Delen via


ASimAuthenticationEventLogs

Tabel met genormaliseerde verificatiegebeurtenissen in Microsoft Sentinel. Hiermee worden gebeurtenissen opgeslagen die zijn gekoppeld aan bijvoorbeeld gebruikersverificatie, aanmelding en afmelding.

Tabelkenmerken

Kenmerk Waarde
Resourcetypen microsoft.securityinsights/authenticationevent
Categorieën Beveiliging
Oplossingen SecurityInsights
Basislogboek No
Opnametijdtransformatie Yes
Voorbeeldquery's -

Kolommen

Kolom Type Description
ActingAppId tekenreeks De id van de toepassing die namens de actor autoriseert, inclusief een proces, browser of service.
ActingAppName tekenreeks De naam van de toepassing die namens de actor autoriseert, inclusief een proces, browser of service.
ActingAppType tekenreeks Het type actieve toepassing.
ActingOriginalAppType tekenreeks Het actieve toepassingstype zoals gerapporteerd door het rapportageapparaat.
ActorOriginalUserType tekenreeks Het gebruikerstype zoals gerapporteerd door het rapportageapparaat.
ActorScope tekenreeks Het bereik, zoals Azure AD tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd.
ActorScopeId tekenreeks De bereik-id, zoals Azure AD tenant-id, waarin ActorUserId en ActorUsername zijn gedefinieerd.
ActorSessionId tekenreeks De unieke id van de aanmeldingssessie van de Actor.
ActorUserId tekenreeks Een machineleesbare, alfanumerieke, unieke weergave van de actor.
ActorUserIdType tekenreeks Het type id dat is opgeslagen in het veld ActorUserId.
ActorUsername tekenreeks De gebruikersnaam van de actor, inclusief domeingegevens indien beschikbaar.
ActorUsernameType tekenreeks Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername.
ActorUserType tekenreeks Het type actor.
AdditionalFields dynamisch Aanvullende informatie, weergegeven met behulp van sleutel-waardeparen die door de bron worden verstrekt en die niet aan ASim zijn toegewezen.
_BilledSize werkelijk De recordgrootte in bytes
DvcAction tekenreeks Voor rapportagebeveiligingssystemen, de actie die door het systeem wordt uitgevoerd.
DvcDescription tekenreeks Een beschrijvende tekst die is gekoppeld aan het apparaat.
DvcDomain tekenreeks Het domein van het apparaat dat de gebeurtenis rapporteert.
DvcDomainType tekenreeks Het type DvcDomain.
DvcFQDN tekenreeks De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcHostname tekenreeks De hostnaam van het apparaat dat de gebeurtenis rapporteert.
DvcId tekenreeks De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcIdType tekenreeks Het type DvcId.
DvcInterface tekenreeks De netwerkinterface waarop gegevens zijn vastgelegd.
DvcIpAddr tekenreeks Het IP-adres van het apparaat dat de gebeurtenis rapporteert.
DvcMacAddr tekenreeks Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcOriginalAction tekenreeks De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat.
DvcO's tekenreeks Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcOsVersion tekenreeks De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd.
DvcScope tekenreeks Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
DvcScopeId tekenreeks De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
DvcZone tekenreeks Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
EventCount int Het aantal gebeurtenissen dat door de record wordt beschreven.
EventEndTime datum/tijd De tijd waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt.
EventMessage tekenreeks Een algemeen bericht of beschrijving.
EventOriginalResultDetails tekenreeks De oorspronkelijke resultaatdetails die door de bron zijn opgegeven.
EventOriginalSeverity tekenreeks De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat.
EventOriginalSubType tekenreeks Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron.
EventOriginalType tekenreeks Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron.
EventOriginalUid tekenreeks Een unieke id van de oorspronkelijke record, indien opgegeven door de bron.
EventOwner tekenreeks De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd.
EventProduct tekenreeks Het product dat de gebeurtenis genereert.
EventProductVersion tekenreeks De versie van het product dat de gebeurtenis genereert.
EventReportUrl tekenreeks Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt.
EventResult tekenreeks Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Fout, NB (Niet van toepassing). De waarde wordt mogelijk niet rechtstreeks door de bronnen opgegeven. In dat geval is deze afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails.
EventResultDetails tekenreeks De details die zijn gekoppeld aan het gebeurtenisresultaat. Dit veld wordt meestal ingevuld wanneer het resultaat een fout is.
EventSchemaVersion tekenreeks De versie van het schema.
EventSeverity tekenreeks De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog.
EventStartTime datum/tijd De tijd waarin de gebeurtenis is begonnen. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt.
EventSubType tekenreeks Het aanmeldingstype, bijvoorbeeld Systeem, Interactive, RemoteInteractive, Service, RemoteService, Remote of AssumeRole.
EventType tekenreeks Beschrijft de bewerking die door de record wordt gerapporteerd
EventVendor tekenreeks De leverancier van het product dat de gebeurtenis genereert.
HttpUserAgent tekenreeks Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die door de actieve toepassing wordt geleverd bij het uitvoeren van de verificatie.
_IsBillable tekenreeks Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable opname niet wordt false gefactureerd voor uw Azure-account
LogonMethod tekenreeks De methode die wordt gebruikt om verificatie uit te voeren.
LogonProtocol tekenreeks Het protocol dat wordt gebruikt om verificatie uit te voeren.
_Resourceid tekenreeks Een unieke id voor de resource waaraan de record is gekoppeld
RuleName tekenreeks De naam of id van de regel die is gekoppeld aan de controleresultaten.
Regelnummer int Het nummer van de regel die is gekoppeld aan de controleresultaten.
SourceSystem tekenreeks Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics
SrcDescription tekenreeks Een beschrijvende tekst die is gekoppeld aan het bronapparaat.
SrcDeviceType tekenreeks Het type van het bronapparaat.
SrcDomain tekenreeks Het domein van het bronapparaat.
SrcDomainType tekenreeks Het type SrcDomain.
SrcDvcId tekenreeks De id van het bronapparaat.
SrcDvcIdType tekenreeks Het type SrcDvcId.
SrcDvcOs tekenreeks Het besturingssysteem van het bronapparaat.
SrcDvcScope tekenreeks Het cloudplatformbereik waartoe het bronapparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
SrcDvcScopeId tekenreeks De bereik-id van het cloudplatform waartoe het bronapparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
SrcFQDN tekenreeks De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar.
SrcGeoCity tekenreeks De plaats die is gekoppeld aan het bron-IP-adres.
SrcGeoCountry tekenreeks Het land dat is gekoppeld aan het bron-IP-adres.
SrcGeoLatitude werkelijk De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres.
SrcGeoLongitude werkelijk De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres.
SrcGeoRegion tekenreeks De regio binnen een land dat is gekoppeld aan het bron-IP-adres.
SrcHostname tekenreeks De hostnaam van het bronapparaat, met uitzondering van domeingegevens.
SrcIpAddr tekenreeks Het IP-adres van het bronapparaat.
SrcIsp tekenreeks De internetprovider (ISP) die door het bronapparaat wordt gebruikt om verbinding te maken met internet.
SrcOriginalRiskLevel tekenreeks Het risiconiveau dat is gekoppeld aan de geïdentificeerde bron zoals gerapporteerd door het rapportageapparaat.
SrcPortNumber int De IP-poort waaruit de verbinding afkomstig is.
SrcRiskLevel int Het risiconiveau dat is gekoppeld aan de geïdentificeerde bron.
_SubscriptionId tekenreeks Een unieke id voor het abonnement waaraan de record is gekoppeld
TargetAppId tekenreeks De id van de toepassing waaraan de autorisatie is vereist, vaak toegewezen door het rapportageapparaat.
TargetAppName tekenreeks De naam van de toepassing waarvoor de autorisatie is vereist, inclusief een service, een URL of een SaaS-toepassing.
TargetAppType tekenreeks Het type toepassing dat namens de actor autoriseert.
TargetDescription tekenreeks Een beschrijvende tekst die is gekoppeld aan het doelapparaat.
TargetDeviceType tekenreeks Het type van het doelapparaat.
TargetDomain tekenreeks Het domein van het doelapparaat.
TargetDomainType tekenreeks Het type TargetDomain.
TargetDvcId tekenreeks De id van het doelapparaat.
TargetDvcIdType tekenreeks Het type TargetDvcId.
TargetDvcOs tekenreeks Het besturingssysteem van het doelapparaat.
TargetDvcScope tekenreeks Het cloudplatformbereik waartoe het doelapparaat behoort. TargetDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
TargetDvcScopeId tekenreeks De bereik-id van het cloudplatform waartoe het doelapparaat behoort. TargetDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
TargetFQDN tekenreeks De hostnaam van het doelapparaat, inclusief domeingegevens indien beschikbaar.
TargetGeoCity tekenreeks De plaats die is gekoppeld aan het doel-IP-adres.
TargetGeoCountry tekenreeks Het land dat is gekoppeld aan het doel-IP-adres.
TargetGeoLatitude werkelijk De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres.
TargetGeoLongitude werkelijk De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres.
TargetGeoRegion tekenreeks De regio binnen een land dat is gekoppeld aan het doel-IP-adres.
TargetHostname tekenreeks De hostnaam van het doelapparaat, met uitzondering van domeingegevens.
TargetIpAddr tekenreeks Het IP-adres van het doelapparaat.
TargetOriginalAppType tekenreeks Het type doeltoepassing zoals gerapporteerd door het rapportageapparaat.
TargetOriginalRiskLevel tekenreeks Het risiconiveau dat is gekoppeld aan het doel, zoals gerapporteerd door het rapportageapparaat.
TargetOriginalUserType tekenreeks Het gebruikerstype zoals gerapporteerd door het rapportageapparaat.
TargetPortNumber int De poort van het doelapparaat.
TargetRiskLevel int Het risiconiveau dat aan het doel is gekoppeld.
TargetSessionId tekenreeks De unieke id van de aanmeldingssessie van de doelacteur.
TargetUrl tekenreeks Een URL die is gekoppeld aan de doeltoepassing.
TargetUserId tekenreeks Een machineleesbare, alfanumerieke, unieke weergave van de actor.
TargetUserIdType tekenreeks Het type id dat is opgeslagen in het veld TargetUserId.
TargetUsername tekenreeks De gebruikersnaam van de doelacteur, inclusief domeingegevens indien beschikbaar.
TargetUsernameType tekenreeks Het type gebruikersnaam van de doelacteur dat is opgegeven in het veld TargetUsername
TargetUserScope tekenreeks Het bereik, zoals Azure AD tenant, waarin TargetUserId en TargetUsername zijn gedefinieerd.
TargetUserScopeId tekenreeks De bereik-id, zoals Azure AD tenant-id, waarin TargetUserId en TargetUsername zijn gedefinieerd.
TargetUserType tekenreeks Het type doelacteur.
TenantId tekenreeks De id van de Log Analytics-werkruimte
ThreatCategory tekenreeks De categorie van de bedreiging of malware die is geïdentificeerd in de controleactiviteit.
ThreatConfidence int Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en een 100.
ThreatField tekenreeks Het veld waarvoor een bedreiging is geïdentificeerd.
ThreatFirstReportedTime datum/tijd De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging.
ThreatId tekenreeks De id van de bedreiging of malware die is geïdentificeerd in de controleactiviteit.
ThreatIpAddr tekenreeks Een IP-adres waarvoor een bedreiging is geïdentificeerd.
ThreatIsActive booleaans True als de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging.
ThreatLastReportedTime datum/tijd De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.
ThreatName tekenreeks De naam van de bedreiging of malware die in de controleactiviteit is geïdentificeerd.
ThreatOriginalConfidence tekenreeks Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat.
ThreatOriginalRiskLevel tekenreeks Het risiconiveau zoals gerapporteerd door het rapportageapparaat.
ThreatRiskLevel int Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn.
TimeGenerated datum/tijd De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd.
Type tekenreeks De naam van de tabel