Condividi tramite


CommonSecurityLog

Questa tabella è destinata alla raccolta di eventi in Common Event Format, che vengono spesso inviati da appliance di sicurezza diverse, ad esempio Check Point, Palo Alto e altro ancora.

Attributi di tabella

Attributo Valore
Tipi di risorse microsoft.securityinsights/cef,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Categorie Sicurezza
Soluzioni Sicurezza, SecurityInsights
Log di base No
Trasformazione in fase di inserimento
Query di esempio

Colonne

Column Type Descrizione
Attività string Stringa che rappresenta una descrizione leggibile e comprensibile dell'evento.
AdditionalExtensions string Segnaposto per campi aggiuntivi. I campi vengono registrati come coppie chiave-valore.
ApplicationProtocol string Protocollo usato nell'applicazione, ad esempio HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS e così via.
_BilledSize real Dimensioni del record in byte
CollectorHostName string Nome host del computer dell'agente di raccolta che esegue l'agente.
CommunicationDirection string Qualsiasi informazione sulla direzione in cui è stata presa la comunicazione osservata. Valori validi: 0 = In ingresso, 1 = In uscita.
Computer string Host, da Syslog.
DestinationDnsDomain string Parte DNS del nome di dominio completo (FQDN).
DestinationHostName string Destinazione a cui fa riferimento l'evento in una rete IP. Il formato deve essere un FQDN associato al nodo di destinazione, quando è disponibile un nodo. Ad esempio: host.domain.com o host.
DestinationIP string Indirizzo IpV4 di destinazione a cui fa riferimento l'evento in una rete IP.
DestinationMACAddress string Indirizzo MAC di destinazione (FQDN).
DestinationNTDomain string Nome di dominio di Windows dell'indirizzo di destinazione.
DestinationPort int Porta di destinazione. Valori validi: 0 - 65535.
DestinationProcessId int ID del processo di destinazione associato all'evento.
DestinationProcessName string Nome del processo di destinazione dell'evento, ad esempio telnetd o sshd.
DestinationServiceName string Servizio di destinazione dell'evento. Ad esempio: sshd.
DestinationTranslatedAddress string Identifica la destinazione tradotta a cui fa riferimento l'evento in una rete IP, come indirizzo IP IPv4.
DestinationTranslatedPort int Porta dopo la conversione, ad esempio un firewall Numeri di porta validi: 0 - 65535.
DestinationUserID string Identifica l'utente di destinazione in base all'ID. Ad esempio: in Unix, l'utente radice è in genere associato all'ID utente 0.
DestinationUserName string Identifica l'utente di destinazione in base al nome.
DestinationUserPrivileges string Definisce i privilegi dell'uso della destinazione. Valori validi: Admninistrator, User, Guest.
DeviceAction string Azione indicata nell'evento.
DeviceAddress string Indirizzo IPv4 del dispositivo che genera l'evento.
DeviceCustomDate1 string Uno dei due campi timestamp disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
DeviceCustomDate1Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomDate2 string Uno dei due campi timestamp disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
DeviceCustomDate2Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomFloatingPoint1 real Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario.
DeviceCustomFloatingPoint1Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomFloatingPoint2 real Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario.
DeviceCustomFloatingPoint2Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomFloatingPoint3 real Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario.
DeviceCustomFloatingPoint3Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomFloatingPoint4 real Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario.
DeviceCustomFloatingPoint4Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomIPv6Address1 string Uno dei quattro campi degli indirizzi IPv6 disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario.
DeviceCustomIPv6Address1Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomIPv6Address2 string Uno dei quattro campi degli indirizzi IPv6 disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario.
DeviceCustomIPv6Address2Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomIPv6Address3 string Uno dei quattro campi degli indirizzi IPv6 disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario.
DeviceCustomIPv6Address3Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomIPv6Address4 string Uno dei quattro campi degli indirizzi IPv6 disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario.
DeviceCustomIPv6Address4Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomNumber1 int Presto sarà un campo deprecato. Verrà sostituito da FieldDeviceCustomNumber1.
DeviceCustomNumber1Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomNumber2 int Presto sarà un campo deprecato. Verrà sostituito da FieldDeviceCustomNumber2.
DeviceCustomNumber2Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomNumber3 int Presto sarà un campo deprecato. Verrà sostituito da FieldDeviceCustomNumber3.
DeviceCustomNumber3Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomString1 string Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
DeviceCustomString1Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomString2 string Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
DeviceCustomString2Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomString3 string Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
DeviceCustomString3Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomString4 string Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
DeviceCustomString4Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomString5 string Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
DeviceCustomString5Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceCustomString6 string Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
DeviceCustomString6Label string Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato.
DeviceDnsDomain string Parte del dominio DNS del nome di dominio completo (FQDN).
DeviceEventCategory string Rappresenta la categoria assegnata dal dispositivo di origine. I dispositivi usano spesso uno schema di categorizzazione personalizzato per classificare l'evento. Esempio: '/Monitor/Disk/Read'.
DeviceEventClassID string Stringa o integer che funge da identificatore univoco per tipo di evento.
DeviceExternalID string Nome che identifica in modo univoco il dispositivo che genera l'evento.
DeviceFacility string Struttura che genera l'evento. Ad esempio: autenticazione o local1.
DeviceInboundInterface string Interfaccia in cui il pacchetto o i dati sono stati immessi nel dispositivo. Ad esempio: ethernet1/2.
DeviceMacAddress string Indirizzo MAC del dispositivo che genera l'evento.
DeviceName string FQDN associato al nodo del dispositivo, quando è disponibile un nodo. Ad esempio: host.domain.com o host.
DeviceNtDomain string Dominio Windows dell'indirizzo del dispositivo.
DeviceOutboundInterface string Interfaccia in cui il pacchetto o i dati hanno lasciato il dispositivo.
DevicePayloadId string Identificatore univoco per il payload associato all'evento.
DeviceProduct string Stringa che, insieme alle definizioni di prodotto e versione del dispositivo, identifica in modo univoco il tipo di dispositivo di invio.
DeviceTimeZone string Fuso orario del dispositivo che genera l'evento.
DeviceTranslatedAddress string Identifica l'indirizzo del dispositivo convertito a cui fa riferimento l'evento, in una rete IP. Il formato è un indirizzo Ipv4.
DeviceVendor string Stringa che, insieme alle definizioni di prodotto e versione del dispositivo, identifica in modo univoco il tipo di dispositivo di invio.
DeviceVersion string Stringa che, insieme alle definizioni di prodotto e versione del dispositivo, identifica in modo univoco il tipo di dispositivo di invio.
EndTime datetime Ora in cui l'attività correlata all'evento è terminata.
EventCount int Conteggio associato all'evento, che mostra quante volte è stato osservato lo stesso evento.
EventOutcome string Visualizza il risultato, in genere come "esito positivo" o "errore".
EventType int Tipo di evento. I valori di valore includono: 0: evento di base, 1: aggregato, 2: evento di correlazione, 3: evento azione. Nota: questo evento può essere omesso per gli eventi di base.
ExternalID int Presto sarà un campo deprecato. Verrà sostituito da ExtID.
ExtID string ID usato dal dispositivo di origine (sostituirà ExternalID legacy). In genere, questi valori hanno valori crescenti associati a un evento.
FieldDeviceCustomNumber1 long Uno dei tre campi numerici disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario (sostituirà deviceCustomNumber1 legacy). Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
FieldDeviceCustomNumber2 long Uno dei tre campi numerici disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario (sostituirà deviceCustomNumber2 legacy). Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
FieldDeviceCustomNumber3 long Uno dei tre campi numerici disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario (sostituirà deviceCustomNumber3 legacy). Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile.
FileCreateTime string Ora di creazione del file.
FileHash string Hash di un file.
FileID string ID associato a un file, ad esempio l'inode.
FileModificationTime string Ora dell'ultima modifica del file.
FileName string Nome del file, senza il percorso.
FilePath string Percorso completo del file, incluso il nome file. Ad esempio: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip.
FilePermission string Autorizzazioni del file. Ad esempio: '2,1,1'.
FileSize int Le dimensioni del file in byte.
FileType string Tipo di file, ad esempio pipe, socket e così via.
FlexDate1 string Campo timestamp disponibile per eseguire il mapping di un timestamp che non si applica ad alcun altro campo timestamp definito in questo dizionario. Utilizzare tutti i campi flessibili e cercare un campo più specifico, fornito dal dizionario, quando possibile. Questi campi sono in genere riservati per l'uso dei clienti e non devono essere impostati dai fornitori, a meno che non sia necessario.
FlexDate1Label string Il campo etichetta è una stringa e descrive lo scopo del campo flex.
FlexNumber1 int Campi numerici disponibili per eseguire il mapping dei dati Int che non si applicano ad altri campi in questo dizionario.
FlexNumber1Label string Etichetta che descrive il valore in FlexNumber1
FlexNumber2 int Campi numerici disponibili per eseguire il mapping dei dati Int che non si applicano ad altri campi in questo dizionario.
FlexNumber2Label string Etichetta che descrive il valore in FlexNumber2
FlexString1 string Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. Questi campi sono in genere riservati per l'uso dei clienti e non devono essere impostati dai fornitori, a meno che non sia necessario.
FlexString1Label string Il campo etichetta è una stringa e descrive lo scopo del campo flex.
FlexString2 string Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. Questi campi sono in genere riservati per l'uso dei clienti e non devono essere impostati dai fornitori, a meno che non sia necessario.
FlexString2Label string Il campo etichetta è una stringa e descrive lo scopo del campo flex.
IndicatorThreatType string Il tipo di minaccia di MaliciousIP in base al feed TI.
_IsBillable string Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure
LogSeverity string Stringa o integer che descrive l'importanza dell'evento. Valori stringa validi: valori sconosciuti, Low, Medium, High, Very-High Valid integer sono: 0-3 = Low, 4-6 = Medium, 7-8 = High, 9-10 = Very-High.
MaliciousIP string Se uno degli indirizzi IP nel messaggio è correlato al feed TI corrente, verrà visualizzato qui.
MaliciousIPCountry string Paese del MalwareIP in base alle informazioni GEO al momento dell'inserimento del record.
MaliciousIPLatitude real Latitudine di MaliciousIP in base alle informazioni GEO al momento dell'inserimento del record.
MaliciousIPLongitude real Longitudine di MaliciousIP in base alle informazioni GEO al momento dell'inserimento del record.
Message string Messaggio che fornisce altri dettagli sull'evento.
OldFileCreateTime string Ora di creazione del file precedente.
OldFileHash string Hash del file precedente.
OldFileID string ID associato al file precedente, ad esempio l'inode.
OldFileModificationTime string Ora dell'ultima modifica del file precedente.
OldFileName string Nome del file precedente.
OldFilePath string Percorso completo del file precedente, incluso il nome file. Ad esempio: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip.
OldFilePermission string Autorizzazioni del file precedente. Ad esempio: '2,1,1'.
OldFileSize int Dimensioni del file precedente in byte.
OldFileType string Tipo di file del file precedente, ad esempio pipe, socket e così via.
OriginalLogSeverity string Versione non mappata di LogSeverity. Ad esempio: Avviso/Critico/Info invece di normilized Low/Medium/High nel campo LogSeverity
ProcessID int Definisce l'ID del processo nel dispositivo che genera l'evento.
ProcessName string Nome del processo associato all'evento. Ad esempio: in UNIX, il processo che genera la voce syslog.
Protocollo string Protocollo di trasporto che identifica il protocollo di livello 4 usato. I valori possibili includono nomi di protocollo, ad esempio TCP o UDP.
Motivo string Motivo per cui è stato generato un evento di controllo. Ad esempio, "password non valida" o "utente sconosciuto". Può trattarsi anche di un errore o di un codice restituito. Esempio: '0x1234'.
ReceiptTime string Ora in cui è stato ricevuto l'evento correlato all'attività. Diverso quindi il campo "Timegenerated", ovvero quando l'evento è stato ricevuto nel computer dell'agente di raccolta log.
ReceivedBytes long Numero di byte trasferiti in ingresso.
RemoteIP string Indirizzo IP remoto, derivato dal valore di direzione dell'evento, se possibile.
RemotePort string Porta remota, derivata dal valore di direzione dell'evento, se possibile.
ReportReferenceLink string Collegamento al report del feed TI.
RequestClientApplication string Agente utente associato alla richiesta.
RequestContext string Descrive il contenuto da cui ha avuto origine la richiesta, ad esempio il referrer HTTP.
RequestCookies string Cookie associati alla richiesta.
RequestMethod string Metodo utilizzato per accedere a un URL. I valori validi includono metodi come POST, GET e così via.
RequestURL string URL a cui si accede per una richiesta HTTP, incluso il protocollo . Ad esempio: http://www/secure.com.
_ResourceId string Identificatore univoco della risorsa a cui è associato il record.
SentBytes long Numero di byte trasferiti in uscita.
SimplifiedDeviceAction string Versione mappata di DeviceAction, ad esempio Negata > .
SourceDnsDomain string Parte del dominio DNS del nome di dominio completo.
SourceHostName string Identifica l'origine a cui fa riferimento l'evento in una rete IP. Il formato deve essere un nome di dominio completo (DQDN) associato al nodo di origine, quando è disponibile un nodo. Ad esempio: host o host.domain.com.
SourceIP string Origine a cui un evento fa riferimento in una rete IP, come indirizzo IPv4.
SourceMACAddress string Indirizzo MAC di origine.
SourceNTDomain string Nome di dominio di Windows per l'indirizzo di origine.
SourcePort int Numero di porta di origine. I numeri di porta validi sono compresi tra 0 e 65535.
SourceProcessId int ID del processo di origine associato all'evento.
SourceProcessName string Nome del processo di origine dell'evento.
SourceServiceName string Servizio responsabile della generazione dell'evento.
SourceSystem string Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure
SourceTranslatedAddress string Identifica l'origine tradotta a cui fa riferimento l'evento in una rete IP.
SourceTranslatedPort int Porta di origine dopo la conversione, ad esempio un firewall. I numeri di porta validi sono compresi tra 0 e 65535.
SourceUserID string Identifica l'utente di origine in base all'ID.
SourceUserName string Identifica l'utente di origine in base al nome. Anche gli indirizzi di posta elettronica vengono mappati nei campi UserName. Il mittente è un candidato da inserire in questo campo.
SourceUserPrivileges string Privilegi dell'utente di origine. I valori validi includono: Administrator, User, Guest.
StartTime datetime Ora di inizio dell'attività a cui fa riferimento l'evento.
_SubscriptionId string Identificatore univoco della sottoscrizione a cui è associato il record
TenantId string ID dell'area di lavoro Log Analytics
ThreatConfidence string La probabilità di minaccia di MaliciousIP in base al feed TI.
ThreatDescription string La descrizione della minaccia di MaliciousIP in base al feed TI.
ThreatSeverity int Gravità della minaccia di MaliciousIP in base al feed TI al momento dell'inserimento di record.
TimeGenerated datetime Ora raccolta eventi in formato UTC.
Type string Nome della tabella