CommonSecurityLog
Эта таблица предназначена для сбора событий в формате common Event, которые чаще всего отправляются из различных устройств безопасности, таких как Check Point, Palo Alto и многое другое.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Категории | Безопасность |
| Решения | Безопасность, SecurityInsights |
| Базовый журнал | No |
| Преобразование ingestion-time | Да |
| Примеры запросов | Да |
Столбцы
| Column | Type | Описание |
|---|---|---|
| Вид занятий | строка | Строка, представляющая понятное описание события. |
| Дополнительные элементыExtensions | строка | Заполнитель для дополнительных полей. Поля регистрируются в виде пар "ключ-значение". |
| ApplicationProtocol | строка | Протокол, используемый в приложении, например HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAP и т. д. |
| _BilledSize | real | Размер записи в байтах |
| CollectorHostName | строка | Имя узла компьютера сборщика, на котором запущен агент. |
| CommunicationDirection | строка | Любые сведения о направлении наблюдаемого обмена данными. Допустимые значения: 0 = входящий трафик, 1 = исходящий трафик. |
| Компьютер | строка | Узел из системного журнала. |
| DestinationDnsDomain | строка | DNS-часть полного доменного имени (FQDN). |
| DestinationHostName | строка | Назначение, к которому обращается событие в IP-сети. Формат должен представлять собой полное доменное имя, связанное с узлом назначения, если узел доступен. Например, host.domain.com или узел. |
| DestinationIP | строка | Адрес IPv4 назначения, к которому обращается событие в IP-сети. |
| DestinationMACAddress | строка | Целевой MAC-адрес (полное доменное имя). |
| DestinationNTDomain | строка | Доменное имя Windows для адреса назначения. |
| Порт назначения | INT | Порт назначения. Допустимые значения: 0 – 65535. |
| DestinationProcessId | INT | Идентификатор процесса назначения, связанного с событием. |
| DestinationProcessName | строка | Имя целевого процесса события, например telnetd или sshd. |
| DestinationServiceName | строка | Целевая служба для события. Например: sshd. |
| DestinationTranslatedAddress | строка | Определяет преобразованное назначение, к которому обращается событие в IP-сети, как IP-адрес IPv4. |
| DestinationTranslatedPort | INT | Порт после перевода, например допустимые номера портов брандмауэра: 0 – 65535. |
| DestinationUserID | строка | Определяет пользователя назначения по идентификатору. Например, в Unix корневой пользователь обычно связан с идентификатором пользователя 0. |
| DestinationUserName | строка | Определяет пользователя назначения по имени. |
| DestinationUserPrivileges | строка | Определяет разрешения пользователя назначения. Допустимые значения: Admninistrator, User, Guest. |
| DeviceAction | строка | Действие, указанное в событии. |
| DeviceAddress | строка | Адрес IPv4 устройства, создающего событие. |
| DeviceCustomDate1 | строка | Один из двух полей метки времени, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| DeviceCustomDate1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomDate2 | строка | Один из двух полей метки времени, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| DeviceCustomDate2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomFloatingPoint1 | real | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| DeviceCustomFloatingPoint1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomFloatingPoint2 | real | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| DeviceCustomFloatingPoint2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomFloatingPoint3 | real | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| DeviceCustomFloatingPoint3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomFloatingPoint4 | real | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| DeviceCustomFloatingPoint4Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address1 | строка | Один из четырех полей адресов IPv6, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| DeviceCustomIPv6Address1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address2 | строка | Один из четырех полей адресов IPv6, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| DeviceCustomIPv6Address2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address3 | строка | Один из четырех полей адресов IPv6, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| DeviceCustomIPv6Address3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address4 | строка | Один из четырех полей адресов IPv6, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| DeviceCustomIPv6Address4Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomNumber1 | INT | Скоро будет нерекомендуемое поле. Будет заменено FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomNumber2 | INT | Скоро будет нерекомендуемое поле. Будет заменено FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomNumber3 | INT | Скоро будет нерекомендуемое поле. Будет заменен FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString1 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| DeviceCustomString1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString2 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| DeviceCustomString2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString3 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| DeviceCustomString3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString4 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| DeviceCustomString4Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString5 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| DeviceCustomString5Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString6 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| DeviceCustomString6Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceDnsDomain | строка | Домен DNS части полного доменного имени (FQDN). |
| DeviceEventCategory | строка | Представляет категорию, назначенную источником устройства. Устройства часто используют собственную схему классификации для классификации событий. Пример: '/Monitor/Disk/Read'. |
| DeviceEventClassID | строка | Строка или целое число, служащие уникальным идентификатором для каждого типа событий. |
| DeviceExternalID | строка | Имя, которое однозначно идентифицирует устройство, создающее событие. |
| DeviceFacility | строка | Оборудование, создающее событие. Например: проверка подлинности или local1. |
| DeviceInboundInterface | строка | Интерфейс, по которому пакет или данные поступили на устройство. Например, ethernet1/2. |
| DeviceMacAddress | строка | MAC-адрес устройства, создающего событие. |
| DeviceName | строка | Полное доменное имя, связанное с узлом устройства, если узел доступен. Например, host.domain.com или узел. |
| DeviceNtDomain | строка | Домен Windows адреса устройства. |
| DeviceOutboundInterface | строка | Интерфейс, по которому пакет или данные покинули устройство. |
| DevicePayloadId | строка | Уникальный идентификатор полезной нагрузки, связанной с событием. |
| DeviceProduct | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| DeviceTimeZone | строка | Часовой пояс устройства, создающего событие. |
| DeviceTranslatedAddress | строка | Определяет преобразованный адрес устройства, к которому обращается событие, в IP-сети. Формат — адрес IPv4. |
| DeviceVendor | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| DeviceVersion | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| EndTime | datetime | Время окончания действия, связанного с событием. |
| EventCount | INT | Связанное с событием число, которое показывает, сколько раз наблюдалось одно и то же событие. |
| EventOutcome | строка | Отображает результат, как правило, как "успешно" или "сбой". |
| EventType | INT | Тип события. Значения включают: 0: базовое событие, 1: агрегированное, 2: событие корреляции, 3: событие действия. Примечание. Для базовых событий это событие можно опустить. |
| ExternalID | INT | Скоро будет нерекомендуемое поле. Будет заменен extID. |
| ExtID | строка | Идентификатор, используемый источником устройства (заменит устаревший ExternalID). Как правило, эти значения имеют возрастающие значения, каждое из которых связано с событием. |
| FieldDeviceCustomNumber1 | длинный | Одно из трех полей, доступных для сопоставления полей, которые не применяются к другим в этом словаре (заменит устаревшие поля DeviceCustomNumber1). Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| FieldDeviceCustomNumber2 | длинный | Одно из трех полей, доступных для сопоставления полей, которые не применяются к другим в этом словаре (заменит устаревшие поля DeviceCustomNumber2). Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| FieldDeviceCustomNumber3 | длинный | Одно из трех полей, доступных для сопоставления полей, которые не применяются к другим в этом словаре (заменит устаревший DeviceCustomNumber3). Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. |
| FileCreateTime | строка | Время создания файла. |
| FileHash | строка | Хеш-код файла. |
| FileID | строка | Идентификатор, связанный с файлом, например inode. |
| FileModificationTime | строка | Время последнего изменения файла. |
| FileName | строка | Имя файла без пути. |
| FilePath | строка | Полный путь к файлу, включая имя файла. Например: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip. |
| FilePermission | строка | Разрешения файла. Например: "2,1,1". |
| FileSize | INT | Размер файла в байтах. |
| FileType | строка | Тип файла, например канал, сокет и т. д. |
| FlexDate1 | строка | Поле метки времени, доступное для сопоставления метки времени, которая не применяется к другому определенному полю метки времени в этом словаре. Используйте все гибкие поля и ищите более конкретное, словарное поле, предоставленное по возможности. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| FlexDate1Label | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| FlexNumber1 | INT | Числовые поля, доступные для сопоставления данных Int, которые не применяются к другому полю в этом словаре. |
| FlexNumber1Label | строка | Метка, описывающая значение в FlexNumber1 |
| FlexNumber2 | INT | Числовые поля, доступные для сопоставления данных Int, которые не применяются к другому полю в этом словаре. |
| FlexNumber2Label | строка | Метка, описывающая значение в FlexNumber2 |
| FlexString1 | строка | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| FlexString1Label | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| FlexString2 | строка | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте смешно и ищите более конкретное поле, предоставленное словарем, когда это возможно. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| FlexString2Label | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| IndicatorThreatType | строка | Тип угрозы вредоносногоIP в соответствии с нашим веб-каналом TI. |
| _IsBillable | строка | Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| LogSeverity | строка | Строка или целое число, описывающие важность события. Допустимые строковые значения: Unknown, Low, Medium, High, Very-High integer: 0-3 = Low, 4-6 = Medium, 7-8 = High, 9-10 = Очень Высокий. |
| MaliciousIP | строка | Если один из IP-адресов в сообщении был сопоставлен с текущим веб-каналом TI, он будет отображаться здесь. |
| MaliciousIPCountry | строка | Страна вредоносного IP-адреса в соответствии с данными GEO во время приема записей. |
| MaliciousIPLatitude | real | Широта вредоносногоIP в соответствии с данными GEO во время приема записей. |
| MaliciousIPLongitude | real | Долгота вредоносного IP-адреса в соответствии с данными GEO во время приема записи. |
| Message | строка | Сообщение, содержащее дополнительные сведения о событии. |
| OldFileCreateTime | строка | Время создания старого файла. |
| OldFileHash | строка | Хеш-код старого файла. |
| OldFileID | строка | Идентификатор, связанный со старым файлом, например inode. |
| OldFileModificationTime | строка | Время последнего изменения старого файла. |
| OldFileName | строка | Имя старого файла. |
| OldFilePath | строка | Полный путь к старому файлу, включая имя файла. Например: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip. |
| OldFilePermission | строка | Разрешения старого файла. Например: "2,1,1". |
| OldFileSize | INT | Размер старого файла в байтах. |
| OldFileType | строка | Тип старого файла, например канал, сокет и т. д. |
| OriginalLogSeverity | строка | Не сопоставленная версия LogSeverity. Например: предупреждение/критическое/информационное значение вместо нормилизированного низкого/среднего/высокого уровня в поле LogSeverity |
| ProcessID | INT | Определяет идентификатор процесса на устройстве, создающем событие. |
| Имя процесса | строка | Имя процесса, связанного с событием. Например, в UNIX процесс, создающий запись системного журнала. |
| Протокол | строка | Транспортный протокол, определяющий используемый протокол уровня 4. Возможные значения включают имена протоколов, такие как TCP или UDP. |
| Причина | строка | Причина, по которой было создано событие аудита. Например, "недопустимый пароль" или "неизвестный пользователь". Это также может быть ошибка или код возврата. Пример: "0x1234". |
| ReceiptTime | строка | Время получения действия, связанного с событием. Отличается от поля "Timegenerated", которое происходит при получении события на компьютере сборщика журналов. |
| ReceivedBytes | длинный | Общее число байтов, переданных во входящем трафике. |
| RemoteIP | строка | Удаленный IP-адрес, производный от значения направления события, если это возможно. |
| RemotePort | строка | Удаленный порт, производный от значения направления события, если это возможно. |
| ReportReferenceLink | строка | Ссылка на отчет веб-канала TI. |
| RequestClientApplication | строка | Агент пользователя, связанный с запросом. |
| RequestContext | строка | Описывает содержимое, от которого поступил запрос, например источник ссылки HTTP. |
| RequestCookies | строка | Файлы cookie, связанные с запросом. |
| requestMethod | строка | Метод, используемый для доступа к URL-адресу. Допустимые значения включают такие методы, как POST, GET и т. д. |
| RequestURL | строка | URL-адрес, к которому обращается HTTP-запрос, включая протокол. Например: http://www/secure.com. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| SentBytes | длинный | Общее число байтов, переданных в исходящем трафике. |
| SimplifiedDeviceAction | строка | Сопоставленная версия DeviceAction, например отказано в отклонении > . |
| SourceDnsDomain | строка | Содержащая домен DNS часть полного доменного имени. |
| SourceHostName | строка | Определяет источник, к которому обращается событие, в IP-сети. Формат должен представлять собой полное доменное имя (FQDN), связанное с исходным узлом, если узел доступен. Например, узел или host.domain.com. |
| SourceIP | строка | Источник, к которому обращается событие в IP-сети, как адрес IPv4. |
| SourceMACAddress | строка | MAC-адрес источника. |
| SourceNTDomain | строка | Доменное имя Windows для адреса источника. |
| SourcePort | INT | Номер исходного порта. Допустимые номера портов : 0 – 65535. |
| SourceProcessId | INT | Идентификатор исходного процесса, связанного с событием. |
| SourceProcessName | строка | Имя исходного процесса события. |
| SourceServiceName | строка | Служба, отвечающая за создание события. |
| SourceSystem | строка | Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SourceTranslatedAddress | строка | Определяет преобразованный источник, к которому обращается событие, в IP-сети. |
| SourceTranslatedPort | INT | Исходный порт после преобразования, например брандмауэр. Допустимые номера портов : 0 – 65535. |
| SourceUserID | строка | Определяет исходного пользователя по идентификатору. |
| SourceUserName | строка | Определяет исходного пользователя по имени. Адреса электронной почты также сопоставляются с полями UserName. Отправитель является кандидатом, который будет помещен в это поле. |
| SourceUserPrivileges | строка | Привилегии исходного пользователя. Допустимые значения: администратор, пользователь, гость. |
| Время начала | datetime | Время начала действия, к которому обращается событие. |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatConfidence | строка | Угроза достоверности вредоносногоIP в соответствии с нашим каналом TI. |
| ThreatDescription | строка | Описание угрозы вредоносногоIP в соответствии с нашим веб-каналом TI. |
| ThreatSeverity | INT | Серьезность угрозы вредоносногоIP в соответствии с нашим каналом TI во время приема записей. |
| TimeGenerated | datetime | Время сбора событий в формате UTC. |
| Тип | строка | Имя таблицы. |