Delen via


ASimFileEventLogs

Het schema voor het normaliseren van ASIM-bestandsevenementen (Advanced Security Information Model) beschrijft bestandsactiviteit, zoals het maken, wijzigen of verwijderen van bestanden of documenten.

Tabelkenmerken

Kenmerk Waarde
Resourcetypen microsoft.securityinsights/asimtables
Categorieën Beveiliging
Oplossingen SecurityInsights
Basislogboek No
Opnametijdtransformatie Yes
Voorbeeldquery's -

Kolommen

Kolom Type Description
ActingProcessCommandLine tekenreeks De opdrachtregel die wordt gebruikt om het acteerproces uit te voeren.
ActingProcessGuid tekenreeks Een gegenereerde unieke id (GUID) van het acterende proces.
ActingProcessId tekenreeks De proces-id (PID) van het acterende proces.
ActingProcessName tekenreeks De naam van het acteerproces.
ActorOriginalUserType tekenreeks Het oorspronkelijke actorgebruikerstype zoals opgegeven door het rapportageapparaat.
ActorScope tekenreeks Het bereik, zoals Azure AD tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd.
ActorScopeId tekenreeks De bereik-id, zoals Azure AD Directory-id, waarin ActorUserId en ActorUsername zijn gedefinieerd.
ActorSessionId tekenreeks De unieke id van de aanmeldingssessie van de Actor.
ActorUserAadId tekenreeks De Azure Active Directory-id van de actor.
ActorUserId tekenreeks Een machineleesbare, alfanumerieke, unieke weergave van de actor.
ActorUserIdType tekenreeks Het type id dat is opgeslagen in het veld ActorUserId.
ActorUsername tekenreeks De gebruikersnaam van de actor, inclusief domeingegevens indien beschikbaar.
ActorUsernameType tekenreeks Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername.
ActorUserSid tekenreeks De Windows-gebruikers-id (SID's) van de actor.
ActorUserType tekenreeks Het type actor.
AdditionalFields dynamisch Aanvullende informatie, weergegeven met behulp van sleutel-waardeparen die door de bron worden verstrekt en die niet aan ASim zijn toegewezen.
_BilledSize werkelijk De recordgrootte in bytes
DvcAction tekenreeks De actie die is uitgevoerd op de websessie.
DvcDescription tekenreeks Een beschrijvende tekst die is gekoppeld aan het apparaat.
DvcDomain tekenreeks Het domein van het apparaat dat de gebeurtenis rapporteert.
DvcDomainType tekenreeks Het type DvcDomain. Geldige waarden zijn 'Windows' en 'FQDN'.
DvcFQDN tekenreeks De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcHostname tekenreeks De hostnaam van het apparaat dat de gebeurtenis rapporteert.
DvcId tekenreeks De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcIdType tekenreeks Het type DvcId.
DvcInterface tekenreeks De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat.
DvcIpAddr tekenreeks Het IP-adres van het apparaat dat de gebeurtenis rapporteert.
DvcMacAddr tekenreeks Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcOriginalAction tekenreeks De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat.
DvcO's tekenreeks Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcOsVersion tekenreeks De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd.
DvcScope tekenreeks Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnementsnaam in Azure en aan een account-id op AWS.
DvcScopeId tekenreeks De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
DvcZone tekenreeks Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema.
EventCount int Deze waarde wordt gebruikt wanneer de bron aggregatie ondersteunt en één record meerdere gebeurtenissen kan vertegenwoordigen.
EventEndTime datum/tijd Het tijdstip waarop de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt.
EventMessage tekenreeks Een algemeen bericht of beschrijving.
EventOriginalResultDetails tekenreeks De oorspronkelijke resultaatdetails die door de bron zijn opgegeven. Deze waarde wordt gebruikt om EventResultDetails af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd.
EventOriginalSeverity tekenreeks De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. Deze waarde wordt gebruikt om EventSeverity af te leiden.
EventOriginalSubType tekenreeks Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt om het oorspronkelijke Windows-aanmeldingstype op te slaan. Deze waarde wordt gebruikt om EventSubType af te leiden, waarvoor slechts één van de waarden moet worden gedocumenteerd voor elk schema.
EventOriginalType tekenreeks Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron.
EventOriginalUid tekenreeks Een unieke id van de oorspronkelijke record, indien opgegeven door de bron.
EventOwner tekenreeks De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd.
EventProduct tekenreeks Het product dat de gebeurtenis genereert.
EventProductVersion tekenreeks De versie van het product dat de gebeurtenis genereert.
EventReportUrl tekenreeks Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt.
EventResult tekenreeks Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Mislukt, NB (Niet van toepassing). De waarde kan niet rechtstreeks door de bronnen worden opgegeven. In dat geval is deze afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails.
EventResultDetails tekenreeks De HTTP-statuscode.
EventSchema tekenreeks Het schema waar de gebeurtenis naar wordt genormaliseerd. Elk schema documentt de naam van het schema.
EventSchemaVersion tekenreeks De versie van het schema.
EventSeverity tekenreeks De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog.
EventStartTime datum/tijd Het tijdstip waarop de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt.
EventSubType tekenreeks Aanvullende beschrijving van het gebeurtenistype, indien van toepassing.
EventType tekenreeks De bewerking die door de record wordt gerapporteerd.
EventVendor tekenreeks De leverancier van het product dat de gebeurtenis genereert.
HashType tekenreeks Het type hash dat is opgeslagen in het veld Hash-alias.
HttpUserAgent tekenreeks Wanneer de bewerking wordt gestart met behulp van HTTP of HTTPS, wordt de http-gebruikersagentheader gebruikt.
_IsBillable tekenreeks Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account
NetworkApplicationProtocol tekenreeks Wanneer de bewerking wordt gestart door een extern systeem, wordt het toepassingslaagprotocol gebruikt door de verbinding of sessie.
_Resourceid tekenreeks Een unieke id voor de resource waaraan de record is gekoppeld
RuleName tekenreeks De naam of id van de regel die is gekoppeld aan de inspectieresultaten.
Regelnummer int Het nummer van de regel die is gekoppeld aan de controleresultaten.
SourceSystem tekenreeks Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics
SrcDescription tekenreeks Een beschrijvende tekst die aan het apparaat is gekoppeld.
SrcDeviceType tekenreeks Het type van het bronapparaat.
SrcDomain tekenreeks Het domein van het bronapparaat.
SrcDomainType tekenreeks Het type SrcDomain.
SrcDvcId tekenreeks De id van het bronapparaat.
SrcDvcIdType tekenreeks Het type SrcDvcId.
SrcDvcScope tekenreeks Het cloudplatformbereik waartoe het apparaat behoort.
SrcDvcScopeId tekenreeks De bereik-id van het cloudplatform waartoe het apparaat behoort.
SrcFileCreationTime datum/tijd Het tijdstip waarop het bronbestand is gemaakt.
SrcFileDirectory tekenreeks De map of locatie van het bronbestand.
SrcFileExtension tekenreeks De bestandsextensie van de bron.
SrcFileMD5 tekenreeks De MD5-hash van het bronbestand.
SrcFileMimeType tekenreeks Het mime- of mediatype van het bronbestand.
SrcFileName tekenreeks De naam van het bronbestand, zonder pad of locatie, maar met een extensie indien relevant.
SrcFilePath tekenreeks Het volledige, genormaliseerde pad van het bronbestand, inclusief de map of locatie, de bestandsnaam en de extensie.
SrcFilePathType tekenreeks Het type SrcFilePath.
SrcFileSHA1 tekenreeks De SHA-1-hash van het bronbestand.
SrcFileSHA256 tekenreeks De SHA-256-hash van het bronbestand.
SrcFileSHA512 tekenreeks De SHA-512-hash van het bronbestand.
SrcFileSize long De grootte van het bronbestand in bytes.
SrcFQDN tekenreeks De hostnaam van het bronapparaat, inclusief domeingegevens indien beschikbaar.
SrcGeoCity tekenreeks De plaats die is gekoppeld aan het bron-IP-adres.
SrcGeoCountry tekenreeks Het land dat is gekoppeld aan het bron-IP-adres.
SrcGeoLatitude werkelijk De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres.
SrcGeoLongitude werkelijk De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres.
SrcGeoRegion tekenreeks De regio binnen een land dat is gekoppeld aan het bron-IP-adres.
SrcHostname tekenreeks De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, slaat u het relevante IP-adres in dit veld op.
SrcIpAddr tekenreeks Wanneer de bewerking wordt gestart door een extern systeem, het IP-adres van dit systeem.
SrcMacAddr tekenreeks Het MAC-adres van het bronapparaat.
SrcOriginalRiskLevel tekenreeks Het risiconiveau dat is gekoppeld aan de bron. Zoals gerapporteerd door het rapportageapparaat of verrijkt.
SrcPortNumber int Wanneer de bewerking wordt gestart door een extern systeem, het poortnummer van waaruit de verbinding is gestart.
SrcRiskLevel int Het risiconiveau dat is gekoppeld aan de bron.
_SubscriptionId tekenreeks Een unieke id voor het abonnement waaraan de record is gekoppeld
TargetAppId tekenreeks De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat.
TargetAppName tekenreeks De naam van de doeltoepassing.
TargetAppType tekenreeks Het type van de doeltoepassing.
TargetFileCreationTime datum/tijd Het tijdstip waarop het doelbestand is gemaakt.
TargetFileDirectory tekenreeks De map of locatie van het doelbestand.
TargetFileExtension tekenreeks De doelbestandsextensie.
TargetFileMD5 tekenreeks De MD5-hash van het doelbestand.
TargetFileMimeType tekenreeks Het mime- of mediatype van het doelbestand.
TargetFileName tekenreeks De naam van het doelbestand, zonder pad of locatie, maar met een extensie indien relevant.
TargetFilePath tekenreeks Het volledige, genormaliseerde pad van het doelbestand, inclusief de map of locatie, de bestandsnaam en de extensie.
TargetFilePathType tekenreeks Het type TargetFilePath.
TargetFileSHA1 tekenreeks De SHA-1-hash van het doelbestand.
TargetFileSHA256 tekenreeks De SHA-256-hash van het doelbestand.
TargetFileSHA512 tekenreeks De SHA-512-hash van het bronbestand.
TargetFileSize long De grootte van het doelbestand in bytes.
TargetOriginalAppType tekenreeks Het type doeltoepassing zoals gerapporteerd door het rapportageapparaat.
TargetUrl tekenreeks Wanneer de bewerking wordt gestart met behulp van HTTP of HTTPS, wordt de URL gebruikt.
TenantId tekenreeks De id van de Log Analytics-werkruimte
ThreatCategory tekenreeks De categorie van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit.
ThreatConfidence int Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100.
Bedreigingsveld tekenreeks Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is SrcFilePath of DstFilePath.
ThreatFilePath tekenreeks Een bestandspad waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld dat ThreatFilePath vertegenwoordigt.
ThreatFirstReportedTime datum/tijd De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging.
ThreatId tekenreeks De id van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit.
ThreatIsActive booleaans True ID de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging.
ThreatLastReportedTime datum/tijd De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.
ThreatName tekenreeks De naam van de bedreiging of malware die is geïdentificeerd in de bestandsactiviteit.
ThreatOriginalConfidence tekenreeks Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat.
ThreatOriginalRiskLevel tekenreeks Het risiconiveau zoals gerapporteerd door het rapportageapparaat.
ThreatRiskLevel int Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn.
TimeGenerated datum/tijd De tijdstempel die de tijd weergeeft waarin de gebeurtenis is gegenereerd.
Type tekenreeks De naam van de tabel