CommonSecurityLog
この表は、Check Point、Palo Alto などのさまざまなセキュリティ アプライアンスから最も頻繁に送信される共通イベント形式のイベントを収集するためのものです。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines、 microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | Security、SecurityInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | はい |
列
| Column | Type | 説明 |
|---|---|---|
| アクティビティ | string | 人間が判読でき、理解できるイベントの説明を表している文字列。 |
| AdditionalExtensions | string | 追加フィールドのプレースホルダー。 フィールドはキーと値のペアとしてログに記録されます。 |
| ApplicationProtocol | string | アプリケーションで使用される、HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS などのプロトコル。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| CollectorHostName | string | エージェントを実行しているコレクター マシンのホスト名。 |
| CommunicationDirection | string | 観察された通信が行われた方向に関する何らかの情報。 有効な値: 0 = 受信、1 = 送信。 |
| Computer | string | Syslog からホストします。 |
| destinationDnsDomain | string | 完全修飾ドメイン名 (FQDN) の DNS 部分。 |
| DestinationHostName | string | IP ネットワーク内でイベントによって参照されている発信元。 ノードを使用できる場合は、その形式を、送信先ノードに関連付けられている FQDN にする必要があります。 例: host.domain.com またはホスト。 |
| DestinationIP | string | IP ネットワーク内でイベントによって参照されている送信先の IpV4 アドレス。 |
| DestinationMACAddress | string | 宛先 MAC アドレス (FQDN)。 |
| DestinationNTDomain | string | 宛先アドレスの Windows ドメイン名。 |
| DestinationPort | INT | 送信先ポート。 有効な値: 0 から 65535。 |
| DestinationProcessId | INT | イベントに関連付けられている送信先プロセスの ID。 |
| DestinationProcessName | string | telnetd や sshd など、イベントの宛先プロセスの名前。 |
| DestinationServiceName | string | イベントによりターゲットとされるサービス。 例: sshd。 |
| DestinationTranslatedAddress | string | IP ネットワーク内でイベントによって参照されている、変換後の送信先を IPv4 IP アドレスとして識別します。 |
| DestinationTranslatedPort | INT | 変換後のポート (ファイアウォールなど) 有効なポート番号: 0 から 65535。 |
| DestinationUserID | string | ID で宛先ユーザーを識別します。 たとえば、Unix では、ルート ユーザーは通常、ユーザー ID 0 に関連付けられています。 |
| DestinationUserName | string | 名前で宛先ユーザーを識別します。 |
| DestinationUserPrivileges | string | 宛先で使用する特権を定義します。 有効な値: Admninistrator、User、Guest。 |
| DeviceAction | string | イベントで触れられているアクション。 |
| DeviceAddress | string | イベントを生成しているデバイスの IPv4 アドレス。 |
| DeviceCustomDate1 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 2 つのタイムスタンプ フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| DeviceCustomDate1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomDate2 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 2 つのタイムスタンプ フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| DeviceCustomDate2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomFloatingPoint1 | real | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 |
| DeviceCustomFloatingPoint1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomFloatingPoint2 | real | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 |
| DeviceCustomFloatingPoint2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomFloatingPoint3 | real | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 |
| DeviceCustomFloatingPoint3Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomFloatingPoint4 | real | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 |
| DeviceCustomFloatingPoint4Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomIPv6Address1 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。 |
| DeviceCustomIPv6Address1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomIPv6Address2 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。 |
| DeviceCustomIPv6Address2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomIPv6Address3 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。 |
| DeviceCustomIPv6Address3Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomIPv6Address4 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。 |
| DeviceCustomIPv6Address4Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomNumber1 | INT | 間もなく、非推奨のフィールドになります。 FieldDeviceCustomNumber1 に置き換えられます。 |
| DeviceCustomNumber1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomNumber2 | INT | 間もなく、非推奨のフィールドになります。 FieldDeviceCustomNumber2 に置き換えられます。 |
| DeviceCustomNumber2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomNumber3 | INT | 間もなく、非推奨のフィールドになります。 FieldDeviceCustomNumber3 に置き換えられます。 |
| DeviceCustomNumber3Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomString1 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| DeviceCustomString1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomString2 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| DeviceCustomString2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomString3 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| DeviceCustomString3Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomString4 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| DeviceCustomString4Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomString5 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| DeviceCustomString5Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceCustomString6 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| DeviceCustomString6Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
| DeviceDnsDomain | string | 完全修飾ドメイン名 (FQDN) の DNS ドメイン部分。 |
| DeviceEventCategory | string | 発信元デバイスによって割り当てられたカテゴリを表します。 多くの場合、デバイスは独自の分類スキーマを使用してイベントを分類します。 例: '/Monitor/Disk/Read' です。 |
| DeviceEventClassID | string | イベントの種類ごとの一意の識別子として機能する文字列または整数。 |
| DeviceExternalID | string | イベントを生成しているデバイスを一意に識別する名前。 |
| DeviceFacility | string | イベントを生成している機能。 例: auth または local1。 |
| DeviceInboundInterface | string | デバイスにパケットまたはデータが入力されたインターフェイス。 例: ethernet1/2。 |
| DeviceMacAddress | string | イベントを生成しているデバイスの MAC アドレス。 |
| DeviceName | string | ノードを使用できる場合は、デバイス ノードに関連付けられている FQDN。 例: host.domain.com またはホスト。 |
| DeviceNtDomain | string | デバイス アドレスの Windows ドメイン。 |
| DeviceOutboundInterface | string | デバイスにパケットまたはデータが残されたインターフェイス。 |
| DevicePayloadId | string | イベントに関連付けられているペイロードの一意の識別子。 |
| DeviceProduct | string | デバイスの製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。 |
| DeviceTimeZone | string | イベントを生成するデバイスのタイムゾーン。 |
| DeviceTranslatedAddress | string | IP ネットワーク内でイベントによって参照されている、変換後のデバイス アドレスを識別します。 形式は Ipv4 アドレスです。 |
| DeviceVendor | string | デバイスの製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。 |
| DeviceVersion | string | デバイスの製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。 |
| EndTime | DATETIME | イベントに関連するアクティビティが終了した時刻。 |
| EventCount | INT | イベントに関連付けられているカウントで、同じイベントが観察された回数を示します。 |
| EventOutcome | string | 結果 (通常は 'success' または 'failure' として表示されます)。 |
| EventType | INT | イベントの種類。 値には、0: 基本イベント、1: 集計、2: 相関イベント、3: アクション イベントが含まれます。 注: 基本イベントについてはこのイベントを省略できます。 |
| ExternalID | INT | 間もなく、非推奨のフィールドになります。 ExtID に置き換えられます。 |
| ExtID | string | 元のデバイスで使用される ID (レガシ ExternalID が置き換えられます)。 一般に、これらの値は、イベントにそれぞれが関連付けられている、増加してゆく値です。 |
| FieldDeviceCustomNumber1 | long | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (従来の DeviceCustomNumber1 が置き換えられます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| FieldDeviceCustomNumber2 | long | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (従来の DeviceCustomNumber2 が置き換えられます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| FieldDeviceCustomNumber3 | long | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (従来の DeviceCustomNumber3 が置き換えられます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
| FileCreateTime | string | ファイルが作成された日時。 |
| FileHash | string | ファイルのハッシュ。 |
| FileID | string | ファイルに関連付けられている ID (inode など)。 |
| FileModificationTime | string | ファイルが最後に変更された日時。 |
| FileName | string | パスを含まないファイルの名前。 |
| FilePath | string | ファイル名を含む、ファイルへの完全なパス。 例: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe または /usr/bin/zip。 |
| FilePermission | string | ファイルのアクセス許可。 たとえば、'2,1,1' です。 |
| FileSize | INT | ファイルのサイズ (バイト単位)。 |
| FileType | string | パイプやソケットなどのファイルの種類。 |
| FlexDate1 | string | このディクショナリ内の他の定義されたタイムスタンプ フィールドには適用されないタイムスタンプをマップするために使用できるタイムスタンプ フィールド。 すべての flex フィールドを慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーによって設定されるべきではありません。 |
| FlexDate1Label | string | ラベル フィールドは文字列であり、flex フィールドの目的を説明します。 |
| FlexNumber1 | INT | このディクショナリ内の他のフィールドに適用されない Int データをマップするために使用できる数値フィールド。 |
| FlexNumber1Label | string | FlexNumber1 の値を記述するラベル |
| FlexNumber2 | INT | このディクショナリ内の他のフィールドに適用されない Int データをマップするために使用できる数値フィールド。 |
| FlexNumber2Label | string | FlexNumber2 の値を表すラベル |
| FlexString1 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーによって設定されるべきではありません。 |
| FlexString1Label | string | ラベル フィールドは文字列であり、flex フィールドの目的を説明します。 |
| FlexString2 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーによって設定されるべきではありません。 |
| FlexString2Label | string | ラベル フィールドは文字列であり、flex フィールドの目的を説明します。 |
| IndicatorThreatType | string | TI フィードに従った MaliciousIP の脅威の種類。 |
| _IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| LogSeverity | string | イベントの重要度を記述する文字列または整数。 有効な文字列値: Unknown 、Low、Medium、High、Very-High Valid integer values are: 0-3 = Low、4-6 = Medium、7-8 = High、9-10 = Very-High。 |
| MaliciousIP | string | メッセージ内の IP の 1 つが現在の TI フィードと関連付けられていた場合は、ここに表示されます。 |
| MaliciousIPCountry | string | レコード インジェスト時の GEO 情報に従った MaliciousIP の国。 |
| MaliciousIPLatitude | real | レコード インジェスト時の GEO 情報に従った MaliciousIP の緯度。 |
| MaliciousIPLongitude | real | レコード インジェスト時の GEO 情報に従った MaliciousIP の経度。 |
| Message | string | イベントに関する詳細情報を示すメッセージ。 |
| OldFileCreateTime | string | 古いファイルが作成された日時。 |
| OldFileHash | string | 古いファイルのハッシュ。 |
| OldFileID | string | 古いファイルに関連付けられている、inode などの ID。 |
| OldFileModificationTime | string | 古いファイルが最後に変更された日時。 |
| OldFileName | string | 古いファイルの名前。 |
| OldFilePath | string | ファイル名を含む、古いファイルへの完全なパス。 例: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe または /usr/bin/zip。 |
| OldFilePermission | string | 古いファイルのアクセス許可。 たとえば、'2,1,1' です。 |
| OldFileSize | INT | 古いファイルのサイズ (バイト単位)。 |
| OldFileType | string | パイプやソケットなど、古いファイルのファイルの種類。 |
| OriginalLogSeverity | string | マップされていないバージョンの LogSeverity。 例: LogSeverity フィールドの標準の Low/Medium/High ではなく、Warning/Critical/Info |
| ProcessID | INT | イベントを生成しているデバイス上のプロセスの ID を定義します。 |
| ProcessName | string | イベントに関連付けられているプロセス名。 たとえば、UNIX では、syslog エントリを生成するプロセス。 |
| Protocol | string | 使用されているレイヤー 4 プロトコルを識別するトランスポート プロトコル。 指定できる値には、TCP や UDP などのプロトコル名が含まれます。 |
| 理由 | string | 監査イベントが生成された理由。 たとえば、"不正なパスワード" や "不明なユーザー" などです。 これは、エラーまたはリターン コードである場合もあります。 例: '0x1234'。 |
| ReceiptTime | string | アクティビティに関連するイベントが受信された時刻。 "Timegenerated" フィールドとは異なります。これは、ログ コレクター コンピューターでイベントが受信されたときです。 |
| ReceivedBytes | long | 内側へ転送されたバイト数。 |
| RemoteIP | string | 可能な場合は、イベントの方向の値から派生したリモート IP アドレス。 |
| リモート ポート | string | 可能な場合は、イベントの方向の値から派生したリモート ポート。 |
| ReportReferenceLink | string | TI フィードのレポートへのリンク。 |
| RequestClientApplication | string | 要求に関連付けられているユーザー エージェント。 |
| RequestContext | string | HTTP 参照元など、要求送信元のコンテンツについて説明します。 |
| RequestCookies | string | 要求に関連付けられている Cookie。 |
| RequestMethod | string | URL にアクセスするために使用されるメソッド。 有効な値には、POST、GET などのメソッドが含まれます。 |
| RequestURL | string | HTTP 要求のためにアクセスされる URL (プロトコルを含む)。 例: http://www/secure.com. |
| _ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
| SentBytes | long | 外側へ転送されたバイト数。 |
| SimplifiedDeviceAction | string | マップされたバージョンの DeviceAction (拒否拒否 > など)。 |
| SourceDnsDomain | string | 完全な FQDN の DNS ドメインの部分。 |
| SourceHostName | string | IP ネットワーク内でイベントによって参照されている発信元を識別します。 ノードを使用できる場合は、形式を、ソース ノードに関連付けられている完全修飾ドメイン名 (DQDN) にする必要があります。 例: host または host.domain.com。 |
| SourceIP | string | IP ネットワーク内でイベントによって参照されている、IPv4 アドレスとしての発信元。 |
| SourceMACAddress | string | 発信元 MAC アドレス。 |
| SourceNTDomain | string | 発信元アドレスの Windows ドメイン名。 |
| SourcePort | INT | 発信元ポート番号。 有効なポート番号は 0 から 65535 です。 |
| SourceProcessId | INT | イベントに関連付けられている発信元プロセスの ID。 |
| SourceProcessName | string | イベントの発信元プロセスの名前。 |
| SourceServiceName | string | イベントの生成を担っているサービス。 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| SourceTranslatedAddress | string | IP ネットワーク内でイベントによって参照されている、変換後の発信元を識別します。 |
| SourceTranslatedPort | INT | 変換後の、ファイアウォールなどの発信元ポート。 有効なポート番号は 0 から 65535 です。 |
| SourceUserID | string | ID で発信元ユーザーを識別します。 |
| SourceUserName | string | 名前で発信元ユーザーを識別します。 Emailアドレスも UserName フィールドにマップされます。 送信者は、このフィールドに入力する候補です。 |
| SourceUserPrivileges | string | 発信元ユーザーの特権。 有効な値は、管理者、ユーザー、ゲストです。 |
| StartTime | DATETIME | イベントによって参照されているアクティビティが開始された時刻。 |
| _SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
| TenantId | string | Log Analytics ワークスペース ID |
| ThreatConfidence | string | TI フィードに従った MaliciousIP の脅威の信頼度。 |
| ThreatDescription | string | TI フィードに従った MaliciousIP の脅威の説明。 |
| ThreatSeverity | INT | レコード インジェスト時の TI フィードに従った MaliciousIP の脅威の重大度。 |
| TimeGenerated | DATETIME | イベント収集時刻 (UTC)。 |
| Type | string | テーブルの名前 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示