ID yang disimpan pada bidang ActorUserId. |
| ActorUsername | string | Nama pengguna Pelaku, termasuk informasi domain saat tersedia. |
| ActorUsernameType | string | Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. |
| ActorUserSid | string | ID pengguna Windows (SID) aktor. |
| ActorUserType | string | Jenis aktor. |
| AdditionalFields | dinamis | Informasi tambahan, diwakili menggunakan pasangan kunci/nilai yang disediakan oleh sumber yang tidak dipetakan ke ASim. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DvcAction | string | Tindakan yang diambil pada sesi web. |
| DvcDescription | string | Teks deskriptif yang terkait dengan perangkat. |
| DvcDomain | string | Domain perangkat yang melaporkan peristiwa. |
| DvcDomainType | string | Jenis DvcDomain. Nilai yang valid termasuk 'Windows' dan 'FQDN'. |
| DvcFQDN | string | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcHostname | string | Nama host perangkat yang melaporkan peristiwa. |
| DvcId | string | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcIdType | string | Jenis DvcId. |
| DvcInterface | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| DvcIpAddr | string | Alamat IP perangkat yang melaporkan peristiwa. |
| DvcMacAddr | string | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| DvcOriginalAction | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| DvcOs | string | Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. |
| DvcOsVersion | string | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| DvcScope | string | Cakupan platform cloud milik perangkat. Peta DvcScope ke nama langganan di Azure dan ke ID akun di AWS. |
| DvcScopeId | string | ID cakupan platform cloud milik perangkat. DvcScopeId memetakan ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcZone | string | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa, tergantung pada skemanya. |
| EventCount | int | Nilai ini digunakan ketika sumber mendukung agregasi, dan satu rekaman dapat mewakili beberapa kejadian. |
| EventEndTime | tanggalwaktu | Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventMessage | string | Pesan atau deskripsi umum. |
| EventOriginalResultDetails | string | Detail hasil asli disediakan oleh sumber. Nilai ini digunakan untuk memperoleh EventResultDetails, yang seharusnya hanya memiliki satu nilai yang didokumentasikan untuk setiap skema. |
| EventOriginalSeverity | string | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. Nilai ini digunakan untuk mendapatkan EventSeverity. |
| EventOriginalSubType | string | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. Misalnya, bidang ini akan digunakan untuk menyimpan jenis logon Windows asli. Nilai ini digunakan untuk mendapatkan EventSubType, yang seharusnya hanya memiliki salah satu nilai yang didokumentasikan untuk setiap skema. |
| EventOriginalType | string | Jenis acara asli atau ID, jika disediakan oleh sumber. |
| EventOriginalUid | string | ID unik dari rekaman asli, jika disediakan oleh sumbernya. |
| EventOwner | string | Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempatnya dihasilkan. |
| EventProduct | string | Produk yang menghasilkan peristiwa. |
| EventProductVersion | string | Versi produk yang menghasilkan peristiwa. |
| EventReportUrl | string | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
| EventResult | string | Hasil peristiwa, diwakili oleh salah satu nilai berikut: Sukses, Parsial, Kegagalan, NA (Tidak Berlaku). Nilai mungkin tidak disediakan langsung oleh sumber, dalam hal ini berasal dari bidang peristiwa lain, misalnya, bidang EventResultDetails. |
| EventResultDetails | string | Kode status HTTP. |
| EventSchema | string | Skema acara dinormalisasi. Setiap skema mendokumentasikan nama skemanya. |
| EventSchemaVersion | string | Versi skema. |
| EventSeverity | string | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informasi, Rendah, Sedang, atau Tinggi. |
| EventStartTime | tanggalwaktu | Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventSubType | string | Deskripsi tambahan tentang jenis peristiwa, jika berlaku. |
| EventType | string | Operasi yang dilaporkan oleh rekaman. |
| EventVendor | string | Vendor dari produk yang menghasilkan peristiwa. |
| HashType | string | Jenis hash yang disimpan di bidang Hash alias. |
| HttpUserAgent | string | Ketika operasi dimulai menggunakan HTTP atau HTTPS, header agen pengguna HTTP. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| NetworkApplicationProtocol | string | Ketika operasi dimulai oleh sistem jarak jauh, protokol lapisan aplikasi yang digunakan oleh koneksi atau sesi. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| RuleName | string | Nama atau ID aturan dengan dikaitkan dengan hasil inspeksi. |
| RuleNumber | int | Jumlah aturan yang terkait dengan hasil pemeriksaan. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| SrcDescription | string | Teks deskriptif yang terkait dengan perangkat. |
| SrcDeviceType | string | Jenis perangkat sumber |
| SrcDomain | string | Domain perangkat sumber. |
| SrcDomainType | string | Jenis SrcDomain. |
| SrcDvcId | string | ID perangkat sumber. |
| SrcDvcIdType | string | Jenis SrcDvcId. |
| SrcDvcScope | string | Cakupan platform cloud milik perangkat. |
| SrcDvcScopeId | string | ID cakupan platform cloud milik perangkat. |
| SrcFileCreationTime | tanggalwaktu | Waktu saat instans tersebut dibuat. |
| SrcFileDirectory | string | Folder atau lokasi file sumber. |
| SrcFileExtension | string | Ekstensi file sumber. |
| SrcFileMD5 | string | Hash MD5 dari file sumber. |
| SrcFileMimeType | string | Jenis Mime atau Media dari file sumber. |
| SrcFileName | string | Nama file sumber, tanpa jalur atau lokasi, tetapi dengan ekstensi jika relevan. |
| SrcFilePath | string | Jalur yang lengkap dan dinormalisasi dari file sumber, termasuk folder atau lokasi, nama file, dan ekstensi. |
| SrcFilePathType | string | Tipe SrcFilePath. |
| SrcFileSHA1 | string | Hash SHA-1 dari file sumber. |
| SrcFileSHA256 | string | Hash SHA-256 dari file sumber. |
| SrcFileSHA512 | string | Hash SHA-512 dari file sumber. |
| SrcFileSize | long | Ukuran file sumber dalam byte. |
| SrcFQDN | string | Nama host perangkat sumber, termasuk informasi domain saat tersedia. |
| SrcGeoCity | string | Kota yang terkait dengan alamat IP sumber. |
| SrcGeoCountry | string | Negara yang terkait dengan alamat IP sumber. |
| SrcGeoLatitude | nyata | Garis lintang koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoLongitude | nyata | Garis bujur koordinat geografis yang terkait dengan alamat IP sumber. |
| SrcGeoRegion | string | Wilayah dalam negara yang terkait dengan alamat IP sumber. |
| SrcHostname | string | Nama host perangkat sumber, tidak termasuk informasi domain. Jika tidak ada nama perangkat yang tersedia, simpan alamat IP yang relevan di bidang ini. |
| SrcIpAddr | string | Ketika operasi dimulai oleh sistem jarak jauh, digunakan alamat IP dari sistem ini. |
| SrcMacAddr | string | Alamat MAC perangkat sumber. |
| SrcOriginalRiskLevel | string | Tingkat risiko yang terkait dengan sumber. Seperti yang dilaporkan oleh perangkat pelaporan atau diperkaya. |
| SrcPortNumber | int | Ketika operasi dimulai oleh sistem jarak jauh, nomor port tempat koneksi dimulai. |
| SrcRiskLevel | int | Tingkat risiko yang terkait dengan sumber. |
| _SubscriptionId | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| TargetAppId | string | ID aplikasi tujuan, seperti yang dilaporkan oleh perangkat pelapor. |
| TargetAppName | string | Nama aplikasi tujuan. |
| TargetAppType | string | Tipe aplikasi tujuan. |
| TargetFileCreationTime | tanggalwaktu | Waktu saat file target tersebut dibuat. |
| TargetFileDirectory | string | Folder atau lokasi file target. |
| TargetFileExtension | string | Ekstensi file target. |
| TargetFileMD5 | string | Hash MD5 dari file target. |
| TargetFileMimeType | string | Jenis Mime atau Media dari file target. |
| TargetFileName | string | Nama file target, tanpa jalur atau lokasi, tetapi dengan ekstensi jika relevan. |
| TargetFilePath | string | Jalur yang lengkap dan dinormalisasi dari file target, termasuk folder atau lokasi, nama file, dan ekstensi. |
| TargetFilePathType | string | Tipe TargetFilePath. |
| TargetFileSHA1 | string | Hash SHA-1 dari file target. |
| TargetFileSHA256 | string | Hash SHA-256 dari file target. |
| TargetFileSHA512 | string | Hash SHA-512 dari file sumber. |
| TargetFileSize | long | Ukuran file target dalam byte. |
| TargetOriginalAppType | string | Jenis aplikasi target seperti yang dilaporkan oleh perangkat pelaporan. |
| TargetUrl | string | Ketika operasi dimulai menggunakan HTTP atau HTTPS, maka digunakan URL. |
| TenantId | string | ID ruang kerja Analitik Log |
| ThreatCategory | string | Kategori ancaman atau malware yang diidentifikasi dalam aktivitas file. |
| ThreatConfidence | int | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatField | string | Bidang yang ancamannya diidentifikasi. Nilainya adalah SrcFilePath atau DstFilePath. |
| ThreatFilePath | string | Jalur file yang ancamannya diidentifikasi. Bidang ThreatField berisi nama bidang yang diwakili ThreatFilePath. |
| ThreatFirstReportedTime | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatId | string | ID ancaman atau malware yang diidentifikasi dalam aktivitas file. |
| ThreatIsActive | bool | True ID ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatLastReportedTime | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatName | string | Nama ancaman atau malware yang diidentifikasi dalam aktivitas file. |
| ThreatOriginalConfidence | string | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalRiskLevel | string | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatRiskLevel | int | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100. |
| TimeGenerated | tanggalwaktu | Tanda waktu yang mencerminkan waktu di mana peristiwa dihasilkan. |
| Jenis | string | Nama tabel |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk