ASimRegistryEventLogs
Lo schema dell'evento del Registro di sistema ASim rappresenta l'attività di Windows di creazione, modifica o eliminazione di entità del Registro di sistema di Windows. Gli eventi del Registro di sistema sono specifici dei sistemi Windows, ma vengono segnalati da sistemi diversi che monitorano Windows, ad esempio sistemi EDR (End Point Detection and Response), Sysmon o Windows stesso.
Attributi di tabella
Attributo | Valore |
---|---|
Tipi di risorsa | microsoft.securityinsights/asimtables |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
ActingProcessCommandLine | string | Riga di comando utilizzata per eseguire il processo. |
ActingProcessGuid | string | Identificatore univoco generato del processo di azione. |
ActingProcessId | string | ID del processo di recitazione. |
ActingProcessName | string | Nome file del file di immagine del processo di recitazione. |
ActorOriginalUserType | string | Tipo di utente dell'attore originale, se fornito dall'origine. |
ActorScope | string | Ambito, ad esempio il tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
ActorScopeId | string | ID ambito, ad esempio l'ID tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
ActorSessionId | string | ID univoco della sessione di accesso dell'Attore. |
ActorUserAadId | string | ID di Azure Active Directory dell'attore. |
ActorUserId | string | ID univoco dell'attore. |
ActorUserIdType | string | Tipo dell'ID archiviato nel campo ActorUserId. |
ActorUsername | string | Nome utente dell'utente che ha avviato l'evento. |
ActorUsernameType | string | Specifica il tipo di nome utente archiviato nel campo ActorUsername. |
ActorUserSid | string | ID utente (SID) di Windows dell'attore. |
ActorUserType | string | Tipo dell'attore. |
Campi aggiuntivi | dinamico | Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping a ASim. |
_BilledSize | real | Dimensioni del record in byte |
DvcAction | string | Per la creazione di report sui sistemi di sicurezza, l'azione eseguita dal sistema. |
DvcDescription | string | Testo descrittivo associato al dispositivo. |
DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
DvcDomainType | string | Tipo di DvcDomain. |
DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcIdType | string | Tipo di DvcId. |
DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. |
DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcOriginalAction | string | DvcAction originale, come fornito dal dispositivo di report. |
DvcOs | string | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcOsVersion | string | Versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un nome di sottoscrizione in Azure e a un ID account in AWS. |
DvcScopeId | string | L'ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento. |
EventCount | INT | Numero di eventi descritti dal record. |
EventEndTime | Datetime | Ora in cui l'evento è terminato. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
EventMessage | string | Messaggio generale o descrizione. |
EventOriginalResultDetails | string | I dettagli dei risultati originali forniti dall'origine. |
EventOriginalSeverity | string | Gravità originale, come fornito dal dispositivo di report. |
EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se fornito dall'origine. |
EventOriginalType | string | ID univoco del record originale, se fornito dall'origine. |
EventOriginalUid | string | . |
EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
EventProduct | string | Prodotto che genera l'evento. |
EventProductVersion | string | Versione del prodotto che genera l'evento. |
EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicabile). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso deriva da altri campi eventi, ad esempio il campo EventResultDetails. |
EventResultDetails | string | Motivo o dettagli per il risultato segnalato nel campo EventResult. |
EventSchema | string | Nome dello schema. |
EventSchemaVersion | string | La versione dello schema. |
EventSeverity | string | Gravità dell'evento. I valori validi sono: Informational, Low, Medium o High. |
EventStartTime | Datetime | Ora in cui è stato avviato l'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non fornito dal record di origine, questo campo alias il campo TimeGenerated. |
EventSubType | string | Descrive una suddivisione dell'operazione segnalata nel campo EventType. |
EventType | string | Descrive l'operazione segnalata dal record. |
EventVendor | string | Fornitore del prodotto che genera l'evento. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
ParentProcessCommandLine | string | Riga di comando utilizzata per eseguire il processo. |
ParentProcessGuid | string | Identificatore univoco generato del processo padre. |
ParentProcessId | string | ID del processo padre. |
ParentProcessName | string | Nome del file di immagine del processo padre. |
RegistryKey | string | Chiave del Registro di sistema associata all'operazione, normalizzata in convenzioni di denominazione della chiave radice standard. |
RegistryPreviousKey | string | Per le operazioni che modificano il Registro di sistema, la chiave originale del Registro di sistema, normalizzata con la denominazione della chiave radice standard. |
RegistryPreviousValue | string | Per le operazioni che modificano il Registro di sistema, il tipo di valore originale, normalizzato nel formato standard. |
RegistryPreviousValueData | string | Dati del Registro di sistema originali, per le operazioni che modificano il Registro di sistema. |
RegistryPreviousValueType | string | Per le operazioni che modificano il Registro di sistema, il tipo di valore originale. |
RegistryValue | string | Valore del Registro di sistema associato all'operazione. |
RegistryValueData | string | Dati archiviati nel valore del Registro di sistema. |
RegistryValueType | string | Tipo di valore del Registro di sistema, normalizzato in formato standard. |
_ResourceId | string | Identificatore univoco per la risorsa a cui è associato il record |
RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
RuleNumber | INT | Numero della regola associata ai risultati dell'ispezione. |
SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
_Subscriptionid | string | Identificatore univoco per la sottoscrizione a cui è associato il record |
TenantId | string | ID area di lavoro Log Analytics |
ThreatCategory | string | Categoria della minaccia o del malware identificato nell'attività. |
ThreatConfidence | INT | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
ThreatField | string | Campo per il quale è stata identificata una minaccia. |
ThreatFirstReportedTime | Datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
ThreatId | string | ID della minaccia o del malware identificato nell'attività. |
ThreatIsActive | bool | True ID la minaccia identificata è considerata una minaccia attiva. |
ThreatLastReportedTime | Datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
ThreatName | string | Nome della minaccia o del malware identificato nell'attività. |
ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
ThreatOriginalRiskLevel | string | Livello di rischio segnalato dal dispositivo di report. |
ThreatRiskLevel | INT | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
TimeGenerated | Datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
Type | string | Nome della tabella |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per