ASimAuditEventLogs
Tabella eventi di controllo normalizzati di Microsoft Sentinel. Archivia gli eventi associati al audit trail dei sistemi informativi e dei log delle attività di configurazione del sistema e delle modifiche dei criteri. Tali modifiche vengono spesso eseguite dagli amministratori di sistema, ma possono essere eseguite anche dagli utenti durante la configurazione delle impostazioni delle proprie applicazioni.
Attributi tabella
Attributo | Valore |
---|---|
Tipi di risorsa | microsoft.securityinsights/auditeventnormalized |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
ActingAppId | string | ID dell'applicazione che ha avviato l'attività segnalata, incluso un processo, un browser o un servizio. |
ActingAppName | string | Nome dell'applicazione che ha avviato l'attività segnalata, incluso un servizio, un URL o un'applicazione SaaS. |
ActingAppType | string | Tipo di applicazione che agisce. |
ActingOriginalAppType | string | Tipo di applicazione che agisce come segnalato dal dispositivo di report. |
ActorOriginalUserType | string | Tipo di utente come segnalato dal dispositivo di report. |
ActorScope | string | L'ambito, ad esempio il tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
ActorScopeId | string | L'ID ambito, ad esempio l'ID tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
ActorSessionId | string | ID univoco della sessione di accesso dell'attore. |
ActorUserAadId | string | ID di Azure Active Directory dell'attore. |
ActorUserId | string | Rappresentazione univoca, leggibile dal computer, alfanumerica e univoca dell'attore. |
ActorUserIdType | string | Tipo dell'ID archiviato nel campo ActorUserId. |
ActorUsername | string | Nome utente dell'attore, incluse le informazioni di dominio quando disponibili. |
ActorUsernameType | string | Tipo del nome utente dell'attore specificato nel campo ActionUsername |
ActorUserSid | string | ID utente di Windows (SID) dell'attore. |
ActorUserType | string | Tipo dell'attore. |
Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non vengono mappate a ASim. |
_BilledSize | real | Dimensioni del record in byte |
DvcAction | string | Per i sistemi di sicurezza di creazione di report, l'azione eseguita dal sistema. |
DvcDescription | string | Testo descrittivo associato al dispositivo. |
DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
DvcDomainType | string | Tipo di DvcDomain. |
DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcIdType | string | Tipo di DvcId. |
DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. |
DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcOriginalAction | string | DvcAction originale, come fornito dal dispositivo di report. |
DvcOs | string | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcOsVersion | string | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento. |
EventCount | INT | Numero di eventi descritti dal record. |
EventEndTime | Datetime | Ora (UTC) in cui è terminato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
EventMessage | string | Messaggio generale o descrizione. |
EventOriginalResultDetails | string | I dettagli dei risultati originali forniti dall'origine. |
EventOriginalSeverity | string | Gravità originale, come fornito dal dispositivo di report. |
EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se fornito dall'origine. |
EventOriginalType | string | Tipo di evento o ID originale, se fornito dall'origine. |
EventOriginalUid | string | ID univoco del record originale, se fornito dall'origine. |
EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
EventProduct | string | Prodotto che genera l'evento. |
EventProductVersion | string | Versione del prodotto che genera l'evento. |
EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso deriva da altri campi eventi, ad esempio il campo EventResultDetails. |
EventResultDetails | string | Motivo o dettagli per il risultato segnalato nel campo EventResult. |
EventSchemaVersion | string | La versione dello schema. |
EventSeverity | string | Gravità dell'evento. I valori validi sono: Informational, Low, Medium o High. |
EventStartTime | Datetime | Ora (UTC) in cui è stato avviato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
EventSubType | string | Descrive una suddivisione dell'operazione segnalata nel campo EventType. |
EventType | string | Descrive l'operazione segnalata dal record |
EventVendor | string | Fornitore del prodotto che genera l'evento. |
HttpUserAgent | string | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che agisce durante l'esecuzione dell'autenticazione. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
Newvalue | string | Nuovo valore di Object dopo l'esecuzione dell'operazione. |
Oggetto | string | Nome dell'oggetto in cui viene eseguita l'operazione identificata da EventType. |
ObjectId | string | Nome dell'oggetto in cui viene eseguita l'operazione identificata da EventType. |
ObjectType | string | Tipo di Oggetto. |
Oldvalue | string | Valore precedente di Object prima dell'operazione. |
Operazione | string | L'operazione è stata controllata come segnalato dal dispositivo di report. |
OriginalObjectType | string | Tipo di oggetto segnalato dal dispositivo di report. |
_ResourceId | string | Identificatore univoco per la risorsa associata al record |
RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
RuleNumber | INT | Numero della regola associata ai risultati dell'ispezione. |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
SrcDescription | string | Testo descrittivo associato al dispositivo di origine. |
SrcDeviceType | string | Tipo del dispositivo di origine. |
SrcDomain | string | Dominio del dispositivo di origine. |
SrcDomainType | string | Tipo di SrcDomain. |
SrcDvcId | string | ID del dispositivo di origine. |
SrcDvcIdType | string | Tipo di SrcDvcId. |
SrcDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
SrcDvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. SrcDvcScopeId viene mappato a un ID sottoscrizione in Azure e a un ID account in AWS. |
SrcFQDN | string | Nome host del dispositivo di origine, incluse le informazioni di dominio quando disponibili. |
SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
SrcHostname | string | Nome host del dispositivo di origine, escluso le informazioni di dominio. |
SrcIpAddr | string | Indirizzo IP di origine da cui ha avuto origine la connessione o la sessione. |
SrcOriginalRiskLevel | string | Il livello di rischio associato all'origine identificata come segnalato dal dispositivo di report. |
SrcPortNumber | INT | Porta IP di origine da cui ha origine la connessione. |
SrcRiskLevel | INT | Livello di rischio associato all'origine identificata. |
_Subscriptionid | string | Identificatore univoco per la sottoscrizione associata al record |
TargetAppId | string | ID dell'applicazione a cui si applica l'evento, incluso un processo, un browser o un servizio. |
TargetAppName | string | Nome dell'applicazione a cui si applica l'evento, incluso un servizio, un URL o un'applicazione SaaS. |
TargetAppType | string | Tipo dell'applicazione che autorizza per conto dell'attore. |
TargetDescription | string | Testo descrittivo associato al dispositivo di destinazione. |
TargetDeviceType | string | Tipo del dispositivo di destinazione. |
TargetDomain | string | Dominio del dispositivo di destinazione. |
TargetDomainType | string | Tipo di TargetDomain. |
TargetDvcId | string | ID del dispositivo di destinazione. |
TargetDvcIdType | string | Tipo di TargetDvcId. |
TargetDvcOs | string | Sistema operativo del dispositivo di destinazione. |
TargetDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
TargetDvcScopeId | string | L'ID dell'ambito della piattaforma cloud appartiene al dispositivo di destinazione. TargetDvcScopeId viene mappato a un ID sottoscrizione in Azure e a un ID account in AWS. |
FQDN di destinazione | string | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio quando disponibile. |
TargetGeoCity | string | Città associata all'indirizzo IP di destinazione. |
TargetGeoCountry | string | Paese associato all'indirizzo IP di destinazione. |
TargetGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
TargetGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
TargetGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di destinazione. |
TargetHostname | string | Nome host del dispositivo di destinazione, escluso le informazioni di dominio. |
TargetIpAddr | string | Indirizzo IP di destinazione da cui ha origine la connessione o la sessione. |
TargetOriginalAppType | string | Tipo di applicazione di destinazione come segnalato dal dispositivo di report. |
TargetOriginalRiskLevel | string | Livello di rischio associato alla destinazione, come segnalato dal dispositivo di report. |
TargetPortNumber | INT | Porta IP di destinazione da cui ha origine la connessione. |
TargetRiskLevel | INT | Livello di rischio associato alla destinazione. |
TargetUrl | string | URL associato all'applicazione di destinazione. |
TenantId | string | ID area di lavoro Log Analytics |
ThreatCategory | string | Categoria della minaccia o del malware identificata nell'attività di controllo. |
ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
ThreatField | string | Campo per cui è stata identificata una minaccia. |
ThreatFirstReportedTime | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
ThreatId | string | ID della minaccia o del malware identificato nell'attività di controllo. |
ThreatIpAddr | string | Indirizzo IP o dominio per cui è stata identificata una minaccia. |
ThreatIsActive | bool | True se la minaccia identificata è considerata una minaccia attiva. |
ThreatLastReportedTime | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
ThreatName | string | Nome della minaccia o del malware identificato nell'attività di controllo. |
ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
ThreatOriginalRiskLevel | string | Livello di rischio segnalato dal dispositivo di report. |
ThreatRiskLevel | INT | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
TimeGenerated | Datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
Type | string | Nome della tabella |
ValueType | string | Tipo dei valori vecchi e nuovi. |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per