ASimAuditEventLogs
Tabel met genormaliseerde controlegebeurtenissen in Microsoft Sentinel. Slaat gebeurtenissen op die zijn gekoppeld aan de audittrail van informatiesystemen en audittraillogboeken van systeemconfiguratieactiviteiten en beleidswijzigingen. Dergelijke wijzigingen worden vaak uitgevoerd door systeembeheerders, maar kunnen ook door gebruikers worden uitgevoerd bij het configureren van de instellingen van hun eigen toepassingen.
Tabelkenmerken
| Kenmerk | Waarde |
|---|---|
| Resourcetypen | microsoft.securityinsights/auditeventnormalized |
| Categorieën | Beveiliging |
| Oplossingen | SecurityInsights |
| Basislogboek | No |
| Opnametijdtransformatie | Yes |
| Voorbeeldquery's | - |
Kolommen
| Kolom | Type | Description |
|---|---|---|
| ActingAppId | tekenreeks | De id van de toepassing die de gerapporteerde activiteit heeft geïnitieerd, inclusief een proces, browser of service. |
| ActingAppName | tekenreeks | De naam van de toepassing die de gerapporteerde activiteit heeft geïnitieerd, inclusief een service, een URL of een SaaS-toepassing. |
| ActingAppType | tekenreeks | Het type actieve toepassing. |
| ActingOriginalAppType | tekenreeks | Het actieve toepassingstype zoals gerapporteerd door het rapportageapparaat. |
| ActorOriginalUserType | tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| ActorScope | tekenreeks | Het bereik, zoals Azure AD tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. |
| ActorScopeId | tekenreeks | De bereik-id, zoals Azure AD tenant-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. |
| ActorSessionId | tekenreeks | De unieke id van de aanmeldingssessie van de Actor. |
| ActorUserAadId | tekenreeks | De Azure Active Directory-id van de actor. |
| ActorUserId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de actor. |
| ActorUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld ActorUserId. |
| ActorUsername | tekenreeks | De gebruikersnaam van de actor, inclusief domeingegevens indien beschikbaar. |
| ActorUsernameType | tekenreeks | Het type gebruikersnaam van de actor dat is opgegeven in het veld ActionUsername |
| ActorUserSid | tekenreeks | De Windows-gebruikers-id (SID's) van de actor. |
| ActorUserType | tekenreeks | Het type actor. |
| AdditionalFields | dynamisch | Aanvullende informatie, weergegeven met behulp van sleutel-waardeparen die door de bron worden verstrekt en die niet aan ASim zijn toegewezen. |
| _BilledSize | werkelijk | De recordgrootte in bytes |
| DvcAction | tekenreeks | Voor rapportagebeveiligingssystemen, de actie die door het systeem wordt uitgevoerd. |
| DvcDescription | tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. |
| DvcDomain | tekenreeks | Het domein van het apparaat dat de gebeurtenis rapporteert. |
| DvcDomainType | tekenreeks | Het type DvcDomain. |
| DvcFQDN | tekenreeks | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcHostname | tekenreeks | De hostnaam van het apparaat dat de gebeurtenis rapporteert. |
| DvcId | tekenreeks | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcIdType | tekenreeks | Het type DvcId. |
| DvcInterface | tekenreeks | De netwerkinterface waarop gegevens zijn vastgelegd. |
| DvcIpAddr | tekenreeks | Het IP-adres van het apparaat dat de gebeurtenis rapporteert. |
| DvcMacAddr | tekenreeks | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcOriginalAction | tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
| DvcO's | tekenreeks | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcOsVersion | tekenreeks | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. |
| DvcScope | tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| DvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| DvcZone | tekenreeks | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| EventCount | int | Het aantal gebeurtenissen dat door de record wordt beschreven. |
| EventEndTime | datum/tijd | De tijd (UTC) waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
| EventMessage | tekenreeks | Een algemeen bericht of beschrijving. |
| EventOriginalResultDetails | tekenreeks | De oorspronkelijke resultaatdetails die door de bron zijn opgegeven. |
| EventOriginalSeverity | tekenreeks | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. |
| EventOriginalSubType | tekenreeks | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron. |
| EventOriginalType | tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. |
| EventOriginalUid | tekenreeks | Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. |
| EventOwner | tekenreeks | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
| EventProduct | tekenreeks | Het product dat de gebeurtenis genereert. |
| EventProductVersion | tekenreeks | De versie van het product dat de gebeurtenis genereert. |
| EventReportUrl | tekenreeks | Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
| EventResult | tekenreeks | Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Mislukt, NB (Niet van toepassing). De waarde kan niet rechtstreeks door de bronnen worden opgegeven. In dat geval is deze afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails. |
| EventResultDetails | tekenreeks | Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult. |
| EventSchemaVersion | tekenreeks | De versie van het schema. |
| EventSeverity | tekenreeks | De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog. |
| EventStartTime | datum/tijd | De tijd (UTC) waarin de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
| EventSubType | tekenreeks | Beschrijft een onderverdeling van de bewerking die is gerapporteerd in het veld EventType. |
| EventType | tekenreeks | Beschrijft de bewerking die door de record wordt gerapporteerd |
| EventVendor | tekenreeks | De leverancier van het product dat de gebeurtenis genereert. |
| HttpUserAgent | tekenreeks | Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die door de actieve toepassing wordt geleverd bij het uitvoeren van de verificatie. |
| _IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable opname niet wordt false gefactureerd voor uw Azure-account |
| NewValue | tekenreeks | De nieuwe waarde van Object nadat de bewerking is uitgevoerd. |
| Object | tekenreeks | De naam van het object waarop de bewerking wordt uitgevoerd die wordt geïdentificeerd door EventType. |
| ObjectId | tekenreeks | De naam van het object waarop de bewerking wordt uitgevoerd die wordt geïdentificeerd door EventType. |
| ObjectType | tekenreeks | Het type Object. |
| Oldvalue | tekenreeks | De oude waarde van Object vóór de bewerking. |
| Bewerking | tekenreeks | De gecontroleerde bewerking zoals gerapporteerd door het rapportageapparaat. |
| OriginalObjectType | tekenreeks | Het objecttype zoals gerapporteerd door het rapportageapparaat. |
| _Resourceid | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
| RuleName | tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RuleNumber | int | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| SourceSystem | tekenreeks | Het type agent waarvan de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| SrcDescription | tekenreeks | Een beschrijvende tekst die is gekoppeld aan het bronapparaat. |
| SrcDeviceType | tekenreeks | Het type van het bronapparaat. |
| SrcDomain | tekenreeks | Het domein van het bronapparaat. |
| SrcDomainType | tekenreeks | Het type SrcDomain. |
| SrcDvcId | tekenreeks | De id van het bronapparaat. |
| SrcDvcIdType | tekenreeks | Het type SrcDvcId. |
| SrcDvcScope | tekenreeks | Het cloudplatformbereik waartoe het bronapparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcDvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het bronapparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcFQDN | tekenreeks | De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. |
| SrcGeoCity | tekenreeks | De plaats die is gekoppeld aan het bron-IP-adres. |
| SrcGeoCountry | tekenreeks | Het land dat is gekoppeld aan het bron-IP-adres. |
| SrcGeoLatitude | werkelijk | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
| SrcGeoLongitude | werkelijk | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
| SrcGeoRegion | tekenreeks | De regio binnen een land dat is gekoppeld aan het bron-IP-adres. |
| SrcHostname | tekenreeks | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. |
| SrcIpAddr | tekenreeks | Het IP-adres van de bron waaruit de verbinding of sessie afkomstig is. |
| SrcOriginalRiskLevel | tekenreeks | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bron zoals gerapporteerd door het rapportageapparaat. |
| SrcPortNumber | int | De bron-IP-poort waaruit de verbinding afkomstig is. |
| SrcRiskLevel | int | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bron. |
| _SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
| TargetAppId | tekenreeks | De id van de toepassing waarop de gebeurtenis van toepassing is, inclusief een proces, browser of service. |
| TargetAppName | tekenreeks | De naam van de toepassing waarop de gebeurtenis van toepassing is, inclusief een service, een URL of een SaaS-toepassing. |
| TargetAppType | tekenreeks | Het type toepassing dat namens de actor autoriseert. |
| TargetDescription | tekenreeks | Een beschrijvende tekst die is gekoppeld aan het doelapparaat. |
| TargetDeviceType | tekenreeks | Het type van het doelapparaat. |
| TargetDomain | tekenreeks | Het domein van het doelapparaat. |
| TargetDomainType | tekenreeks | Het type TargetDomain. |
| TargetDvcId | tekenreeks | De id van het doelapparaat. |
| TargetDvcIdType | tekenreeks | Het type TargetDvcId. |
| TargetDvcO's | tekenreeks | Het besturingssysteem van het doelapparaat. |
| TargetDvcScope | tekenreeks | Het cloudplatformbereik waartoe het doelapparaat behoort. TargetDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| TargetDvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het doelapparaat behoort. TargetDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| TargetFQDN | tekenreeks | De hostnaam van het doelapparaat, inclusief domeingegevens, indien beschikbaar. |
| TargetGeoCity | tekenreeks | De plaats die is gekoppeld aan het doel-IP-adres. |
| TargetGeoCountry | tekenreeks | Het land dat is gekoppeld aan het doel-IP-adres. |
| TargetGeoLatitude | werkelijk | De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. |
| TargetGeoLongitude | werkelijk | De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. |
| TargetGeoRegion | tekenreeks | De regio binnen een land dat is gekoppeld aan het doel-IP-adres. |
| TargetHostname | tekenreeks | De hostnaam van het doelapparaat, met uitzondering van domeingegevens. |
| TargetIpAddr | tekenreeks | Het doel-IP-adres waaruit de verbinding of sessie afkomstig is. |
| TargetOriginalAppType | tekenreeks | Het type doeltoepassing zoals gerapporteerd door het rapportageapparaat. |
| TargetOriginalRiskLevel | tekenreeks | Het risiconiveau dat is gekoppeld aan het doel, zoals gerapporteerd door het rapportageapparaat. |
| TargetPortNumber | int | De doel-IP-poort waaruit de verbinding afkomstig is. |
| TargetRiskLevel | int | Het risiconiveau dat is gekoppeld aan het doel. |
| TargetUrl | tekenreeks | Een URL die is gekoppeld aan de doeltoepassing. |
| TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
| ThreatCategory | tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatConfidence | int | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| Bedreigingsveld | tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. |
| ThreatFirstReportedTime | datum/tijd | De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging. |
| ThreatId | tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatIpAddr | tekenreeks | Een IP-adres of domein waarvoor een bedreiging is geïdentificeerd. |
| ThreatIsActive | booleaans | True als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatLastReportedTime | datum/tijd | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatName | tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| ThreatOriginalConfidence | tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatOriginalRiskLevel | tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatRiskLevel | int | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. |
| TimeGenerated | datum/tijd | De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd. |
| Type | tekenreeks | De naam van de tabel |
| ValueType | tekenreeks | Het type van de oude en nieuwe waarden. |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor