Ескерім
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Схема управления пользователями ASim представляет действия по управлению пользователями, например создание пользователя или группы, изменение атрибута пользователя или добавление пользователя в группу. О таких событиях сообщают, например, операционные системы, службы каталогов, системы управления идентификацией и любая другая система, информирующая о своей локальной деятельности по управлению пользователями.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/asimtables |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Преобразование времени поглощения | Да |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| ActingAppId | строка | Идентификатор приложения, используемого субъектом для выполнения действия, включая процесс, браузер или службу. |
| ActingAppName | строка | Имя приложения, используемого субъектом для выполнения действия, включая процесс, браузер или службу. |
| Тип действующего приложения | строка | Тип действующего приложения. |
| ТипОригинальногоПриложения | строка | Тип приложения, как сообщено устройством, предоставляющим отчеты. |
| ТипОригинальногоПользователяАктера | строка | Начальный тип действующего лица пользователя, если он указан источником. |
| ActorScope | строка | Область, например клиент Azure AD, в которой определены ActorUserId и ActorUsername. |
| ActorScopeId | строка | Идентификатор области, например идентификатор клиента Azure AD, в котором определены ActorUserId и ActorUsername. |
| ИдентификаторСессииАктера | строка | Уникальный идентификатор сеанса входа участника. |
| ActorUserAadId | строка | Идентификатор участника Azure Active Directory. |
| ActorUserId | строка | Машиночитаемое, буквенно-цифровое, уникальное представление действующего лица. |
| ТипИдентификатораПользователяАктёра | строка | Тип идентификатора, который хранится в поле ActorUserId. |
| ИмяПользователяАктера | строка | Имя пользователя актёра, включая информацию о домене при наличии. |
| ТипИмениПользователяАктера | строка | Определяет тип имени пользователя, которое хранится в поле ActorUsername. |
| ActorUserSid | строка | Идентификатор пользователя Windows (SID) актера. |
| ТипПользователяАктера | строка | Тип актёра. |
| ДополнительныеПоля | динамичный | Дополнительные сведения, представленные в виде пар "ключ-значение", предоставляемых источником, не совпадающим с ASim. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| DvcAction | строка | В контексте отчетности по системам безопасности: действия, предпринятые системой. |
| DvcОписание | строка | Текст описания, связанный с устройством. |
| DvcDomain | строка | Домен устройства, сообщающего о событии. |
| DvcDomainType | строка | Тип DvcDomain. |
| DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcИмяХоста | строка | Имя узла устройства, сообщающее о событии. |
| DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType | строка | Тип DvcId. |
| DvcInterface | строка | Сетевой интерфейс, на котором были зафиксированы данные. |
| DvcIpAddr | строка | IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr | строка | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. |
| DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs | строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcOsVersion | строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcScope | строка | Область облачной платформы, к которой принадлежит устройство. DvcScope сопоставляет имя подписки в Azure и идентификатор учетной записи в AWS. |
| DvcScopeId | строка | Идентификатор области облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone | строка | Сеть, в которой произошло событие или которое сообщило о событии. |
| КоличествоСобытий | INT | Количество событий, описываемых записью. |
| Время окончания мероприятия | дата и время | Время окончания события. Если источник поддерживает агрегирование и запись представляет несколько событий, время создания последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| Сообщение о событии | строка | Общее сообщение или описание. |
| Детали исходного результата события | строка | Исходные сведения о результатах, предоставленные источником. |
| EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная передающим устройством. |
| ПодтипОригинальногоСобытия | строка | Исходный идентификатор или подтип события, если предоставлен источником. |
| ТипОригинальногоСобытия | строка | Исходный идентификатор или тип события, если он указан источником. |
| СобытиеOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
| Владелец мероприятия | строка | Владелец события, который обычно является отделом или дочерней компанией, где оно было создано. |
| EventProduct | строка | Продукт, создающий событие. |
| Версия продукта мероприятия | строка | Версия продукта, создающего событие. |
| URL отчёта о событии | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| Результат события | строка | Результат события, представленный одним из следующих значений: Успех, Частичный успех, Неудача, Н/Д (не применимо). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| Детали результата события | строка | Причина или подробные сведения для результата, полученного в поле EventResult. |
| Схема события | строка | Имя схемы |
| EventSchemaVersion | строка | Версия схемы. |
| EventSeverity | строка | Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий". |
| ВремяНачалаСобытия | дата и время | Время начала события. Если источник поддерживает агрегирование и запись представляет несколько событий, время создания первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| Подтип события | строка | Описывает подразделение операции, записанной в поле EventType. |
| Тип события | строка | Описывает операцию, о которой сообщает эта запись. |
| EventVendor | строка | Поставщик продукта, создающего событие. |
| ИдентификаторГруппы | строка | Машиночитаемое буквенно-цифровое уникальное представление группы для действий с участием группы. |
| ГруппАйДиТип | строка | Тип идентификатора, хранимый в поле GroupId. |
| Имя группы | строка | Имя группы, включая информацию о домене, если она доступна, для действий с участием группы. |
| ТипИмениГруппы | строка | Указывает тип имени группы, хранимого в поле GroupName. |
| ГруппаОригинальныйТип | строка | Начальный тип группы, если он указан источником. |
| Тип группы | строка | Тип группы для действий с участием группы. |
| HttpUserAgent (Идентификатор пользователя HTTP) | строка | Если проверка подлинности выполняется по протоколу HTTP или HTTPS, значение этого поля содержит заголовок HTTP user_agent, предоставленный действующим приложением при выполнении проверки подлинности. |
| _являетсяОплачиваемым | строка | Указывает, является ли обработка данных платной. Если _IsBillable false, процесс не выставляется на счет вашей учетной записи Azure. |
| Новое значение свойства | строка | Новое значение, хранимое в указанном свойстве. |
| Предыдущее значение свойства | строка | Предыдущее значение, хранимое в указанном свойстве. |
| _ИдентификаторРесурса | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| Имя правила | строка | Имя или идентификатор правила, связанное с результатами проверки. |
| НомерПравила | INT | Число правил, связанных с результатами проверки. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux или Azure для диагностики Azure |
| SrcDescription | строка | Описательный текст, связанный с исходным устройством. |
| ТипИсходногоУстройства | строка | Тип исходного устройства. |
| SrcDomain | строка | Домен исходного устройства. |
| ТипИсходногоДоменана | строка | Тип SrcDomain. |
| SrcDvcId | строка | Идентификатор исходного устройства, как указано в записи. |
| SrcDvcIdType | строка | Тип SrcDvcId. |
| SrcDvcScope | строка | Область облачной платформы, к которой принадлежит исходное устройство. SrcDvcScope сопоставляется с именем подписки в Azure и идентификатором учетной записи в AWS. |
| SrcDvcScopeId | строка | Идентификатор области облачной платформы, к которому принадлежит исходное устройство. SrcDvcScopeId сопоставляется с идентификатором подписки на Azure и с идентификатором учетной записи на AWS. |
| SrcFQDN | строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. |
| SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
| Страна происхождения (SrcGeoCountry) | строка | Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude | реальный | Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude (источник географической долготы) | реальный | Географическая долгота, связанная с исходным IP-адресом. |
| ИсточникГеоРегион | строка | Регион в пределах страны, связанной с исходным IP-адресом.. |
| SrcHostname | строка | Имя узла исходного устройства, исключая сведения о домене. |
| SrcIpAddr | строка | IP-адрес исходного устройства. |
| SrcMacAddr | строка | MAC-адрес исходного устройства. |
| УровеньОригинальногоРиска | строка | Уровень риска, связанный с указанным источником, как указывает устройство отчетности. |
| SrcPortNumber (номер исходного порта) | INT | Исходный IP-порт, из которого возникло подключение. |
| Уровень риска | INT | Уровень риска, связанный с определенным источником. |
| _ИдентификаторПодписки | строка | Уникальный идентификатор подписки, с которой связана запись |
| ЦелевойОригинальныйТипПользователя | строка | Начальный тип пользователя назначения, если он указан источником. |
| ИдентификаторЦелевогоПользователя | строка | Считываемое компьютером буквенно-цифровое значение, уникальным образом представляющее целевого пользователя. |
| ТипЦелевогоИдентификатораПользователя | строка | Тип идентификатора, хранимый в поле TargetUserId. |
| TargetUsername | строка | Имя целевого пользователя, включая сведения о домене, если они доступны. |
| ЦелевойТипИмениПользователя | строка | Указывает тип имени пользователя, хранимого в поле TargetUsername. |
| ЦелеваяОбластьПользователя | строка | Область, например имя клиента Azure AD, в которой определены TargetUserId и TargetUsername. |
| ИдентификаторЦелевойОбластиПользователя | строка | Идентификатор области, например идентификатор клиента Azure AD, в котором определены TargetUserId и TargetUsername. |
| ИдентификаторСессииЦелевогоПользователя | строка | Уникальный идентификатор сеанса входа пользователя. |
| ЦелевойТипПользователя | строка | Тип целевого пользователя. |
| ИдентификаторЦелевогоПользователя | строка | Идентификатор пользователя Unix или Linux. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Категория угрозы | строка | Категория угроз или вредоносных программ, идентифицированная в процессе. |
| Уровень Доверия Угрозы | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| Поле угроз | строка | Поле, для которого была обнаружена угроза. |
| Время первого сообщения об угрозе | дата и время | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| Идентификатор угрозы | строка | Идентификатор угрозы или вредоносных программ, идентифицированных в действии. |
| Угроза активна | булевая переменная (bool) | Угроза, обозначенная как "истинная идентификация", считается активной угрозой. |
| ВремяПоследнегоОтчётаОУгрозе | дата и время | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| Имя угрозы | строка | Имя угрозы или вредоносных программ, обнаруженных в активности. |
| Уверенность в оригинальной угрозе | строка | Исходный уровень уверенности идентифицированной угрозы, как сообщается устройством, передавшим информацию о ней. |
| УровеньИсходногоРискаУгрозы | строка | Уровень риска, указанный устройством для отчетности. |
| УровеньРискаУгрозы | INT | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. |
| Время генерации | дата и время | Метка времени (UTC), отражающая время создания события. |
| Тип | строка | Имя таблицы. |