ASimFileEventLogs
Het schema voor het normaliseren van ASIM-bestandsevenementen (Advanced Security Information Model) beschrijft bestandsactiviteit, zoals het maken, wijzigen of verwijderen van bestanden of documenten.
Tabelkenmerken
Kenmerk | Waarde |
---|---|
Resourcetypen | microsoft.securityinsights/asimtables |
Categorieën | Beveiliging |
Oplossingen | SecurityInsights |
Basislogboek | No |
Opnametijdtransformatie | Yes |
Voorbeeldquery's | - |
Kolommen
Kolom | Type | Description |
---|---|---|
ActingProcessCommandLine | tekenreeks | De opdrachtregel die wordt gebruikt om het acteerproces uit te voeren. |
ActingProcessGuid | tekenreeks | Een gegenereerde unieke id (GUID) van het acterende proces. |
ActingProcessId | tekenreeks | De proces-id (PID) van het acterende proces. |
ActingProcessName | tekenreeks | De naam van het acteerproces. |
ActorOriginalUserType | tekenreeks | Het oorspronkelijke actorgebruikerstype zoals opgegeven door het rapportageapparaat. |
ActorScope | tekenreeks | Het bereik, zoals Azure AD tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. |
ActorScopeId | tekenreeks | De bereik-id, zoals Azure AD Directory-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. |
ActorSessionId | tekenreeks | De unieke id van de aanmeldingssessie van de Actor. |
ActorUserAadId | tekenreeks | De Azure Active Directory-id van de actor. |
ActorUserId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de actor. |
ActorUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld ActorUserId. |
ActorUsername | tekenreeks | De gebruikersnaam van de actor, inclusief domeingegevens indien beschikbaar. |
ActorUsernameType | tekenreeks | Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername. |
ActorUserSid | tekenreeks | De Windows-gebruikers-id (SID's) van de actor. |
ActorUserType | tekenreeks | Het type actor. |
AdditionalFields | dynamisch | Aanvullende informatie, weergegeven met behulp van sleutel-waardeparen die door de bron worden verstrekt en die niet aan ASim zijn toegewezen. |
_BilledSize | werkelijk | De recordgrootte in bytes |
DvcAction | tekenreeks | De actie die is uitgevoerd op de websessie. |
DvcDescription | tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. |
DvcDomain | tekenreeks | Het domein van het apparaat dat de gebeurtenis rapporteert. |
DvcDomainType | tekenreeks | Het type DvcDomain. Geldige waarden zijn 'Windows' en 'FQDN'. |
DvcFQDN | tekenreeks | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcHostname | tekenreeks | De hostnaam van het apparaat dat de gebeurtenis rapporteert. |
DvcId | tekenreeks | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcIdType | tekenreeks | Het type DvcId. |
DvcInterface | tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
DvcIpAddr | tekenreeks | Het IP-adres van het apparaat dat de gebeurtenis rapporteert. |
DvcMacAddr | tekenreeks | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcOriginalAction | tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
DvcO's | tekenreeks | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcOsVersion | tekenreeks | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. |
DvcScope | tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnementsnaam in Azure en aan een account-id op AWS. |
DvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
DvcZone | tekenreeks | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. |
EventCount | int | Deze waarde wordt gebruikt wanneer de bron aggregatie ondersteunt en één record meerdere gebeurtenissen kan vertegenwoordigen. |
EventEndTime | datum/tijd | Het tijdstip waarop de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
EventMessage | tekenreeks | Een algemeen bericht of beschrijving. |
EventOriginalResultDetails | tekenreeks | De oorspronkelijke resultaatdetails die door de bron zijn opgegeven. Deze waarde wordt gebruikt om EventResultDetails af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd. |
EventOriginalSeverity | tekenreeks | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. Deze waarde wordt gebruikt om EventSeverity af te leiden. |
EventOriginalSubType | tekenreeks | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt om het oorspronkelijke Windows-aanmeldingstype op te slaan. Deze waarde wordt gebruikt om EventSubType af te leiden, waarvoor slechts één van de waarden moet worden gedocumenteerd voor elk schema. |
EventOriginalType | tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. |
EventOriginalUid | tekenreeks | Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. |
EventOwner | tekenreeks | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
EventProduct | tekenreeks | Het product dat de gebeurtenis genereert. |
EventProductVersion | tekenreeks | De versie van het product dat de gebeurtenis genereert. |
EventReportUrl | tekenreeks | Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
EventResult | tekenreeks | Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Mislukt, NB (Niet van toepassing). De waarde kan niet rechtstreeks door de bronnen worden opgegeven. In dat geval is deze afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails. |
EventResultDetails | tekenreeks | De HTTP-statuscode. |
EventSchema | tekenreeks | Het schema waar de gebeurtenis naar wordt genormaliseerd. Elk schema documentt de naam van het schema. |
EventSchemaVersion | tekenreeks | De versie van het schema. |
EventSeverity | tekenreeks | De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog. |
EventStartTime | datum/tijd | Het tijdstip waarop de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
EventSubType | tekenreeks | Aanvullende beschrijving van het gebeurtenistype, indien van toepassing. |
EventType | tekenreeks | De bewerking die door de record wordt gerapporteerd. |
EventVendor | tekenreeks | De leverancier van het product dat de gebeurtenis genereert. |
HashType | tekenreeks | Het type hash dat is opgeslagen in het veld Hash-alias. |
HttpUserAgent | tekenreeks | Wanneer de bewerking wordt gestart met behulp van HTTP of HTTPS, wordt de http-gebruikersagentheader gebruikt. |
_IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account |
NetworkApplicationProtocol | tekenreeks | Wanneer de bewerking wordt gestart door een extern systeem, wordt het toepassingslaagprotocol gebruikt door de verbinding of sessie. |
_Resourceid | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
RuleName | tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
Regelnummer | int | Het nummer van de regel die is gekoppeld aan de controleresultaten. |
SourceSystem | tekenreeks | Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
SrcDescription | tekenreeks | Een beschrijvende tekst die aan het apparaat is gekoppeld. |
SrcDeviceType | tekenreeks | Het type van het bronapparaat. |
SrcDomain | tekenreeks | Het domein van het bronapparaat. |
SrcDomainType | tekenreeks | Het type SrcDomain. |
SrcDvcId | tekenreeks | De id van het bronapparaat. |
SrcDvcIdType | tekenreeks | Het type SrcDvcId. |
SrcDvcScope | tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. |
SrcDvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. |
SrcFileCreationTime | datum/tijd | Het tijdstip waarop het bronbestand is gemaakt. |
SrcFileDirectory | tekenreeks | De map of locatie van het bronbestand. |
SrcFileExtension | tekenreeks | De bestandsextensie van de bron. |
SrcFileMD5 | tekenreeks | De MD5-hash van het bronbestand. |
SrcFileMimeType | tekenreeks | Het mime- of mediatype van het bronbestand. |
SrcFileName | tekenreeks | De naam van het bronbestand, zonder pad of locatie, maar met een extensie indien relevant. |
SrcFilePath | tekenreeks | Het volledige, genormaliseerde pad van het bronbestand, inclusief de map of locatie, de bestandsnaam en de extensie. |
SrcFilePathType | tekenreeks | Het type SrcFilePath. |
SrcFileSHA1 | tekenreeks | De SHA-1-hash van het bronbestand. |
SrcFileSHA256 | tekenreeks | De SHA-256-hash van het bronbestand. |
SrcFileSHA512 | tekenreeks | De SHA-512-hash van het bronbestand. |
SrcFileSize | long | De grootte van het bronbestand in bytes. |
SrcFQDN | tekenreeks | De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar. |
SrcGeoCity | tekenreeks | De plaats die is gekoppeld aan het bron-IP-adres. |
SrcGeoCountry | tekenreeks | Het land dat is gekoppeld aan het bron-IP-adres. |
SrcGeoLatitude | werkelijk | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
SrcGeoLongitude | werkelijk | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
SrcGeoRegion | tekenreeks | De regio binnen een land dat is gekoppeld aan het bron-IP-adres. |
SrcHostname | tekenreeks | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres in dit veld op. |
SrcIpAddr | tekenreeks | Wanneer de bewerking wordt gestart door een extern systeem, het IP-adres van dit systeem. |
SrcMacAddr | tekenreeks | Het MAC-adres van het bronapparaat. |
SrcOriginalRiskLevel | tekenreeks | Het risiconiveau dat is gekoppeld aan de bron. Zoals gerapporteerd door het rapportageapparaat of verrijkt. |
SrcPortNumber | int | Wanneer de bewerking wordt gestart door een extern systeem, het poortnummer van waaruit de verbinding is gestart. |
SrcRiskLevel | int | Het risiconiveau dat is gekoppeld aan de bron. |
_SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
TargetAppId | tekenreeks | De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. |
TargetAppName | tekenreeks | De naam van de doeltoepassing. |
TargetAppType | tekenreeks | Het type van de doeltoepassing. |
TargetFileCreationTime | datum/tijd | Het tijdstip waarop het doelbestand is gemaakt. |
TargetFileDirectory | tekenreeks | De map of locatie van het doelbestand. |
TargetFileExtension | tekenreeks | De doelbestandsextensie. |
TargetFileMD5 | tekenreeks | De MD5-hash van het doelbestand. |
TargetFileMimeType | tekenreeks | Het mime- of mediatype van het doelbestand. |
TargetFileName | tekenreeks | De naam van het doelbestand, zonder pad of locatie, maar met een extensie indien relevant. |
TargetFilePath | tekenreeks | Het volledige, genormaliseerde pad van het doelbestand, inclusief de map of locatie, de bestandsnaam en de extensie. |
TargetFilePathType | tekenreeks | Het type TargetFilePath. |
TargetFileSHA1 | tekenreeks | De SHA-1-hash van het doelbestand. |
TargetFileSHA256 | tekenreeks | De SHA-256-hash van het doelbestand. |
TargetFileSHA512 | tekenreeks | De SHA-512-hash van het bronbestand. |
TargetFileSize | long | De grootte van het doelbestand in bytes. |
TargetOriginalAppType | tekenreeks | Het type doeltoepassing zoals gerapporteerd door het rapportageapparaat. |
TargetUrl | tekenreeks | Wanneer de bewerking wordt gestart met behulp van HTTP of HTTPS, wordt de URL gebruikt. |
TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
ThreatCategory | tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
ThreatConfidence | int | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
Bedreigingsveld | tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is SrcFilePath of DstFilePath. |
ThreatFilePath | tekenreeks | Een bestandspad waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld dat ThreatFilePath vertegenwoordigt. |
ThreatFirstReportedTime | datum/tijd | De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging. |
ThreatId | tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
ThreatIsActive | booleaans | True ID de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
ThreatLastReportedTime | datum/tijd | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
ThreatName | tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit. |
ThreatOriginalConfidence | tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
ThreatOriginalRiskLevel | tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
ThreatRiskLevel | int | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. |
TimeGenerated | datum/tijd | De tijdstempel die de tijd weergeeft waarin de gebeurtenis is gegenereerd. |
Type | tekenreeks | De naam van de tabel |
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor