ASimAuthenticationEventLogs
Tabella degli eventi di autenticazione normalizzata di Microsoft Sentinel. Archivia gli eventi associati, ad esempio, con l'autenticazione utente, l'accesso e la disconnessità.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | microsoft.securityinsights/authenticationevent |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| ActingAppId | string | ID dell'applicazione che autorizza per conto dell'attore, incluso un processo, un browser o un servizio. |
| ActingAppName | string | Nome dell'applicazione che autorizza per conto dell'attore, incluso un processo, un browser o un servizio. |
| ActingAppType | string | Tipo di applicazione che agisce. |
| ActingOriginalAppType | string | Tipo di applicazione agendo come segnalato dal dispositivo di report. |
| ActorOriginalUserType | string | Tipo di utente segnalato dal dispositivo di report. |
| ActorScope | string | Ambito, ad esempio il tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorScopeId | string | ID ambito, ad esempio l'ID tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorSessionId | string | ID univoco della sessione di accesso dell'attore. |
| ActorUserId | string | Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
| ActorUserIdType | string | Tipo dell'ID archiviato nel campo ActorUserId. |
| ActorUsername | string | Nome utente dell'attore, incluse le informazioni sul dominio, se disponibili. |
| ActorUsernameType | string | Specifica il tipo di nome utente archiviato nel campo ActorUsername. |
| ActorUserType | string | Tipo dell'attore. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping a ASim. |
| _BilledSize | real | Dimensioni del record in byte |
| DvcAction | string | Per la creazione di report sui sistemi di sicurezza, l'azione eseguita dal sistema. |
| DvcDescription | string | Testo descrittivo associato al dispositivo. |
| DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
| DvcDomainType | string | Tipo di DvcDomain. |
| DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
| DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcIdType | string | Tipo di DvcId. |
| DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. |
| DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
| DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOriginalAction | string | DvcAction originale, come fornito dal dispositivo di report. |
| DvcOs | string | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOsVersion | string | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento. |
| EventCount | INT | Numero di eventi descritti dal record. |
| EventEndTime | Datetime | Ora in cui l'evento è terminato. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
| EventMessage | string | Messaggio generale o descrizione. |
| EventOriginalResultDetails | string | I dettagli dei risultati originali forniti dall'origine. |
| EventOriginalSeverity | string | Gravità originale, come fornito dal dispositivo di report. |
| EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se fornito dall'origine. |
| EventOriginalType | string | Tipo di evento o ID originale, se fornito dall'origine. |
| EventOriginalUid | string | ID univoco del record originale, se fornito dall'origine. |
| EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct | string | Prodotto che genera l'evento. |
| EventProductVersion | string | Versione del prodotto che genera l'evento. |
| EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso deriva da altri campi eventi, ad esempio il campo EventResultDetails. |
| EventResultDetails | string | Dettagli associati al risultato dell'evento. Questo campo viene in genere popolato quando il risultato è un errore. |
| EventSchemaVersion | string | La versione dello schema. |
| EventSeverity | string | Gravità dell'evento. I valori validi sono: Informational, Low, Medium o High. |
| EventStartTime | Datetime | Ora in cui è stato avviato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubType | string | Tipo di accesso, ad esempio System, Interactive, RemoteInteractive, Service, RemoteService, Remote o AssumeRole. |
| EventType | string | Descrive l'operazione segnalata dal record |
| EventVendor | string | Fornitore del prodotto che genera l'evento. |
| HttpUserAgent | string | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che agisce durante l'esecuzione dell'autenticazione. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| LogonMethod | string | Metodo usato per eseguire l'autenticazione. |
| LogonProtocol | string | Protocollo usato per eseguire l'autenticazione. |
| _ResourceId | string | Identificatore univoco per la risorsa associata al record |
| RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber | INT | Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SrcDescription | string | Testo descrittivo associato al dispositivo di origine. |
| SrcDeviceType | string | Tipo del dispositivo di origine. |
| SrcDomain | string | Dominio del dispositivo di origine. |
| SrcDomainType | string | Tipo di SrcDomain. |
| SrcDvcId | string | ID del dispositivo di origine. |
| SrcDvcIdType | string | Tipo di SrcDvcId. |
| SrcDvcOs | string | Sistema operativo del dispositivo di origine. |
| SrcDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcDvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. SrcDvcScopeId viene mappato a un ID sottoscrizione in Azure e a un ID account in AWS. |
| SrcFQDN | string | Nome host del dispositivo di origine, incluse le informazioni di dominio quando disponibili. |
| SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
| SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
| SrcHostname | string | Nome host del dispositivo di origine, escluso le informazioni di dominio. |
| SrcIpAddr | string | Indirizzo IP del dispositivo di origine. |
| SrcIsp | string | Provider di servizi Internet (ISP) usato dal dispositivo di origine per connettersi a Internet. |
| SrcOriginalRiskLevel | string | Il livello di rischio associato all'origine identificata come segnalato dal dispositivo di report. |
| SrcPortNumber | INT | Porta IP da cui ha origine la connessione. |
| SrcRiskLevel | INT | Livello di rischio associato all'origine identificata. |
| _Subscriptionid | string | Identificatore univoco per la sottoscrizione associata al record |
| TargetAppId | string | ID dell'applicazione a cui è richiesta l'autorizzazione, spesso assegnata dal dispositivo di report. |
| TargetAppName | string | Nome dell'applicazione a cui è necessaria l'autorizzazione, incluso un servizio, un URL o un'applicazione SaaS. |
| TargetAppType | string | Tipo dell'applicazione che autorizza per conto dell'attore. |
| TargetDescription | string | Testo descrittivo associato al dispositivo di destinazione. |
| TargetDeviceType | string | Tipo del dispositivo di destinazione. |
| TargetDomain | string | Dominio del dispositivo di destinazione. |
| TargetDomainType | string | Tipo di TargetDomain. |
| TargetDvcId | string | ID del dispositivo di destinazione. |
| TargetDvcIdType | string | Tipo di TargetDvcId. |
| TargetDvcOs | string | Sistema operativo del dispositivo di destinazione. |
| TargetDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| TargetDvcScopeId | string | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. TargetDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| FQDN di destinazione | string | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. |
| TargetGeoCity | string | Città associata all'indirizzo IP di destinazione. |
| TargetGeoCountry | string | Paese associato all'indirizzo IP di destinazione. |
| TargetGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| TargetGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| TargetGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di destinazione. |
| TargetHostname | string | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. |
| TargetIpAddr | string | Indirizzo IP del dispositivo di destinazione. |
| TargetOriginalAppType | string | Tipo di applicazione di destinazione come segnalato dal dispositivo di report. |
| TargetOriginalRiskLevel | string | Livello di rischio associato alla destinazione, come segnalato dal dispositivo di report. |
| TargetOriginalUserType | string | Tipo di utente segnalato dal dispositivo di report. |
| TargetPortNumber | INT | Porta del dispositivo di destinazione. |
| TargetRiskLevel | INT | Livello di rischio associato alla destinazione. |
| TargetSessionId | string | ID univoco della sessione di accesso dell'attore di destinazione. |
| TargetUrl | string | URL associato all'applicazione di destinazione. |
| TargetUserId | string | Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
| TargetUserIdType | string | Tipo dell'ID archiviato nel campo TargetUserId. |
| TargetUsername | string | Nome utente dell'attore di destinazione, incluse le informazioni sul dominio, quando disponibili. |
| TargetUsernameType | string | Tipo del nome utente dell'attore di destinazione specificato nel campo TargetUsername |
| TargetUserScope | string | Ambito, ad esempio il tenant di Azure AD, in cui vengono definiti TargetUserId e TargetUsername. |
| TargetUserScopeId | string | ID ambito, ad esempio l'ID tenant di Azure AD, in cui vengono definiti TargetUserId e TargetUsername. |
| TargetUserType | string | Tipo dell'attore target. |
| TenantId | string | ID area di lavoro Log Analytics |
| ThreatCategory | string | Categoria della minaccia o del malware identificato nell'attività di controllo. |
| ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField | string | Campo per il quale è stata identificata una minaccia. |
| ThreatFirstReportedTime | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
| ThreatId | string | ID della minaccia o del malware identificato nell'attività di controllo. |
| ThreatIpAddr | string | Indirizzo IP per cui è stata identificata una minaccia. |
| ThreatIsActive | bool | True se la minaccia identificata è considerata una minaccia attiva. |
| ThreatLastReportedTime | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
| ThreatName | string | Nome della minaccia o del malware identificato nell'attività di controllo. |
| ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalRiskLevel | string | Livello di rischio come segnalato dal dispositivo di report. |
| ThreatRiskLevel | INT | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
| TimeGenerated | Datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per