ASimAuditEventLogs
Tabella eventi di controllo normalizzati di Microsoft Sentinel. Archivia gli eventi associati al audit trail dei sistemi informativi e dei log delle attività di configurazione del sistema e delle modifiche dei criteri. Tali modifiche vengono spesso eseguite dagli amministratori di sistema, ma possono essere eseguite anche dagli utenti durante la configurazione delle impostazioni delle proprie applicazioni.
Attributi tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | microsoft.securityinsights/auditeventnormalized |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| ActingAppId | string | ID dell'applicazione che ha avviato l'attività segnalata, incluso un processo, un browser o un servizio. |
| ActingAppName | string | Nome dell'applicazione che ha avviato l'attività segnalata, incluso un servizio, un URL o un'applicazione SaaS. |
| ActingAppType | string | Tipo di applicazione che agisce. |
| ActingOriginalAppType | string | Tipo di applicazione che agisce come segnalato dal dispositivo di report. |
| ActorOriginalUserType | string | Tipo di utente come segnalato dal dispositivo di report. |
| ActorScope | string | L'ambito, ad esempio il tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorScopeId | string | L'ID ambito, ad esempio l'ID tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorSessionId | string | ID univoco della sessione di accesso dell'attore. |
| ActorUserAadId | string | ID di Azure Active Directory dell'attore. |
| ActorUserId | string | Rappresentazione univoca, leggibile dal computer, alfanumerica e univoca dell'attore. |
| ActorUserIdType | string | Tipo dell'ID archiviato nel campo ActorUserId. |
| ActorUsername | string | Nome utente dell'attore, incluse le informazioni di dominio quando disponibili. |
| ActorUsernameType | string | Tipo del nome utente dell'attore specificato nel campo ActionUsername |
| ActorUserSid | string | ID utente di Windows (SID) dell'attore. |
| ActorUserType | string | Tipo dell'attore. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non vengono mappate a ASim. |
| _BilledSize | real | Dimensioni del record in byte |
| DvcAction | string | Per i sistemi di sicurezza di creazione di report, l'azione eseguita dal sistema. |
| DvcDescription | string | Testo descrittivo associato al dispositivo. |
| DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
| DvcDomainType | string | Tipo di DvcDomain. |
| DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
| DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcIdType | string | Tipo di DvcId. |
| DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. |
| DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
| DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOriginalAction | string | DvcAction originale, come fornito dal dispositivo di report. |
| DvcOs | string | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOsVersion | string | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento. |
| EventCount | INT | Numero di eventi descritti dal record. |
| EventEndTime | Datetime | Ora (UTC) in cui è terminato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
| EventMessage | string | Messaggio generale o descrizione. |
| EventOriginalResultDetails | string | I dettagli dei risultati originali forniti dall'origine. |
| EventOriginalSeverity | string | Gravità originale, come fornito dal dispositivo di report. |
| EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se fornito dall'origine. |
| EventOriginalType | string | Tipo di evento o ID originale, se fornito dall'origine. |
| EventOriginalUid | string | ID univoco del record originale, se fornito dall'origine. |
| EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct | string | Prodotto che genera l'evento. |
| EventProductVersion | string | Versione del prodotto che genera l'evento. |
| EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso deriva da altri campi eventi, ad esempio il campo EventResultDetails. |
| EventResultDetails | string | Motivo o dettagli per il risultato segnalato nel campo EventResult. |
| EventSchemaVersion | string | La versione dello schema. |
| EventSeverity | string | Gravità dell'evento. I valori validi sono: Informational, Low, Medium o High. |
| EventStartTime | Datetime | Ora (UTC) in cui è stato avviato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubType | string | Descrive una suddivisione dell'operazione segnalata nel campo EventType. |
| EventType | string | Descrive l'operazione segnalata dal record |
| EventVendor | string | Fornitore del prodotto che genera l'evento. |
| HttpUserAgent | string | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che agisce durante l'esecuzione dell'autenticazione. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| Newvalue | string | Nuovo valore di Object dopo l'esecuzione dell'operazione. |
| Oggetto | string | Nome dell'oggetto in cui viene eseguita l'operazione identificata da EventType. |
| ObjectId | string | Nome dell'oggetto in cui viene eseguita l'operazione identificata da EventType. |
| ObjectType | string | Tipo di Oggetto. |
| Oldvalue | string | Valore precedente di Object prima dell'operazione. |
| Operazione | string | L'operazione è stata controllata come segnalato dal dispositivo di report. |
| OriginalObjectType | string | Tipo di oggetto segnalato dal dispositivo di report. |
| _ResourceId | string | Identificatore univoco per la risorsa associata al record |
| RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber | INT | Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SrcDescription | string | Testo descrittivo associato al dispositivo di origine. |
| SrcDeviceType | string | Tipo del dispositivo di origine. |
| SrcDomain | string | Dominio del dispositivo di origine. |
| SrcDomainType | string | Tipo di SrcDomain. |
| SrcDvcId | string | ID del dispositivo di origine. |
| SrcDvcIdType | string | Tipo di SrcDvcId. |
| SrcDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. SrcDvcScopeId viene mappato a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcFQDN | string | Nome host del dispositivo di origine, incluse le informazioni di dominio quando disponibili. |
| SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
| SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
| SrcHostname | string | Nome host del dispositivo di origine, escluso le informazioni di dominio. |
| SrcIpAddr | string | Indirizzo IP di origine da cui ha avuto origine la connessione o la sessione. |
| SrcOriginalRiskLevel | string | Il livello di rischio associato all'origine identificata come segnalato dal dispositivo di report. |
| SrcPortNumber | INT | Porta IP di origine da cui ha origine la connessione. |
| SrcRiskLevel | INT | Livello di rischio associato all'origine identificata. |
| _Subscriptionid | string | Identificatore univoco per la sottoscrizione associata al record |
| TargetAppId | string | ID dell'applicazione a cui si applica l'evento, incluso un processo, un browser o un servizio. |
| TargetAppName | string | Nome dell'applicazione a cui si applica l'evento, incluso un servizio, un URL o un'applicazione SaaS. |
| TargetAppType | string | Tipo dell'applicazione che autorizza per conto dell'attore. |
| TargetDescription | string | Testo descrittivo associato al dispositivo di destinazione. |
| TargetDeviceType | string | Tipo del dispositivo di destinazione. |
| TargetDomain | string | Dominio del dispositivo di destinazione. |
| TargetDomainType | string | Tipo di TargetDomain. |
| TargetDvcId | string | ID del dispositivo di destinazione. |
| TargetDvcIdType | string | Tipo di TargetDvcId. |
| TargetDvcOs | string | Sistema operativo del dispositivo di destinazione. |
| TargetDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcScopeId | string | L'ID dell'ambito della piattaforma cloud appartiene al dispositivo di destinazione. TargetDvcScopeId viene mappato a un ID sottoscrizione in Azure e a un ID account in AWS. |
| FQDN di destinazione | string | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio quando disponibile. |
| TargetGeoCity | string | Città associata all'indirizzo IP di destinazione. |
| TargetGeoCountry | string | Paese associato all'indirizzo IP di destinazione. |
| TargetGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| TargetGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| TargetGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di destinazione. |
| TargetHostname | string | Nome host del dispositivo di destinazione, escluso le informazioni di dominio. |
| TargetIpAddr | string | Indirizzo IP di destinazione da cui ha origine la connessione o la sessione. |
| TargetOriginalAppType | string | Tipo di applicazione di destinazione come segnalato dal dispositivo di report. |
| TargetOriginalRiskLevel | string | Livello di rischio associato alla destinazione, come segnalato dal dispositivo di report. |
| TargetPortNumber | INT | Porta IP di destinazione da cui ha origine la connessione. |
| TargetRiskLevel | INT | Livello di rischio associato alla destinazione. |
| TargetUrl | string | URL associato all'applicazione di destinazione. |
| TenantId | string | ID area di lavoro Log Analytics |
| ThreatCategory | string | Categoria della minaccia o del malware identificata nell'attività di controllo. |
| ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField | string | Campo per cui è stata identificata una minaccia. |
| ThreatFirstReportedTime | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
| ThreatId | string | ID della minaccia o del malware identificato nell'attività di controllo. |
| ThreatIpAddr | string | Indirizzo IP o dominio per cui è stata identificata una minaccia. |
| ThreatIsActive | bool | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatLastReportedTime | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatName | string | Nome della minaccia o del malware identificato nell'attività di controllo. |
| ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalRiskLevel | string | Livello di rischio segnalato dal dispositivo di report. |
| ThreatRiskLevel | INT | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
| TimeGenerated | Datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| Type | string | Nome della tabella |
| ValueType | string | Tipo dei valori vecchi e nuovi. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per