Ескерім
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Эта таблица предназначена для сбора событий в формате common Event, которые чаще всего отправляются из различных устройств безопасности, таких как Check Point, Palo Alto и многое другое.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/virtualmachines microsoft.compute/virtualmachinescalesets |
| Категории | Безопасность |
| Решения | Безопасность, Аналитика безопасности |
| Базовый журнал | Да |
| Преобразование на этапе приема данных | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Тип | Описание |
|---|---|---|
| Вид занятий | строка | Строка, представляющая понятное описание события. |
| Дополнительные расширения | строка | Заполнитель для дополнительных полей. Поля записываются в виде пар "ключ-значение". |
| протокол приложения | строка | Протокол, используемый в приложении, например HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAP и т. д. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| ИмяХостаКоллектора | строка | Имя хоста машины сбора данных, на которой запущен агент. |
| Направление связи | строка | Любые сведения о направлении наблюдаемого обмена данными. Допустимые значения: 0 = входящий трафик, 1 = исходящий трафик. |
| Компьютер | строка | Хост из системного журнала. |
| Доменное имя назначения DNS | строка | Часть DNS полностью квалифицированного доменного имени (FQDN). |
| DestinationHostName | строка | Цель, к которой относится событие в IP-сети. Формат должен представлять собой полное доменное имя, связанное с узлом назначения, если узел доступен. Например, host.domain.com или хост. |
| IP-адрес назначения | строка | Адрес IPv4 назначения, к которому обращается событие в IP-сети. |
| MAC-адрес назначения | строка | MAC-адрес назначения (FQDN). |
| Домен назначения NT | строка | Доменное имя Windows для адреса назначения. |
| Порт назначения | INT | Порт назначения. Допустимые значения: 0 – 65535. |
| Идентификатор процесса назначения | INT | Идентификатор целевого процесса, связанного с событием. |
| Имя процесса назначения | строка | Имя целевого процесса события, например telnetd или sshd. |
| Название службы назначения | строка | Служба, на которую направлено событие. Например: sshd. |
| Адрес назначения после перевода | строка | Определяет переведённый пункт назначения, к которому обращается событие в IP-сети, в виде IPv4-адреса. |
| Переведённый порт назначения | INT | Порт после перевода, например допустимые номера портов брандмауэра: 0 – 65535. |
| DestinationUserID | строка | Определяет пользователя назначения по идентификатору. Например, в Unix корневой пользователь обычно связан с идентификатором пользователя 0. |
| Имя пользователя назначения | строка | Определяет пользователя назначения по имени. |
| Права пользователя назначения | строка | Определяет разрешения пользователя назначения. Допустимые значения: Admninistrator, User, Guest. |
| Действие устройства | строка | Действие, указанное в событии. |
| Адрес устройства | строка | Адрес IPv4 устройства, создающего событие. |
| ПараметрУстройстваДата1 | строка | Один из двух полей метки времени, доступных для сопоставления полей, которые не соответствуют другим в этом словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| НестандартнаяДатаУстройства1Метка | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Настроенная дата устройства 2 | строка | Один из двух полей метки времени, доступных для сопоставления полей, которые не соответствуют другим в этом словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| ЯрлыкПользовательскаяДатаУстройства2 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| КонфигурацияУстройствоИндивидуальнаяПлавающаяТочка1 | реальный | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| МеткаПользовательскийПлавающийТочка1Устройство | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Пользовательское устройство с плавающей запятой 2 | реальный | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| МеткаПользовательскогоЧислаСПлавЗапятой2 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| УстройствоПользовательскаяПлавающаяТочка3 | реальный | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| ИндивидуальнаяМеткаВещественногоЧисла3Устройства | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Индивидуальная плав. точка устройства 4 | реальный | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| Пользовательская метка с плавающей запятой устройства 4 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Настраиваемый IPv6-адрес устройства1 | строка | Одно из четырех полей адреса IPv6, доступных для сопоставления полей, которые не применяются ни к какому другому в этом словаре. |
| МеткаПользовательскогоIPv6АдресаУстройства1 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| ПользовательскийIPv6АдресУстройства2 | строка | Одно из четырех полей адреса IPv6, доступных для сопоставления полей, которые не применяются ни к какому другому в этом словаре. |
| МеткаПользовательскогоIPv6Адреса2Устройства | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address3 | строка | Одно из четырех полей адреса IPv6, доступных для сопоставления полей, которые не применяются ни к какому другому в этом словаре. |
| Пользовательский IPv6-адрес устройства 3 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address4 | строка | Одно из четырех полей адреса IPv6, доступных для сопоставления полей, которые не применяются ни к какому другому в этом словаре. |
| ЯрлыкДляПользовательскогоIPv6АдресаУстройства4 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| ПользовательскоеЧислоУстройства1 | INT | Скоро станет устаревшим полем. Будет заменено на FieldDeviceCustomNumber1. |
| ЯрлыкПользовательскоеЧислоУстройства1 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomNumber2 | INT | Скоро станет устаревшим полем. Будет заменено на FieldDeviceCustomNumber2. |
| МеткаПользовательскийНомерУстройства2 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Пользовательский номер устройства 3 | INT | Скоро станет устаревшим полем. Будет заменен на FieldDeviceCustomNumber3. |
| ЯрлыкСвойственногоНомераПрибора3 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString1 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString2 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString3 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString4 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString4Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString5 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString5Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString6 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| ЯрлыкПользовательскойСтрокиУстройства6 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Домен DNS устройства | строка | Часть домена DNS в полностью квалифицированном доменном имени (FQDN). |
| Категория событий устройства | строка | Относится к категории, назначенной исходным устройством. Устройства часто используют собственную схему классификации для классификации событий. Пример: '/Monitor/Disk/Read'. |
| DeviceEventClassID | строка | Строка или целое число, служащие уникальным идентификатором для каждого типа событий. |
| ВнешнийИдентификаторУстройства | строка | Имя, которое однозначно идентифицирует устройство, создающее событие. |
| УстройствоОбъект | строка | Оборудование, создающее событие. Например: аутентификация или local1. |
| Интерфейс входящих данных устройства | строка | Интерфейс, по которому пакет или данные поступили на устройство. Например, ethernet1/2. |
| MAC-адрес устройства | строка | MAC-адрес устройства, создающего событие. |
| Имя устройства | строка | Полное доменное имя, связанное с узлом устройства, если узел доступен. Например, host.domain.com или хост. |
| DeviceNtDomain | строка | Домен Windows для адреса устройства. |
| Интерфейс исходящих данных устройства | строка | Интерфейс, по которому пакет или данные покинули устройство. |
| DevicePayloadId | строка | Уникальный идентификатор полезной нагрузки, связанной с событием. |
| УстройствоПродукт | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| Часовой пояс устройства | строка | Часовой пояс устройства, создающего событие. |
| АдресУстройстваПереведенный | строка | Определяет преобразованный адрес устройства, к которому обращается событие, в IP-сети. Формат — адрес IPv4. |
| Поставщик устройств | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| Версия устройства | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| Время окончания | дата и время | Время окончания действия, связанного с событием. |
| Количество событий | INT | Связанное с событием число, которое показывает, сколько раз наблюдалось одно и то же событие. |
| РезультатСобытия | строка | Отображает результат, как правило, как "успешно" или "сбой". |
| Тип события | INT | Тип события. Значения включают: 0: базовое событие, 1: агрегированное, 2: событие корреляции, 3: событие действия. Примечание. Для базовых событий это событие можно опустить. |
| Внешний ID | INT | Скоро станет устаревшим полем. Будет заменено ExtID. |
| ExtID | строка | Идентификатор, используемый исходным устройством (заменит устаревший ExternalID). Как правило, эти значения имеют возрастающие значения, каждое из которых связано с событием. |
| ПользовательскийНомерУстройства1 | длинный | Одно из трех числовых полей, доступных для сопоставления с полями, которые не применяются ни к каким другим в этом словаре (заменяет устаревшее поле DeviceCustomNumber1). Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| ПользовательскийНомерУстройстваПоля2 | длинный | Одно из трех полей чисел, доступных для сопоставления полей, которые не относятся к другим полям в этом словаре (заменит ранее использовавшиеся поля DeviceCustomNumber2). Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| ПользовательскийНомерУстройства3 | длинный | Одно из трех полей, доступных для сопоставления полей, которые не соответствуют всем другим в этом словаре (заменит старый DeviceCustomNumber3). Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| Время создания файла | строка | Время создания файла. |
| Хеш файла | строка | Хеш-код файла. |
| ИдентификаторФайла | строка | Идентификатор, связанный с файлом, например inode. |
| ВремяИзмененияФайла | строка | Время последнего изменения файла. |
| Имя файла | строка | Имя файла без пути. |
| FilePath | строка | Полный путь к файлу, включая имя файла. Например: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip. |
| Разрешение на файл | строка | Разрешения файла. Например: "2,1,1". |
| Размер файла | INT | Размер файла в байтах. |
| Тип файла | строка | Тип файла, например канал связи, разъем и т. д. |
| FlexDate1 | строка | Поле временной метки, предназначенное для сопоставления временной метки, которая не относится ни к одному другому определенному полю временной метки в этом словаре. Используйте гибкие поля экономно и, по возможности, выбирайте более конкретные поля, предоставленные из словаря. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| FlexDate1Label | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| FlexNumber1 | INT | Числовые поля, доступные для сопоставления данных Int, которые не применяются к другому полю в этом словаре. |
| FlexNumber1Label | строка | Метка, описывающая значение в FlexNumber1 |
| FlexNumber2 | INT | Числовые поля, доступные для сопоставления данных Int, которые не применяются к другому полю в этом словаре. |
| FlexNumber2Label | строка | Метка, описывающая значение в FlexNumber2 |
| FlexString1 | строка | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| FlexString1Label | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| FlexString2 | строка | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| ФлексСтринг2Лейбл | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| Тип угрозы индикатора | строка | Тип угрозы вредоносного IP в соответствии с нашим источником информации TI. |
| _Платно | строка | Указывает, является ли загрузка данных платной. Если _IsBillable false, прием данных не учитывается в вашей учетной записи Azure. |
| LogSeverity | строка | Строка или целое число, описывающие важность события. Допустимые строковые значения: Неизвестно, Низкий, Средний, Высокий, Очень высокий. Допустимые целочисленные значения: 0-3 = Низкий, 4-6 = Средний, 7-8 = Высокий, 9-10 = Очень высокий. |
| вредоносный IP-адрес | строка | Если IP-адрес из сообщения совпадает с текущим источником потоковых данных TI, он будет отображаться здесь. |
| Страна вредоносного IP | строка | Страна вредоносного IP-адреса в соответствии с данными GEO во время приема записей. |
| Широта злонамеренного IP | реальный | Широта вредоносного IP в соответствии с данными GEO на момент обработки данных. |
| ДолготаВредоносногоIP | реальный | Долгота вредоносного IP-адреса согласно геоинформации в момент получения записи. |
| Сообщение | строка | Сообщение, содержащее дополнительные сведения о событии. |
| ВремяСозданияСтарогоФайла | строка | Время создания старого файла. |
| Хэш старого файла | строка | Хеш-код старого файла. |
| СтарыйИдентификаторФайла | строка | Идентификатор, связанный со старым файлом, например inode. |
| ВремяИзмененияСтарогоФайла | строка | Время последнего изменения старого файла. |
| СтароеИмяФайла | строка | Имя старого файла. |
| OldFilePath | строка | Полный путь к старому файлу, включая имя файла. Например: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip. |
| OldFilePermission | строка | Разрешения старого файла. Например: "2,1,1". |
| СтарыйРазмерФайла | INT | Размер старого файла в байтах. |
| СтарыйТипФайла | строка | Тип предыдущего файла, например канал, сокет и т. д. |
| OriginalLogSeverity | строка | Не сопоставленная версия LogSeverity. Например: предупреждение/критическое/информация вместо нормализированного низкого/среднего/высокого уровня в поле LogSeverity |
| Идентификатор процесса | INT | Определяет идентификатор процесса на устройстве, создающем событие. |
| Имя процесса | строка | Имя процесса, связанного с событием. Например, в UNIX процесс, создающий запись системного журнала. |
| Протокол | строка | Транспортный протокол, определяющий используемый протокол уровня 4. Возможные значения включают имена протоколов, такие как TCP или UDP. |
| Причина | строка | Причина создания события аудита. Например, "недопустимый пароль" или "неизвестный пользователь". Это также может быть ошибка или код возврата. Пример: "0x1234". |
| Время получения | строка | Время, когда было получено событие, связанное с деятельностью. Отличается от поля "Timegenerated", которое указывает время получения события на машине сбора журналов. |
| Полученные байты | длинный | Общее число байтов, переданных во входящем трафике. |
| Удаленный IP-адрес | строка | Удаленный IP-адрес, производный от значения направления события, если это возможно. |
| RemotePort | строка | Удаленный порт, производный от значения направления события, если это возможно. |
| ОтчетСсылкаНаИсточник | строка | Ссылка на отчет потока TI. |
| Запрос клиентского приложения | строка | Агент пользователя, связанный с запросом. |
| КонтекстЗапроса | строка | Описывает содержимое, от которого поступил запрос, например источник ссылки HTTP. |
| RequestCookies | строка | Файлы cookie, связанные с запросом. |
| requestMethod | строка | Метод, используемый для доступа к URL-адресу. Допустимые значения включают такие методы, как POST, GET и т. д. |
| RequestURL (РеквестЮРЛ) | строка | URL-адрес, к которому обращается HTTP-запрос, включая протокол. Например: http://www/secure.com. |
| _ResourceId (идентификатор ресурса) | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| Отправленные байты | длинный | Общее число байтов, переданных в исходящем трафике. |
| Упрощенное действие устройства | строка | Сопоставленная версия DeviceAction, например Отказано > Отклонить. |
| ИсходныйDnsДомейн | строка | Часть полного FQDN, относящаяся к домену DNS. |
| SourceHostName | строка | Определяет источник, к которому обращается событие, в IP-сети. Формат должен представлять собой полное доменное имя (FQDN), связанное с исходным узлом, если узел доступен. Например, хост или host.domain.com. |
| ИсточникIP-адрес | строка | Источник, к которому обращается событие в IP-сети, как адрес IPv4. |
| исходный MAC-адрес (SourceMACAddress) | строка | MAC-адрес источника. |
| SourceNTDomain | строка | Доменное имя Windows для адреса источника. |
| SourcePort | INT | Номер исходного порта. Допустимые номера портов : 0 – 65535. |
| Идентификатор исходного процесса | INT | Идентификатор исходного процесса, связанного с событием. |
| ИмяИсходногоПроцесса | строка | Имя исходного процесса события. |
| ИмяИсходногоСервиса | строка | Служба, отвечающая за создание события. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows прямое подключение или Operations Manager Linux для всех агентов Linux или Azure для Azure Diagnostics |
| ИсточникПереведённыйАдрес | строка | Определяет преобразованный источник, к которому обращается событие, в IP-сети. |
| SourceTranslatedPort | INT | Исходный порт после преобразования, например брандмауэр. Допустимые номера портов : 0 – 65535. |
| SourceUserID | строка | Определяет исходного пользователя по идентификатору. |
| SourceUserName | строка | Определяет исходного пользователя по имени. Адреса электронной почты также сопоставляются с полями UserName. Отправитель является кандидатом, который должен быть помещен в это поле. |
| ПривилегииИсходногоПользователя | строка | Привилегии исходного пользователя. Допустимые значения: администратор, пользователь, гость. |
| Время начала | дата и время | Время начала действия, о котором идёт речь в событии. |
| _ИдентификаторПодписки | строка | Уникальный идентификатор подписки, с которой связана запись |
| ИдентификаторАрендатора | строка | Идентификатор рабочей области Log Analytics |
| Уверенность в угрозе | строка | Уровень уверенности в отношении вредоносного IP согласно данным из нашего канала угрозы безопасности. |
| Описание угрозы | строка | Описание угрозы вредоносного IP в соответствии с нашими аналитическими данными TI. |
| Уровень угрозы | INT | Степень серьезности угрозы от вредоносного IP согласно нашему потоку данных о угрозах (TI) на момент обработки записей. |
| Время генерации | дата и время | Время фиксирования событий по UTC. |
| Тип | строка | Имя таблицы. |