ASimAuditEventLogs
Microsoft Sentinel은 감사 이벤트 테이블을 정규화했습니다. 정보 시스템의 감사 내역과 연결된 이벤트를 저장하고 감사 추적 로그 시스템 구성 활동 및 정책 변경 내용을 저장합니다. 이러한 변경 내용은 시스템 관리자가 수행하는 경우가 많지만 사용자가 자체 애플리케이션의 설정을 구성할 때 수행할 수도 있습니다.
테이블 특성
attribute | 값 |
---|---|
리소스 종류 | microsoft.securityinsights/auditeventnormalized |
범주 | 보안 |
솔루션 | SecurityInsights |
기본 로그 | No |
수집 시간 변환 | Yes |
샘플 쿼리 | - |
열
열 | 형식 | Description |
---|---|---|
ActingAppId | 문자열 | 프로세스, 브라우저 또는 서비스를 포함하여 보고된 활동을 시작한 애플리케이션의 ID입니다. |
ActingAppName | string | 서비스, URL 또는 SaaS 애플리케이션을 포함하여 보고된 활동을 시작한 애플리케이션의 이름입니다. |
ActingAppType | 문자열 | 작업 애플리케이션의 형식입니다. |
ActingOriginalAppType | 문자열 | 보고 디바이스에서 보고한 동작 애플리케이션 유형입니다. |
ActorOriginalUserType | 문자열 | 보고 디바이스에서 보고한 사용자 유형입니다. |
ActorScope | 문자열 | ActorUserId 및 ActorUsername이 정의된 범위(예: Azure AD 테넌트)입니다. |
ActorScopeId | 문자열 | actorUserId 및 ActorUsername이 정의된 Azure AD 테넌트 ID와 같은 scope ID입니다. |
ActorSessionId | 문자열 | 작업자의 로그인 세션에 대한 고유 ID입니다. |
ActorUserAadId | 문자열 | 행위자의 Azure Active Directory ID입니다. |
ActorUserId | 문자열 | 컴퓨터에서 읽을 수 있는 영숫자이며 행위자의 고유한 표현입니다. |
ActorUserIdType | 문자열 | ActorUserId 필드에 저장된 ID의 형식입니다. |
ActorUsername | 문자열 | 사용 가능한 경우 도메인 정보를 포함하여 행위자의 사용자 이름입니다. |
ActorUsernameType | 문자열 | ActionUsername 필드에 지정된 행위자 사용자 이름의 형식입니다. |
ActorUserSid | 문자열 | 행위자의 Windows SID(사용자 ID)입니다. |
ActorUserType | 문자열 | 작업자의 형식입니다. |
AdditionalFields | 동적 | ASim에 매핑되지 않는 원본에서 제공하는 키/값 쌍을 사용하여 표시되는 추가 정보입니다. |
_BilledSize | real | 레코드 크기(바이트) |
DvcAction | 문자열 | 보안 시스템을 보고하는 경우 시스템에서 수행한 작업입니다. |
DvcDescription | 문자열 | 디바이스와 관련된 설명 텍스트입니다. |
DvcDomain | 문자열 | 이벤트를 보고하는 디바이스의 도메인입니다. |
DvcDomainType | 문자열 | DvcDomain 형식입니다. |
DvcFQDN | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 호스트 이름입니다. |
DvcHostname | 문자열 | 이벤트를 보고하는 디바이스의 호스트 이름입니다. |
DvcId | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 ID입니다. |
DvcIdType | 문자열 | DvcId 형식입니다. |
DvcInterface | 문자열 | 데이터가 캡처된 네트워크 인터페이스입니다. |
DvcIpAddr | 문자열 | 이벤트를 보고하는 디바이스의 IP 주소입니다. |
DvcMacAddr | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 MAC 주소입니다. |
DvcOriginalAction | 문자열 | 보고 디바이스에서 제공한 원래 DvcAction입니다. |
DvcOs | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스에서 실행 중인 운영 체제입니다. |
DvcOsVersion | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 디바이스의 운영 체제 버전입니다. |
DvcScope | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. DvcScope는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
DvcScopeId | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. DvcScopeId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
DvcZone | 문자열 | 이벤트가 발생했거나 이벤트를 보고한 네트워크입니다. |
EventCount | int | 레코드에서 설명하는 이벤트 수입니다. |
EventEndTime | Datetime | 이벤트가 종료된 시간(UTC)입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 마지막 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
EventMessage | 문자열 | 일반 메시지 또는 설명입니다. |
EventOriginalResultDetails | 문자열 | 원본에서 제공한 원본 결과 세부 정보입니다. |
EventOriginalSeverity | 문자열 | 보고 디바이스에서 제공한 원래 심각도입니다. |
EventOriginalSubType | string | 원본에서 제공한 경우 원래 이벤트 하위 형식 또는 ID입니다. |
EventOriginalType | string | 원본에서 제공하는 경우 원본 이벤트 유형 또는 ID입니다. |
EventOriginalUid | 문자열 | 원본에서 제공하는 경우 원래 레코드의 고유 ID입니다. |
EventOwner | 문자열 | 이벤트의 소유자이며, 일반적으로 생성된 부서 또는 자회사입니다. |
EventProduct | 문자열 | 이벤트를 생성하는 제품 |
EventProductVersion | 문자열 | 이벤트를 생성하는 제품의 버전 |
EventReportUrl | string | 이벤트에 대한 추가 정보를 제공하는 리소스에 대해 이벤트에 제공된 URL입니다. |
EventResult | 문자열 | 성공, 부분, 실패, NA(해당 없음) 값 중 하나로 표시되는 이벤트의 결과입니다. 값은 원본에서 직접 제공되지 않을 수 있습니다. 이 경우 EventResultDetails 필드와 같은 다른 이벤트 필드에서 파생됩니다. |
EventResultDetails | 문자열 | EventResult 필드에 보고된 결과에 대한 이유 또는 세부 정보. |
EventSchemaVersion | 문자열 | 스키마의 버전입니다. |
EventSeverity | 문자열 | 이벤트의 심각도입니다. 유효한 값은 정보, 낮음, 보통 또는 높음입니다. |
EventStartTime | Datetime | 이벤트가 시작된 시간(UTC)입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 첫 번째 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
EventSubType | 문자열 | EventType 필드에 보고된 작업의 하위 작업에 대해 설명합니다. |
EventType | string | 레코드에서 보고한 작업에 대해 설명합니다. |
EventVendor | string | 이벤트를 생성하는 제품의 공급 업체 |
HttpUserAgent | 문자열 | HTTP 또는 HTTPS를 통해 인증이 수행되는 경우 이 필드의 값은 인증을 수행할 때 작업 애플리케이션에서 제공하는 user_agent HTTP 헤더입니다. |
_IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
NewValue | 문자열 | 작업을 수행한 후 개체의 새 값입니다. |
Object | string | EventType으로 식별된 작업이 수행되는 개체의 이름입니다. |
ObjectId | 문자열 | EventType으로 식별된 작업이 수행되는 개체의 이름입니다. |
ObjectType | string | 개체의 형식입니다. |
OldValue | string | 작업 이전의 Object 값입니다. |
작업 | 문자열 | 보고 디바이스에서 보고한 대로 감사된 작업입니다. |
OriginalObjectType | string | 보고 디바이스에서 보고한 개체 형식입니다. |
_ResourceId | 문자열 | 레코드가 연결된 리소스의 고유 식별자입니다. |
RuleName | string | 검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
RuleNumber | int | 검사 결과와 연결된 규칙의 수입니다. |
SourceSystem | 문자열 | 이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
SrcDescription | 문자열 | 원본 디바이스와 연결된 설명 텍스트입니다. |
SrcDeviceType | string | 원본 디바이스의 형식입니다. |
SrcDomain | 문자열 | 원본 디바이스의 도메인입니다. |
SrcDomainType | 문자열 | SrcDomain 형식입니다. |
SrcDvcId | 문자열 | 원본 디바이스의 ID입니다. |
SrcDvcIdType | 문자열 | SrcDvcId 형식입니다. |
SrcDvcScope | string | 원본 디바이스가 속한 클라우드 플랫폼 scope. SrcDvcScope는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
SrcDvcScopeId | string | 원본 디바이스가 속한 클라우드 플랫폼 scope ID입니다. SrcDvcScopeId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
SrcFQDN | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 원본 디바이스 호스트 이름입니다. |
SrcGeoCity | string | 원본 IP 주소와 연결된 도시입니다. |
SrcGeoCountry | string | 원본 IP 주소와 연결된 국가입니다. |
SrcGeoLatitude | real | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. |
SrcGeoLongitude | real | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. |
SrcGeoRegion | string | 원본 IP 주소와 연결된 국가 내의 지역입니다. |
SrcHostname | 문자열 | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. |
SrcIpAddr | 문자열 | 연결 또는 세션이 시작된 원본 IP 주소입니다. |
SrcOriginalRiskLevel | string | 보고 디바이스에서 보고한 대로 식별된 원본과 연결된 위험 수준입니다. |
SrcPortNumber | int | 연결이 시작된 원본 IP 포트입니다. |
SrcRiskLevel | int | 식별된 원본과 연결된 위험 수준입니다. |
_SubscriptionId | 문자열 | 레코드가 연결된 구독의 고유 식별자입니다. |
TargetAppId | string | 프로세스, 브라우저 또는 서비스를 포함하여 이벤트가 적용되는 애플리케이션의 ID입니다. |
TargetAppName | 문자열 | 서비스, URL 또는 SaaS 애플리케이션을 포함하여 이벤트가 적용되는 애플리케이션의 이름입니다. |
TargetAppType | string | 작업자를 대신하여 권한을 부여하는 애플리케이션의 형식입니다. |
TargetDescription | 문자열 | 대상 디바이스와 연결된 설명 텍스트입니다. |
TargetDeviceType | 문자열 | 대상 디바이스의 이름입니다. |
TargetDomain | 문자열 | 대상 디바이스의 도메인입니다. |
TargetDomainType | 문자열 | TargetDomain 형식입니다. |
TargetDvcId | 문자열 | 대상 디바이스의 ID입니다. |
TargetDvcIdType | 문자열 | TargetDvcId 형식입니다. |
TargetDvcOs | 문자열 | 대상 디바이스의 OS입니다. |
TargetDvcScope | 문자열 | 대상 디바이스가 속한 클라우드 플랫폼 scope. TargetDvcScope는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
TargetDvcScopeId | 문자열 | 클라우드 플랫폼 scope 대상 디바이스가 속한 ID입니다. TargetDvcScopeId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
TargetFQDN | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 대상 디바이스 호스트 이름입니다. |
TargetGeoCity | 문자열 | 대상 IP 주소와 연결된 도시입니다. |
TargetGeoCountry | 문자열 | 대상 IP 주소와 연결된 국가입니다. |
TargetGeoLatitude | real | 대상 IP 주소와 연결된 지리적 좌표의 위도입니다. |
TargetGeoLongitude | real | 대상 IP 주소와 연결된 지리적 좌표의 경도입니다. |
TargetGeoRegion | string | 대상 IP 주소와 연결된 국가 내의 지역입니다. |
TargetHostname | 문자열 | 도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. |
TargetIpAddr | 문자열 | 연결 또는 세션이 시작된 대상 IP 주소입니다. |
TargetOriginalAppType | 문자열 | 보고 디바이스에서 보고한 대상 애플리케이션 유형입니다. |
TargetOriginalRiskLevel | 문자열 | 보고 디바이스에서 보고한 대상과 관련된 위험 수준입니다. |
TargetPortNumber | int | 연결이 시작된 대상 IP 포트입니다. |
TargetRiskLevel | int | 대상과 연결된 위험 수준입니다. |
TargetUrl | 문자열 | 대상 애플리케이션과 연결된 URL입니다. |
TenantId | 문자열 | Log Analytics 작업 영역 ID |
ThreatCategory | 문자열 | 감사 활동에서 식별된 위협 또는 맬웨어의 범주입니다. |
ThreatConfidence | int | 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
ThreatField | 문자열 | 위협이 식별된 필드입니다. |
ThreatFirstReportedTime | Datetime | IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
ThreatId | 문자열 | 감사 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
ThreatIpAddr | 문자열 | 위협이 식별된 IP 주소 또는 도메인입니다. |
ThreatIsActive | bool | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
ThreatLastReportedTime | Datetime | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
ThreatName | 문자열 | 감사 활동에서 식별된 위협 또는 맬웨어의 이름입니다. |
ThreatOriginalConfidence | 문자열 | 보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
ThreatOriginalRiskLevel | 문자열 | 보고 디바이스에서 보고한 위험 수준입니다. |
ThreatRiskLevel | int | 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. |
TimeGenerated | Datetime | 이벤트가 생성된 시간을 반영하는 타임스탬프(UTC)입니다. |
Type | 문자열 | 테이블의 이름입니다. |
ValueType | string | 이전 값과 새 값의 형식입니다. |
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기