ASimAuditEventLogs
Tabela zdarzeń inspekcji znormalizowanych w usłudze Microsoft Sentinel. Przechowuje zdarzenia skojarzone z dziennikiem inspekcji systemów informacyjnych i dzienników inspekcji dzienniki konfiguracji systemu i zmian zasad. Takie zmiany są często wykonywane przez administratorów systemu, ale mogą być również wykonywane przez użytkowników podczas konfigurowania ustawień własnych aplikacji.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | microsoft.securityinsights/auditeventnormalized |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie czasu pozyskiwania | Tak |
Przykładowe zapytania | - |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
ActingAppId | ciąg | Identyfikator aplikacji, która zainicjowała zgłoszone działanie, w tym proces, przeglądarkę lub usługę. |
ActingAppName | ciąg | Nazwa aplikacji, która zainicjowała zgłoszone działanie, w tym usługę, adres URL lub aplikację SaaS. |
ActingAppType | ciąg | Typ działającej aplikacji. |
ActingOriginalAppType | ciąg | Działający typ aplikacji zgłoszony przez urządzenie raportowania. |
ActorOriginalUserType | ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
AktorScope | ciąg | Zakres, taki jak dzierżawa Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername. |
ActorScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD identyfikator dzierżawy, w którym zdefiniowano element ActorUserId i ActorUsername. |
ActorsSessionId | ciąg | Unikatowy identyfikator sesji logowania aktora. |
ActorUserAadId | ciąg | Identyfikator usługi Azure Active Directory aktora. |
ActorUserId | ciąg | Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. |
ActorUserIdType | ciąg | Typ identyfikatora przechowywanego w polu ActorUserId. |
AktorUsername | ciąg | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. |
AktorUsernameType | ciąg | Typ nazwy użytkownika aktora określonego w polu ActionUsername |
AktorUserSid | ciąg | Identyfikator użytkownika systemu Windows (SID) aktora. |
AktorUserType | ciąg | Typ aktora. |
Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
DvcAction | ciąg | W przypadku systemów zabezpieczeń raportowania akcja wykonywana przez system. |
DvcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. |
DvcDomain | ciąg | Domena urządzenia zgłasza zdarzenie. |
DvcDomainType | ciąg | Typ DvcDomain. |
DvcFQDN | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcHostname | ciąg | Nazwa hosta urządzenia zgłasza zdarzenie. |
DvcId | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcIdType | ciąg | Typ DvcId. |
DvcInterface | ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. |
DvcIpAddr | ciąg | Adres IP urządzenia zgłasza zdarzenie. |
DvcMacAddr | ciąg | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOriginalAction | ciąg | Oryginalna funkcja DvcAction dostarczona przez urządzenie raportowania. |
DvcOs | ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOsVersion | ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS. |
DvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcZone | ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
EventCount | int | Liczba zdarzeń opisanych przez rekord. |
EventEndTime | datetime | Godzina (UTC), w której zakończyło się zdarzenie. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
EventMessage | ciąg | Ogólny komunikat lub opis. |
EventOriginalResultDetails | ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. |
EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. |
EventOriginalSubType | ciąg | Oryginalny podtyp zdarzenia lub identyfikator, jeśli zostanie podany przez źródło. |
EventOriginalType | ciąg | Oryginalny typ zdarzenia lub identyfikator, jeśli zostanie podany przez źródło. |
EventOriginalUid | ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli zostanie podany przez źródło. |
EventOwner | ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
EventProduct | ciąg | Produkt generujący zdarzenie. |
EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
EventReportUrl | ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
EventResultDetails | ciąg | Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult. |
EventSchemaVersion | ciąg | Wersja schematu. |
EventSeverity | ciąg | Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
EventStartTime | datetime | Godzina (UTC), w której rozpoczęto zdarzenie. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
EventSubType | ciąg | Opisuje podział operacji zgłoszonej w polu EventType. |
Typ zdarzenia | ciąg | Opisuje operację zgłoszoną przez rekord |
EventVendor | ciąg | Dostawca produktu generującego zdarzenie. |
HttpUserAgent | ciąg | Po wykonaniu uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas wykonywania uwierzytelniania. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
Newvalue | ciąg | Nowa wartość obiektu po wykonaniu operacji. |
Obiekt | ciąg | Nazwa obiektu, na którym jest wykonywana operacja zidentyfikowana przez typ zdarzenia. |
ObjectId | ciąg | Nazwa obiektu, na którym jest wykonywana operacja zidentyfikowana przez typ zdarzenia. |
ObjectType | ciąg | Typ obiektu. |
Oldvalue | ciąg | Stara wartość obiektu przed operacją. |
Operacja | ciąg | Operacja została przeprowadź inspekcję zgłoszoną przez urządzenie raportowania. |
OriginalObjectType | ciąg | Typ obiektu zgłoszony przez urządzenie raportowania. |
_Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
Rulename | ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
RuleNumber | int | Liczba reguł skojarzonych z wynikami inspekcji. |
SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
SrcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem źródłowym. |
SrcDeviceType | ciąg | Typ urządzenia źródłowego. |
SrcDomain | ciąg | Domena urządzenia źródłowego. |
SrcDomainType | ciąg | Typ SrcDomain. |
Identyfikator SrcDvcId | ciąg | Identyfikator urządzenia źródłowego. |
SrcDvcIdType | ciąg | Typ identyfikatora SrcDvcId. |
SrcDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie źródłowe. SrcDvcScope mapuje na identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
SrcDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. SrcDvcScopeId mapuje identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
SrcFQDN | ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
SrcGeoCity | ciąg | Miasto skojarzone ze źródłowym adresem IP. |
SrcGeoCountry | ciąg | Kraj skojarzony ze źródłowym adresem IP. |
SrcGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
SrcGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej ze źródłowym adresem IP. |
SrcGeoRegion | ciąg | Region w kraju skojarzonym ze źródłowym adresem IP. |
SrcHostname | ciąg | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. |
SrcIpAddr | ciąg | Źródłowy adres IP, z którego pochodzi połączenie lub sesja. |
SrcOriginalRiskLevel | ciąg | Poziom ryzyka jest jednokrotny ze zidentyfikowanym źródłem zgłoszonym przez urządzenie raportowania. |
SrcPortNumber | int | Źródłowy port IP, z którego pochodzi połączenie. |
SrcRiskLevel | int | Poziom ryzyka skojarzony ze zidentyfikowanym źródłem. |
_Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TargetAppId | ciąg | Identyfikator aplikacji, do której ma zastosowanie zdarzenie, w tym proces, przeglądarka lub usługa. |
TargetAppName | ciąg | Nazwa aplikacji, do której ma zastosowanie zdarzenie, w tym usługa, adres URL lub aplikacja SaaS. |
TargetAppType | ciąg | Typ aplikacji autoryzującego w imieniu aktora. |
TargetDescription | ciąg | Tekst opisowy skojarzony z urządzeniem docelowym. |
TargetDeviceType | ciąg | Typ urządzenia docelowego. |
Domena docelowa | ciąg | Domena urządzenia docelowego. |
TargetDomainType | ciąg | Typ targetDomain. |
TargetDvcId | ciąg | Identyfikator urządzenia docelowego. |
TargetDvcIdType | ciąg | Typ TargetDvcId. |
TargetDvcOs | ciąg | System operacyjny urządzenia docelowego. |
TargetDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie docelowe. TargetDvcScope mapuje na identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
TargetDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. TargetDvcScopeId mapuje identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
Nazwa docelowaFQDN | ciąg | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
TargetGeoCity | ciąg | Miasto skojarzone z docelowym adresem IP. |
TargetGeoCountry | ciąg | Kraj skojarzony z docelowym adresem IP. |
TargetGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
TargetGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
TargetGeoRegion | ciąg | Region w kraju skojarzonym z docelowym adresem IP. |
TargetHostname | ciąg | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
TargetIpAddr | ciąg | Docelowy adres IP, z którego pochodzi połączenie lub sesja. |
TargetOriginalAppType | ciąg | Typ aplikacji docelowej zgłoszony przez urządzenie raportowania. |
TargetOriginalRiskLevel | ciąg | Poziom ryzyka skojarzony z obiektem docelowym, zgodnie z raportem urządzenia raportowania. |
TargetPortNumber | int | Docelowy port IP, z którego pochodzi połączenie. |
TargetRiskLevel | int | Poziom ryzyka skojarzony z celem. |
TargetUrl | ciąg | Adres URL skojarzony z aplikacją docelową. |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory | ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
ThreatConfidence | int | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. |
ThreatFirstReportedTime | datetime | Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia. |
Identyfikator zagrożenia | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
ThreatIpAddr | ciąg | Adres IP lub domena, dla której zidentyfikowano zagrożenie. |
ThreatIsActive | bool | Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
ThreatLastReportedTime | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia zgodnie z raportem urządzenia raportowania. |
ThreatOriginalRiskLevel | ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
ThreatRiskLevel | int | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
TimeGenerated | datetime | Sygnatura czasowa (UTC) odzwierciedla czas wygenerowania zdarzenia. |
Typ | ciąg | Nazwa tabeli |
ValueType | ciąg | Typ starych i nowych wartości. |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla