ASimAuthenticationEventLogs
Microsoft Sentinel の正規化された認証イベント テーブル。 たとえば、ユーザー認証、サインイン、サインアウトに関連付けられているイベントを格納します。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | microsoft.securityinsights/authenticationevent |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | SecurityInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | - |
列
| Column | Type | 説明 |
|---|---|---|
| ActingAppId | string | アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の ID。 |
| ActingAppName | string | アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の名前。 |
| ActingAppType | string | 代理アプリケーションの種類。 |
| ActingOriginalAppType | string | レポート デバイスによって報告される動作アプリケーションの種類。 |
| ActorOriginalUserType | string | レポート デバイスによって報告されたユーザー タイプ。 |
| ActorScope | string | ActorUserId と ActorUsername が定義されているスコープ (Azure AD テナントなど)。 |
| ActorScopeId | string | ActorUserId と ActorUsername が定義されているスコープ ID (Azure AD テナント ID など)。 |
| ActorSessionId | string | アクターのサインイン セッションの一意の ID。 |
| string | コンピューターが読み取り可能な英数字のアクターの一意の表現。 | |
| ActorUserIdType | string | ActorUserId フィールドに格納されている ID の種類。 |
| string | アクターのユーザー名(使用可能な場合はドメイン情報を含む)。 | |
| ActorUsernameType | string | ActorUsername フィールドに格納されているユーザー名の種類を指定します。 |
| ActorUserType | string | アクターの種類。 |
| AdditionalFields | 動的 | ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| DvcAction | string | レポート セキュリティ システムの場合、システムによって実行されるアクション。 |
| DvcDescription | string | デバイスに関連付けられる説明のテキスト。 |
| DvcDomain | string | イベントを報告するデバイスのドメイン。 |
| DvcDomainType | string | DvcDomain の種類。 |
| DvcFQDN | string | イベントが発生したデバイスまたはイベントを報告したデバイスのホスト名。 |
| DvcHostname | string | イベントを報告するデバイスのホスト名。 |
| DvcId | string | イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。 |
| DvcIdType | string | DvcId の種類。 |
| DvcInterface | string | データがキャプチャされたネットワーク インターフェイス。 |
| DvcIpAddr | string | イベントを報告するデバイスの IP アドレス。 |
| DvcMacAddr | string | イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 |
| string | レポート デバイスによって提供された元の DvcAction。 | |
| DvcOs | string | イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。 |
| DvcOsVersion | string | イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。 |
| DvcScope | string | デバイスが属するクラウド プラットフォームのスコープ。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcScopeId | string | デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcZone | string | イベントが発生したネットワーク、またはイベントを報告したネットワーク。 |
| EventCount | INT | レコードによって記述されるイベントの数。 |
| EventEndTime | DATETIME | イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| EventMessage | string | 一般的なメッセージまたは説明。 |
| string | ソースによって提供される元の結果の詳細。 | |
| EventOriginalSeverity | string | レポート デバイスによって提供された元の重大度。 |
| string | 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 | |
| EventOriginalType | string | 元のイベントの種類または ID (ソースによって提供されている場合)。 |
| EventOriginalUid | string | 元のレコードの一意の ID (ソースによって提供されている場合)。 |
| EventOwner | string | イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
| EventProduct | string | イベントを生成している製品。 |
| EventProductVersion | string | イベントを生成している製品のバージョン。 |
| EventReportUrl | string | リソースのイベントで提供された、そのイベントに関する他の情報を提供する URL。 |
| EventResult | string | イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなど、他のイベント フィールドから派生します。 |
| EventResultDetails | string | イベントの結果に関連付けられている詳細。 結果が失敗だった場合、このフィールドは通常設定されています。 |
| EventSchemaVersion | string | スキーマのバージョン。 |
| EventSeverity | string | イベントの重大度。 有効な値は、Informational、Low、Medium、または High です。 |
| EventStartTime | DATETIME | イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| EventSubType | string | サインインの種類 (System、Interactive、RemoteInteractive、Service、RemoteService、Remote、AssumeRole など)。 |
| EventType | string | レコードによって報告される操作について説明します |
| EventVendor | string | イベントを生成している製品のベンダー。 |
| HttpUserAgent | string | HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。 |
| _IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| LogonMethod | string | 認証を実行するために使用されるメソッド。 |
| LogonProtocol | string | 認証を実行するために使用されるプロトコル。 |
| _ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
| RuleName | string | 検査結果に関連付けられているルールの名前または ID。 |
| RuleNumber | INT | 検査結果に関連付けられたルールの番号。 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| SrcDescription | string | ソース デバイスに関連付けられている説明テキスト。 |
| SrcDeviceType | string | ソース デバイスの種類。 |
| SrcDomain | string | ソース デバイスのドメイン。 |
| SrcDomainType | string | SrcDomain の種類。 |
| SrcDvcId | string | ソース デバイスの ID。 |
| SrcDvcIdType | string | SrcDvcId の種類。 |
| SrcDvcOs | string | ソース デバイスの OS。 |
| SrcDvcScope | string | ソース デバイスが属するクラウド プラットフォーム スコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcScopeId | string | ソース デバイスが属しているクラウド プラットフォーム スコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcFQDN | string | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 |
| SrcGeoCity | string | 発信元 IP アドレスに関連付けられている都市。 |
| SrcGeoCountry | string | 発信元 IP アドレスに関連付けられている国。 |
| SrcGeoLatitude | real | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
| SrcGeoLongitude | real | 発信元 IP アドレスに関連付けられている地理的座標の経度。 |
| SrcGeoRegion | string | 発信元 IP アドレスに関連付けられている国内の地域。 |
| SrcHostname | string | ドメイン情報を除いた、ソース デバイスのホスト名。 |
| SrcIpAddr | string | ソース デバイスの IP アドレス。 |
| SrcIsp | string | ソース デバイスがインターネットに接続するために使用するインターネット サービス プロバイダー (ISP)。 |
| SrcOriginalRiskLevel | string | レポート デバイスによって報告された、識別されたソースに関連付けられているリスク レベル。 |
| SrcPortNumber | INT | 接続元の IP ポート。 |
| SrcRiskLevel | INT | 識別されたソースに関連付けられているリスク レベル。 |
| _SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
| TargetAppId | string | 認可を必要とするアプリケーションの ID。多くの場合、レポート デバイスによって割り当てられます。 |
| string | 認可を必要とするアプリケーションの名前 (サービス、URL、SaaS アプリケーションなど)。 | |
| TargetAppType | string | アクターに代わって承認するアプリケーションの種類。 |
| TargetDescription | string | ターゲット デバイスに関連付けられている説明テキスト。 |
| TargetDeviceType | string | ターゲット デバイスの種類。 |
| string | ターゲット デバイスのドメイン。 | |
| string | Targetdomainの種類。 | |
| string | ターゲット デバイスの ID。 | |
| TargetDvcIdType | string | Targetdvcid の種類。 |
| TargetDvcOs | string | ターゲット デバイスの OS。 |
| TargetDvcScope | string | ターゲット デバイスが属しているクラウド プラットフォーム スコープ。 TargetDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| TargetDvcScopeId | string | ターゲット デバイスが属しているクラウド プラットフォーム スコープ ID。 TargetDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| TargetFQDN | string | ターゲット デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 |
| TargetGeoCity | string | ターゲット IP アドレスに関連付けられている都市。 |
| TargetGeoCountry | string | ターゲット IP アドレスに関連付けられている国。 |
| TargetGeoLatitude | real | ターゲット IP アドレスに関連付けられている地理的座標の緯度。 |
| TargetGeoLongitude | real | ターゲット IP アドレスに関連付けられている地理的座標の経度。 |
| TargetGeoRegion | string | ターゲット IP アドレスに関連付けられている国内の地域。 |
| TargetHostname | string | ドメイン情報を除いた、ターゲット デバイスのホスト名。 |
| string | ターゲット デバイスの IP アドレス。 | |
| TargetOriginalAppType | string | レポート デバイスによって報告されるターゲット アプリケーションの種類。 |
| TargetOriginalRiskLevel | string | レポート デバイスによって報告された、ターゲットに関連付けられているリスク レベル。 |
| TargetOriginalUserType | string | レポート デバイスによって報告されたユーザー タイプ。 |
| TargetPortNumber | INT | ターゲット デバイスのポート。 |
| TargetRiskLevel | INT | ターゲットに関連付けられているリスク レベル。 |
| TargetSessionId | string | ターゲット アクターのサインイン セッションの一意の ID。 |
| TargetUrl | string | ターゲット アプリケーションに関連付けられている URL。 |
| string | マシンが読み取り可能な英数字、アクターの一意の表現。 | |
| TargetUserIdType | string | TargetUserId フィールドに格納されている ID の種類。 |
| string | 使用可能な場合は、ドメイン情報を含むターゲット アクターのユーザー名。 | |
| TargetUsernameType | string | TargetUsername フィールドで指定されたターゲット アクターのユーザー名の種類 |
| TargetUserScope | string | TargetUserId と TargetUsername が定義されているスコープ (Azure AD テナントなど)。 |
| TargetUserScopeId | string | TargetUserId と TargetUsername が定義されているスコープ ID (Azure AD テナント ID など)。 |
| TargetUserType | string | ターゲット アクターの型。 |
| TenantId | string | Log Analytics ワークスペース ID |
| ThreatCategory | string | 監査アクティビティで識別される脅威またはマルウェアのカテゴリ。 |
| ThreatConfidence | INT | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatField | string | 脅威が特定されたフィールド。 |
| ThreatFirstReportedTime | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatId | string | 監査アクティビティで識別された脅威またはマルウェアの ID。 |
| ThreatIpAddr | string | 脅威が特定された IP アドレス。 |
| ThreatIsActive | [bool] | 特定された脅威がアクティブな脅威と見なされる場合は True。 |
| ThreatLastReportedTime | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatName | string | 監査アクティビティで識別された脅威またはマルウェアの名前。 |
| ThreatOriginalConfidence | string | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatOriginalRiskLevel | string | レポート デバイスによって報告されたリスク レベル。 |
| ThreatRiskLevel | INT | 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 |
| TimeGenerated | DATETIME | イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
| Type | string | テーブルの名前 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示