ASimRegistryEventLogs
Skema Peristiwa ASim Registry mewakili aktivitas Windows untuk membuat, memodifikasi, atau menghapus entitas Windows Registry. Peristiwa registri khusus untuk sistem Windows, tetapi dilaporkan oleh sistem yang berbeda yang memantau Windows, seperti sistem EDR (End Point Detection and Response), Sysmon, atau Windows itu sendiri.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/asimtables |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| ActingProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses. |
| ActingProcessGuid | string | Pengidentifikasi unik yang dihasilkan dari proses bertindak. |
| ActingProcessId | string | ID proses dari proses bertindak. |
| ActingProcessName | string | Nama file dari file gambar proses akting. |
| ActorOriginalUserType | string | Jenis pengguna sumber asli, jika disediakan oleh sumber. |
| ActorScope | string | Cakupan, seperti penyewa Azure AD, di mana ActorUserId dan ActorUsername didefinisikan. |
| ActorScopeId | string | ID cakupan, seperti ID penyewa Azure AD, di mana ActorUserId dan ActorUsername didefinisikan. |
| ActorSessionId | string | ID unik dari sesi login Pelaku. |
| ActorUserAadId | string | ID Azure Active Directory aktor. |
| ActorUserId | string | ID unik dari Pelaku. |
| ActorUserIdType | string | Jenis ID yang disimpan pada bidang ActorUserId. |
| ActorUsername | string | Nama pengguna dari pengguna yang memulai kejadian tersebut. |
| ActorUsernameType | string | Menentukan jenis nama pengguna yang disimpan di bidang ActorUsername. |
| ActorUserSid | string | ID pengguna Windows (SID) aktor. |
| ActorUserType | string | Jenis Pelaku. |
| AdditionalFields | dinamis | Informasi tambahan, diwakili menggunakan pasangan kunci/nilai yang disediakan oleh sumber yang tidak dipetakan ke ASim. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DvcAction | string | Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem. |
| DvcDescription | string | Teks deskriptif yang terkait dengan perangkat. |
| DvcDomain | string | Domain perangkat yang melaporkan peristiwa. |
| DvcDomainType | string | Jenis DvcDomain. |
| DvcFQDN | string | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcHostname | string | Nama host perangkat yang melaporkan peristiwa. |
| DvcId | string | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcIdType | string | Jenis DvcId. |
| DvcInterface | string | Antarmuka jaringan tempat data diambil. |
| DvcIpAddr | string | Alamat IP perangkat yang melaporkan peristiwa. |
| DvcMacAddr | string | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| DvcOriginalAction | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| DvcOs | string | Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. |
| DvcOsVersion | string | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| DvcScope | string | Cakupan platform cloud milik perangkat. Peta DvcScope ke nama langganan di Azure dan ke ID akun di AWS. |
| DvcScopeId | string | ID cakupan platform cloud milik perangkat. Peta DvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcZone | string | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| EventCount | int | Jumlah peristiwa yang dijelaskan oleh rekaman. |
| EventEndTime | tanggalwaktu | Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan rekaman mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventMessage | string | Pesan atau deskripsi umum. |
| EventOriginalResultDetails | string | Detail hasil asli disediakan oleh sumber. |
| EventOriginalSeverity | string | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. |
| EventOriginalSubType | string | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. |
| EventOriginalType | string | ID unik dari rekaman asli, jika disediakan oleh sumbernya. |
| EventOriginalUid | string | . |
| EventOwner | string | Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempat peristiwa tersebut dihasilkan. |
| EventProduct | string | Produk yang menghasilkan peristiwa. |
| EventProductVersion | string | Versi produk yang menghasilkan peristiwa. |
| EventReportUrl | string | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
| EventResult | string | Hasil peristiwa, diwakili oleh salah satu nilai berikut: Sukses, Parsial, Kegagalan, NA (Tidak Berlaku). Nilai mungkin tidak disediakan langsung oleh sumber, dalam hal ini berasal dari bidang peristiwa lain, misalnya, bidang EventResultDetails. |
| EventResultDetails | string | Alasan atau detail hasil yang dilaporkan di EventResult. |
| EventSchema | string | Nama skema. |
| EventSchemaVersion | string | Versi skema. |
| EventSeverity | string | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informasi, Rendah, Sedang, atau Tinggi. |
| EventStartTime | tanggalwaktu | Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan rekaman mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventSubType | string | Penjelasan operasi subdivisi telah di laporkan di bidang EventType. |
| EventType | string | Menggambarkan operasi yang dilaporkan oleh rekaman. |
| EventVendor | string | Vendor dari produk yang menghasilkan peristiwa. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| ParentProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses. |
| ParentProcessGuid | string | Pengidentifikasi unik yang dihasilkan dari proses induk. |
| ParentProcessId | string | ID proses dari proses induk. |
| ParentProcessName | string | Nama file dari file gambar proses induk. |
| RegistryKey | string | Kunci registri yang terkait dengan operasi, dinormalisasi ke konvensi penamaan kunci akar standar. |
| RegistryPreviousKey | string | Untuk operasi yang memodifikasi registri, kunci registri asli, dinormalisasi ke penamaan kunci root standar. |
| RegistryPreviousValue | string | Untuk operasi yang memodifikasi registri, jenis nilai asli, dinormalisasi ke bentuk standar. |
| RegistryPreviousValueData | string | Data registri asli, untuk operasi yang memodifikasi registri. |
| RegistryPreviousValueType | string | Untuk operasi yang memodifikasi registri, jenis nilai asli. |
| RegistryValue | string | Nilai registri yang terkait dengan operasi. |
| RegistryValueData | string | Data yang tersimpan dalam nilai registri. |
| RegistryValueType | string | Jenis nilai registri, dinormalisasi ke bentuk standar. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| RuleName | string | Nama atau ID aturan dengan dikaitkan dengan hasil inspeksi. |
| RuleNumber | int | Jumlah aturan yang terkait dengan hasil pemeriksaan. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| _SubscriptionId | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| TenantId | string | ID ruang kerja Analitik Log |
| ThreatCategory | string | Kategori ancaman atau malware yang diidentifikasi dalam aktivitas. |
| ThreatConfidence | int | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatField | string | Bidang yang ancamannya diidentifikasi. |
| ThreatFirstReportedTime | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatId | string | ID ancaman atau malware yang diidentifikasi dalam aktivitas. |
| ThreatIsActive | bool | True ID ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatLastReportedTime | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatName | string | Nama ancaman atau malware yang diidentifikasi dalam aktivitas. |
| ThreatOriginalConfidence | string | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalRiskLevel | string | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatRiskLevel | int | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100. |
| TimeGenerated | tanggalwaktu | Tanda waktu (UTC) yang mencerminkan waktu di mana peristiwa dihasilkan. |
| Jenis | string | Nama tabel |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk