ASimAuthenticationEventLogs
Tabela zdarzeń uwierzytelniania znormalizowanych w usłudze Microsoft Sentinel. Przechowuje zdarzenia skojarzone, na przykład z uwierzytelnianiem użytkownika, logowaniem i wylogowywaniem.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.securityinsights/authenticationevent |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie w czasie pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| ActingAppId | ciąg | Identyfikator aplikacji autoryzującego w imieniu aktora, w tym proces, przeglądarka lub usługa. |
| ActingAppName | ciąg | Nazwa aplikacji autoryzującego w imieniu aktora, w tym proces, przeglądarka lub usługa. |
| ActingAppType | ciąg | Typ działającej aplikacji. |
| ActingOriginalAppType | ciąg | Działający typ aplikacji zgłaszany przez urządzenie raportowania. |
| ActorOriginalUserType | ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| AktorZakres | ciąg | Zakres, taki jak Azure AD dzierżawa, w której zdefiniowano element ActorUserId i ActorUsername. |
| ActorScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD identyfikator dzierżawy, w którym zdefiniowano element ActorUserId i ActorUsername. |
| ActorSessionId | ciąg | Unikatowy identyfikator sesji logowania aktora. |
| ActorUserId | ciąg | Czytelna dla maszyny alfanumeryczna reprezentacja aktora. |
| ActorUserIdType | ciąg | Typ identyfikatora przechowywanego w polu ActorUserId. |
| ActorUsername | ciąg | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. |
| ActorUsernameType | ciąg | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername. |
| ActorUserType | ciąg | Typ aktora. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| DvcAction | ciąg | W przypadku raportowania systemów zabezpieczeń akcja wykonywana przez system. |
| DvcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. |
| DvcDomain | ciąg | Domena urządzenia zgłaszające zdarzenie. |
| DvcDomainType | ciąg | Typ dvcDomain. |
| DvcFQDN | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcHostname | ciąg | Nazwa hosta urządzenia zgłaszające zdarzenie. |
| DvcId | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcIdType | ciąg | Typ dvcId. |
| DvcInterface | ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. |
| DvcIpAddr | ciąg | Adres IP urządzenia zgłaszające zdarzenie. |
| DvcMacAddr | ciąg | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcOriginalAction | ciąg | Oryginalna funkcja DvcAction dostarczona przez urządzenie raportowania. |
| DvcOs | ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcOsVersion | ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS. |
| DvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DvcZone | ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| EventCount | int | Liczba zdarzeń opisanych przez rekord. |
| EventEndTime | datetime | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
| EventMessage | ciąg | Ogólny komunikat lub opis. |
| EventOriginalResultDetails | ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. |
| EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. |
| EventOriginalSubType | ciąg | Oryginalny podtyp zdarzenia lub identyfikator, jeśli zostanie podany przez źródło. |
| EventOriginalType | ciąg | Oryginalny typ zdarzenia lub identyfikator, jeśli zostanie podany przez źródło. |
| EventOriginalUid | ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli zostanie podany przez źródło. |
| EventOwner | ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
| EventProduct | ciąg | Produkt generujący zdarzenie. |
| EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
| EventReportUrl | ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
| EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
| EventResultDetails | ciąg | Szczegóły skojarzone z wynikiem zdarzenia. To pole jest zazwyczaj wypełniane, gdy wynik jest niepowodzeniem. |
| EventSchemaVersion | ciąg | Wersja schematu. |
| EventSeverity | ciąg | Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
| EventStartTime | datetime | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
| EventSubType | ciąg | Typ logowania, na przykład System, Interactive, RemoteInteractive, Service, RemoteService, RemoteService, Remote Lub AssumeRole. |
| Typ zdarzenia | ciąg | Opisuje operację zgłoszoną przez rekord |
| EventVendor | ciąg | Dostawca produktu generującego zdarzenie. |
| HttpUserAgent | ciąg | Po wykonaniu uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas wykonywania uwierzytelniania. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| LogonMethod | ciąg | Metoda używana do przeprowadzania uwierzytelniania. |
| LogonProtocol | ciąg | Protokół używany do przeprowadzania uwierzytelniania. |
| _Resourceid | ciąg | Unikatowy identyfikator zasobu skojarzonego z rekordem |
| Rulename | ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber | int | Liczba reguł skojarzonych z wynikami inspekcji. |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| SrcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem źródłowym. |
| SrcDeviceType | ciąg | Typ urządzenia źródłowego. |
| SrcDomain | ciąg | Domena urządzenia źródłowego. |
| SrcDomainType | ciąg | Typ SrcDomain. |
| SrcDvcId | ciąg | Identyfikator urządzenia źródłowego. |
| SrcDvcIdType | ciąg | Typ identyfikatora SrcDvcId. |
| SrcDvcOs | ciąg | System operacyjny urządzenia źródłowego. |
| SrcDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie źródłowe. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcFQDN | ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
| SrcGeoCity | ciąg | Miasto skojarzone ze źródłowym adresem IP. |
| SrcGeoCountry | ciąg | Kraj skojarzony ze źródłowym adresem IP. |
| SrcGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnych skojarzonych ze źródłowym adresem IP. |
| SrcGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
| SrcGeoRegion | ciąg | Region w kraju skojarzonym ze źródłowym adresem IP. |
| SrcHostname | ciąg | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. |
| SrcIpAddr | ciąg | Adres IP urządzenia źródłowego. |
| SrcIsp | ciąg | Dostawca usług internetowych (ISP) używany przez urządzenie źródłowe do łączenia się z Internetem. |
| SrcOriginalRiskLevel | ciąg | Poziom ryzyka jednokrotny ze zidentyfikowanym źródłem zgłoszonym przez urządzenie raportowania. |
| SrcPortNumber | int | Port IP, z którego pochodzi połączenie. |
| SrcRiskLevel | int | Poziom ryzyka skojarzony z zidentyfikowanym źródłem. |
| _Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| TargetAppId | ciąg | Identyfikator aplikacji, do której jest wymagana autoryzacja, często przypisywana przez urządzenie raportowania. |
| TargetAppName | ciąg | Nazwa aplikacji, do której wymagana jest autoryzacja, w tym usługa, adres URL lub aplikacja SaaS. |
| TargetAppType | ciąg | Typ aplikacji autoryzującego w imieniu aktora. |
| TargetDescription | ciąg | Tekst opisowy skojarzony z urządzeniem docelowym. |
| TargetDeviceType | ciąg | Typ urządzenia docelowego. |
| Domena docelowa | ciąg | Domena urządzenia docelowego. |
| TargetDomainType | ciąg | Typ targetDomain. |
| TargetDvcId | ciąg | Identyfikator urządzenia docelowego. |
| TargetDvcIdType | ciąg | Typ TargetDvcId. |
| TargetDvcOs | ciąg | System operacyjny urządzenia docelowego. |
| TargetDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie docelowe. TargetDvcScope mapuje na identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
| TargetDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. TargetDvcScopeId mapuje identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
| Nazwa docelowaFQDN | ciąg | Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
| TargetGeoCity | ciąg | Miasto skojarzone z docelowym adresem IP. |
| TargetGeoCountry | ciąg | Kraj skojarzony z docelowym adresem IP. |
| TargetGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
| TargetGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
| TargetGeoRegion | ciąg | Region w kraju skojarzonym z docelowym adresem IP. |
| TargetHostname | ciąg | Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
| TargetIpAddr | ciąg | Adres IP urządzenia docelowego. |
| TargetOriginalAppType | ciąg | Typ aplikacji docelowej zgłoszony przez urządzenie raportowania. |
| TargetOriginalRiskLevel | ciąg | Poziom ryzyka skojarzony z obiektem docelowym, zgodnie z raportem urządzenia raportowania. |
| TargetOriginalUserType | ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| TargetPortNumber | int | Port urządzenia docelowego. |
| TargetRiskLevel | int | Poziom ryzyka skojarzony z celem. |
| TargetSessionId | ciąg | Unikatowy identyfikator sesji logowania aktora docelowego. |
| TargetUrl | ciąg | Adres URL skojarzony z aplikacją docelową. |
| TargetUserId | ciąg | Czytelna dla maszyny alfanumeryczna reprezentacja aktora. |
| TargetUserIdType | ciąg | Typ identyfikatora przechowywanego w polu TargetUserId. |
| TargetUsername | ciąg | Nazwa użytkownika aktora docelowego, w tym informacje o domenie, gdy są dostępne. |
| TargetUsernameType | ciąg | Typ nazwy użytkownika aktora docelowego określony w polu TargetUsername |
| TargetUserScope | ciąg | Zakres, taki jak Azure AD dzierżawa, w której zdefiniowano identyfikator TargetUserId i TargetUsername. |
| TargetUserScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD identyfikator dzierżawy, w którym zdefiniowano identyfikator TargetUserId i TargetUsername. |
| TargetUserType | ciąg | Typ aktora docelowego. |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatCategory | ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatConfidence | int | Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. |
| ThreatFirstReportedTime | datetime | Przy pierwszym zidentyfikowaniu adresu IP lub domeny jako zagrożenia. |
| Identyfikator zagrożenia | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatIpAddr | ciąg | Adres IP, dla którego zidentyfikowano zagrożenie. |
| ThreatIsActive | bool | Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
| ThreatLastReportedTime | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatName | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
| ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia zgodnie z raportem urządzenia raportowania. |
| ThreatOriginalRiskLevel | ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatRiskLevel | int | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
| TimeGenerated | datetime | Sygnatura czasowa (UTC) odzwierciedla czas wygenerowania zdarzenia. |
| Typ | ciąg | Nazwa tabeli |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla