ASimAuthenticationEventLogs
Tabella degli eventi di autenticazione normalizzata di Microsoft Sentinel. Archivia gli eventi associati, ad esempio, con l'autenticazione utente, l'accesso e la disconnessità.
Attributi di tabella
Attributo | Valore |
---|---|
Tipi di risorsa | microsoft.securityinsights/authenticationevent |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
ActingAppId | string | ID dell'applicazione che autorizza per conto dell'attore, incluso un processo, un browser o un servizio. |
ActingAppName | string | Nome dell'applicazione che autorizza per conto dell'attore, incluso un processo, un browser o un servizio. |
ActingAppType | string | Tipo di applicazione che agisce. |
ActingOriginalAppType | string | Tipo di applicazione agendo come segnalato dal dispositivo di report. |
ActorOriginalUserType | string | Tipo di utente segnalato dal dispositivo di report. |
ActorScope | string | Ambito, ad esempio il tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
ActorScopeId | string | ID ambito, ad esempio l'ID tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
ActorSessionId | string | ID univoco della sessione di accesso dell'attore. |
ActorUserId | string | Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
ActorUserIdType | string | Tipo dell'ID archiviato nel campo ActorUserId. |
ActorUsername | string | Nome utente dell'attore, incluse le informazioni sul dominio, se disponibili. |
ActorUsernameType | string | Specifica il tipo di nome utente archiviato nel campo ActorUsername. |
ActorUserType | string | Tipo dell'attore. |
Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping a ASim. |
_BilledSize | real | Dimensioni del record in byte |
DvcAction | string | Per la creazione di report sui sistemi di sicurezza, l'azione eseguita dal sistema. |
DvcDescription | string | Testo descrittivo associato al dispositivo. |
DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
DvcDomainType | string | Tipo di DvcDomain. |
DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcIdType | string | Tipo di DvcId. |
DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. |
DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcOriginalAction | string | DvcAction originale, come fornito dal dispositivo di report. |
DvcOs | string | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcOsVersion | string | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento. |
EventCount | INT | Numero di eventi descritti dal record. |
EventEndTime | Datetime | Ora in cui l'evento è terminato. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
EventMessage | string | Messaggio generale o descrizione. |
EventOriginalResultDetails | string | I dettagli dei risultati originali forniti dall'origine. |
EventOriginalSeverity | string | Gravità originale, come fornito dal dispositivo di report. |
EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se fornito dall'origine. |
EventOriginalType | string | Tipo di evento o ID originale, se fornito dall'origine. |
EventOriginalUid | string | ID univoco del record originale, se fornito dall'origine. |
EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
EventProduct | string | Prodotto che genera l'evento. |
EventProductVersion | string | Versione del prodotto che genera l'evento. |
EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso deriva da altri campi eventi, ad esempio il campo EventResultDetails. |
EventResultDetails | string | Dettagli associati al risultato dell'evento. Questo campo viene in genere popolato quando il risultato è un errore. |
EventSchemaVersion | string | La versione dello schema. |
EventSeverity | string | Gravità dell'evento. I valori validi sono: Informational, Low, Medium o High. |
EventStartTime | Datetime | Ora in cui è stato avviato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
EventSubType | string | Tipo di accesso, ad esempio System, Interactive, RemoteInteractive, Service, RemoteService, Remote o AssumeRole. |
EventType | string | Descrive l'operazione segnalata dal record |
EventVendor | string | Fornitore del prodotto che genera l'evento. |
HttpUserAgent | string | Quando l'autenticazione viene eseguita tramite HTTP o HTTPS, il valore di questo campo è l'intestazione HTTP user_agent fornita dall'applicazione che agisce durante l'esecuzione dell'autenticazione. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
LogonMethod | string | Metodo usato per eseguire l'autenticazione. |
LogonProtocol | string | Protocollo usato per eseguire l'autenticazione. |
_ResourceId | string | Identificatore univoco per la risorsa associata al record |
RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
RuleNumber | INT | Numero della regola associata ai risultati dell'ispezione. |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
SrcDescription | string | Testo descrittivo associato al dispositivo di origine. |
SrcDeviceType | string | Tipo del dispositivo di origine. |
SrcDomain | string | Dominio del dispositivo di origine. |
SrcDomainType | string | Tipo di SrcDomain. |
SrcDvcId | string | ID del dispositivo di origine. |
SrcDvcIdType | string | Tipo di SrcDvcId. |
SrcDvcOs | string | Sistema operativo del dispositivo di origine. |
SrcDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. SrcDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
SrcDvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di origine. SrcDvcScopeId viene mappato a un ID sottoscrizione in Azure e a un ID account in AWS. |
SrcFQDN | string | Nome host del dispositivo di origine, incluse le informazioni di dominio quando disponibili. |
SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
SrcHostname | string | Nome host del dispositivo di origine, escluso le informazioni di dominio. |
SrcIpAddr | string | Indirizzo IP del dispositivo di origine. |
SrcIsp | string | Provider di servizi Internet (ISP) usato dal dispositivo di origine per connettersi a Internet. |
SrcOriginalRiskLevel | string | Il livello di rischio associato all'origine identificata come segnalato dal dispositivo di report. |
SrcPortNumber | INT | Porta IP da cui ha origine la connessione. |
SrcRiskLevel | INT | Livello di rischio associato all'origine identificata. |
_Subscriptionid | string | Identificatore univoco per la sottoscrizione associata al record |
TargetAppId | string | ID dell'applicazione a cui è richiesta l'autorizzazione, spesso assegnata dal dispositivo di report. |
TargetAppName | string | Nome dell'applicazione a cui è necessaria l'autorizzazione, incluso un servizio, un URL o un'applicazione SaaS. |
TargetAppType | string | Tipo dell'applicazione che autorizza per conto dell'attore. |
TargetDescription | string | Testo descrittivo associato al dispositivo di destinazione. |
TargetDeviceType | string | Tipo del dispositivo di destinazione. |
TargetDomain | string | Dominio del dispositivo di destinazione. |
TargetDomainType | string | Tipo di TargetDomain. |
TargetDvcId | string | ID del dispositivo di destinazione. |
TargetDvcIdType | string | Tipo di TargetDvcId. |
TargetDvcOs | string | Sistema operativo del dispositivo di destinazione. |
TargetDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. TargetDvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
TargetDvcScopeId | string | ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo di destinazione. TargetDvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
FQDN di destinazione | string | Nome host del dispositivo di destinazione, incluse le informazioni sul dominio, se disponibili. |
TargetGeoCity | string | Città associata all'indirizzo IP di destinazione. |
TargetGeoCountry | string | Paese associato all'indirizzo IP di destinazione. |
TargetGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
TargetGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
TargetGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di destinazione. |
TargetHostname | string | Nome host del dispositivo di destinazione, escluse le informazioni sul dominio. |
TargetIpAddr | string | Indirizzo IP del dispositivo di destinazione. |
TargetOriginalAppType | string | Tipo di applicazione di destinazione come segnalato dal dispositivo di report. |
TargetOriginalRiskLevel | string | Livello di rischio associato alla destinazione, come segnalato dal dispositivo di report. |
TargetOriginalUserType | string | Tipo di utente segnalato dal dispositivo di report. |
TargetPortNumber | INT | Porta del dispositivo di destinazione. |
TargetRiskLevel | INT | Livello di rischio associato alla destinazione. |
TargetSessionId | string | ID univoco della sessione di accesso dell'attore di destinazione. |
TargetUrl | string | URL associato all'applicazione di destinazione. |
TargetUserId | string | Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
TargetUserIdType | string | Tipo dell'ID archiviato nel campo TargetUserId. |
TargetUsername | string | Nome utente dell'attore di destinazione, incluse le informazioni sul dominio, quando disponibili. |
TargetUsernameType | string | Tipo del nome utente dell'attore di destinazione specificato nel campo TargetUsername |
TargetUserScope | string | Ambito, ad esempio il tenant di Azure AD, in cui vengono definiti TargetUserId e TargetUsername. |
TargetUserScopeId | string | ID ambito, ad esempio l'ID tenant di Azure AD, in cui vengono definiti TargetUserId e TargetUsername. |
TargetUserType | string | Tipo dell'attore target. |
TenantId | string | ID area di lavoro Log Analytics |
ThreatCategory | string | Categoria della minaccia o del malware identificato nell'attività di controllo. |
ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
ThreatField | string | Campo per il quale è stata identificata una minaccia. |
ThreatFirstReportedTime | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
ThreatId | string | ID della minaccia o del malware identificato nell'attività di controllo. |
ThreatIpAddr | string | Indirizzo IP per cui è stata identificata una minaccia. |
ThreatIsActive | bool | True se la minaccia identificata è considerata una minaccia attiva. |
ThreatLastReportedTime | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
ThreatName | string | Nome della minaccia o del malware identificato nell'attività di controllo. |
ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
ThreatOriginalRiskLevel | string | Livello di rischio come segnalato dal dispositivo di report. |
ThreatRiskLevel | INT | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
TimeGenerated | Datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
Type | string | Nome della tabella |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per