ASimFileEventLogs
Lo schema di normalizzazione dell'evento ASIM (Advanced Security Information Model) descrive l'attività dei file, ad esempio la creazione, la modifica o l'eliminazione di file o documenti.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | microsoft.securityinsights/asimtables |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| ActingProcessCommandLine | string | Riga di comando utilizzata per eseguire il processo di recitazione. |
| ActingProcessGuid | string | Identificatore univoco generato (GUID) del processo di azione. |
| ActingProcessId | string | ID processo (PID) del processo di recitazione. |
| ActingProcessName | string | Nome del processo di recitazione. |
| ActorOriginalUserType | string | Tipo di utente dell'attore originale fornito dal dispositivo di report. |
| ActorScope | string | Ambito, ad esempio il tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorScopeId | string | ID ambito, ad esempio ID directory di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorSessionId | string | ID univoco della sessione di accesso dell'Attore. |
| ActorUserAadId | string | ID di Azure Active Directory dell'attore. |
| ActorUserId | string | Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
| ActorUserIdType | string | Tipo dell'ID archiviato nel campo ActorUserId. |
| ActorUsername | string | Nome utente Actor, incluse le informazioni sul dominio, se disponibili. |
| ActorUsernameType | string | Specifica il tipo di nome utente archiviato nel campo ActorUsername. |
| ActorUserSid | string | ID utente (SID) di Windows dell'attore. |
| ActorUserType | string | Tipo di attore. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping a ASim. |
| _BilledSize | real | Dimensioni del record in byte |
| DvcAction | string | Azione eseguita nella sessione Web. |
| DvcDescription | string | Testo descrittivo associato al dispositivo. |
| DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
| DvcDomainType | string | Tipo di DvcDomain. I valori validi includono 'Windows' e 'FQDN'. |
| DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
| DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcIdType | string | Tipo di DvcId. |
| DvcInterface | string | DvcAction originale, come fornito dal dispositivo di report. |
| DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
| DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOriginalAction | string | DvcAction originale, come fornito dal dispositivo di report. |
| DvcOs | string | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOsVersion | string | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un nome di sottoscrizione in Azure e a un ID account in AWS. |
| DvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| EventCount | INT | Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
| EventEndTime | Datetime | Ora in cui l'evento è terminato. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
| EventMessage | string | Messaggio generale o descrizione. |
| EventOriginalResultDetails | string | I dettagli dei risultati originali forniti dall'origine. Questo valore viene usato per derivare EventResultDetails, che deve avere solo uno dei valori documentati per ogni schema. |
| EventOriginalSeverity | string | Gravità originale, come fornito dal dispositivo di report. Questo valore viene usato per derivare EventSeverity. |
| EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se fornito dall'origine. Ad esempio, questo campo verrà usato per archiviare il tipo di accesso di Windows originale. Questo valore viene usato per derivare EventSubType, che deve avere solo uno dei valori documentati per ogni schema. |
| EventOriginalType | string | Tipo di evento o ID originale, se fornito dall'origine. |
| EventOriginalUid | string | ID univoco del record originale, se fornito dall'origine. |
| EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct | string | Prodotto che genera l'evento. |
| EventProductVersion | string | Versione del prodotto che genera l'evento. |
| EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso deriva da altri campi eventi, ad esempio il campo EventResultDetails. |
| EventResultDetails | string | Codice di stato HTTP. |
| EventSchema | string | Lo schema dell'evento è normalizzato. Ogni schema documenta il nome dello schema. |
| EventSchemaVersion | string | La versione dello schema. |
| EventSeverity | string | Gravità dell'evento. I valori validi sono: Informational, Low, Medium o High. |
| EventStartTime | Datetime | Ora in cui è stato avviato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubType | string | Descrizione aggiuntiva del tipo di evento, se applicabile. |
| EventType | string | Operazione segnalata dal record. |
| EventVendor | string | Fornitore del prodotto che genera l'evento. |
| HashType | string | Tipo di hash archiviato nel campo Alias hash. |
| HttpUserAgent | string | Quando l'operazione viene avviata usando HTTP o HTTPS, l'intestazione dell'agente utente HTTP. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| NetworkApplicationProtocol | string | Quando l'operazione viene avviata da un sistema remoto, il protocollo del livello applicazione usato dalla connessione o dalla sessione. |
| _ResourceId | string | Identificatore univoco per la risorsa associata al record |
| RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber | INT | Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SrcDescription | string | Testo descrittivo associato al dispositivo. |
| SrcDeviceType | string | Tipo del dispositivo di origine. |
| SrcDomain | string | Dominio del dispositivo di origine. |
| SrcDomainType | string | Tipo di SrcDomain. |
| SrcDvcId | string | ID del dispositivo di origine. |
| SrcDvcIdType | string | Tipo di SrcDvcId. |
| SrcDvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. |
| SrcDvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. |
| SrcFileCreationTime | Datetime | Ora in cui è stato creato il file di origine. |
| SrcFileDirectory | string | Cartella o percorso del file di origine. |
| SrcFileExtension | string | Estensione del file di origine. |
| SrcFileMD5 | string | Hash MD5 del file di origine. |
| SrcFileMimeType | string | Tipo Mime o Media del file di origine. |
| SrcFileName | string | Nome del file di origine, senza percorso o percorso, ma con un'estensione se pertinente. |
| SrcFilePath | string | Percorso completo e normalizzato del file di origine, inclusa la cartella o il percorso, il nome del file e l'estensione. |
| SrcFilePathType | string | Tipo di SrcFilePath. |
| SrcFileSHA1 | string | Hash SHA-1 del file di origine. |
| SrcFileSHA256 | string | Hash SHA-256 del file di origine. |
| SrcFileSHA512 | string | Hash SHA-512 del file di origine. |
| SrcFileSize | long | Dimensioni del file di origine in byte. |
| SrcFQDN | string | Nome host del dispositivo di origine, incluse le informazioni di dominio quando disponibili. |
| SrcGeoCity | string | Città associata all'indirizzo IP di origine. |
| SrcGeoCountry | string | Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude | real | Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude | real | Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion | string | Area all'interno di un paese associato all'indirizzo IP di origine. |
| SrcHostname | string | Nome host del dispositivo di origine, escluse le informazioni sul dominio. Se non è disponibile alcun nome di dispositivo, archiviare l'indirizzo IP pertinente in questo campo. |
| SrcIpAddr | string | Quando l'operazione viene avviata da un sistema remoto, l'indirizzo IP di questo sistema. |
| SrcMacAddr | string | Indirizzo MAC del dispositivo di origine. |
| SrcOriginalRiskLevel | string | Livello di rischio associato all'origine. Come segnalato dal dispositivo di report o arricchito. |
| SrcPortNumber | INT | Quando l'operazione viene avviata da un sistema remoto, il numero di porta da cui è stata avviata la connessione. |
| SrcRiskLevel | INT | Livello di rischio associato all'origine. |
| _Subscriptionid | string | Identificatore univoco per la sottoscrizione a cui è associato il record |
| TargetAppId | string | ID dell'applicazione di destinazione, come indicato dal dispositivo di report. |
| TargetAppName | string | Nome dell'applicazione di destinazione. |
| TargetAppType | string | Tipo dell'applicazione di destinazione. |
| TargetFileCreationTime | Datetime | Ora in cui è stato creato il file di destinazione. |
| TargetFileDirectory | string | Cartella o percorso del file di destinazione. |
| TargetFileExtension | string | Estensione del file di destinazione. |
| TargetFileMD5 | string | Hash MD5 del file di destinazione. |
| TargetFileMimeType | string | Tipo Mime o Media del file di destinazione. |
| TargetFileName | string | Nome del file di destinazione, senza un percorso o un percorso, ma con un'estensione, se pertinente. |
| TargetFilePath | string | Percorso completo normalizzato del file di destinazione, inclusa la cartella o il percorso, il nome del file e l'estensione. |
| TargetFilePathType | string | Tipo di TargetFilePath. |
| TargetFileSHA1 | string | Hash SHA-1 del file di destinazione. |
| TargetFileSHA256 | string | Hash SHA-256 del file di destinazione. |
| TargetFileSHA512 | string | Hash SHA-512 del file di origine. |
| TargetFileSize | long | Dimensioni del file di destinazione in byte. |
| TargetOriginalAppType | string | Tipo di applicazione di destinazione come segnalato dal dispositivo di report. |
| TargetUrl | string | Quando l'operazione viene avviata tramite HTTP o HTTPS, l'URL usato. |
| TenantId | string | ID area di lavoro Log Analytics |
| ThreatCategory | string | Categoria della minaccia o del malware identificato nell'attività del file. |
| ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField | string | Campo per il quale è stata identificata una minaccia. Il valore è SrcFilePath o DstFilePath. |
| ThreatFilePath | string | Percorso del file per il quale è stata identificata una minaccia. Il campo ThreatField contiene il nome del campo ThreatFilePath rappresenta. |
| ThreatFirstReportedTime | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatId | string | ID della minaccia o del malware identificato nell'attività del file. |
| ThreatIsActive | bool | True ID la minaccia identificata è considerata una minaccia attiva. |
| ThreatLastReportedTime | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come una minaccia. |
| ThreatName | string | Nome della minaccia o del malware identificato nell'attività del file. |
| ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalRiskLevel | string | Livello di rischio come segnalato dal dispositivo di report. |
| ThreatRiskLevel | INT | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
| TimeGenerated | Datetime | Timestamp che riflette l'ora in cui è stato generato l'evento. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per