ASimFileEventLogs
Schemat normalizacji zdarzeń zdarzeń zabezpieczeń zabezpieczeń (ASIM) opisuje działanie plików, takie jak tworzenie, modyfikowanie lub usuwanie plików lub dokumentów.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | microsoft.securityinsights/asimtables |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie w czasie pozyskiwania | Tak |
Przykładowe zapytania | - |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
ActingProcessCommandLine | ciąg | Wiersz polecenia używany do uruchamiania działającego procesu. |
ActingProcessGuid | ciąg | Wygenerowany unikatowy identyfikator (GUID) działającego procesu. |
ActingProcessId | ciąg | Identyfikator procesu (PID) działającego procesu. |
ActingProcessName | ciąg | Nazwa działającego procesu. |
ActorOriginalUserType | ciąg | Typ użytkownika oryginalnego aktora udostępniany przez urządzenie raportowania. |
AktorZakres | ciąg | Zakres, taki jak Azure AD dzierżawa, w której zdefiniowano element ActorUserId i ActorUsername. |
ActorScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD identyfikator katalogu, w którym zdefiniowano element ActorUserId i ActorUsername. |
ActorSessionId | ciąg | Unikatowy identyfikator sesji logowania aktora. |
ActorUserAadId | ciąg | Identyfikator usługi Azure Active Directory aktora. |
ActorUserId | ciąg | Czytelna dla maszyny alfanumeryczna reprezentacja aktora. |
ActorUserIdType | ciąg | Typ identyfikatora przechowywanego w polu ActorUserId. |
ActorUsername | ciąg | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. |
ActorUsernameType | ciąg | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername. |
ActorUserSid | ciąg | Identyfikator użytkownika systemu Windows (SID) aktora. |
ActorUserType | ciąg | Typ aktora. |
Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
DvcAction | ciąg | Akcja wykonywana w sesji internetowej. |
DvcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. |
DvcDomain | ciąg | Domena urządzenia zgłaszające zdarzenie. |
DvcDomainType | ciąg | Typ dvcDomain. Prawidłowe wartości to "Windows" i "FQDN". |
DvcFQDN | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcHostname | ciąg | Nazwa hosta urządzenia zgłaszające zdarzenie. |
DvcId | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcIdType | ciąg | Typ dvcId. |
DvcInterface | ciąg | Oryginalny element DvcAction dostarczony przez urządzenie raportowania. |
DvcIpAddr | ciąg | Adres IP urządzenia zgłaszające zdarzenie. |
DvcMacAddr | ciąg | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOriginalAction | ciąg | Oryginalny element DvcAction dostarczony przez urządzenie raportowania. |
DvcOs | ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOsVersion | ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje na nazwę subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
DvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcZone | ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. |
EventCount | int | Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
EventEndTime | datetime | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventMessage | ciąg | Ogólny komunikat lub opis. |
EventOriginalResultDetails | ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. Ta wartość jest używana do uzyskiwania wartości EventSeverity. |
EventOriginalSubType | ciąg | Oryginalny podtyp lub identyfikator zdarzenia, jeśli został podany przez źródło. Na przykład to pole będzie używane do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do wyprowadzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
EventOriginalType | ciąg | Oryginalny typ zdarzenia lub identyfikator, jeśli został podany przez źródło. |
EventOriginalUid | ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli został podany przez źródło. |
Właściciel zdarzeń | ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
EventProduct | ciąg | Produkt generujący zdarzenie. |
EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
EventReportUrl | ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
EventResultDetails | ciąg | Kod stanu HTTP. |
EventSchema | ciąg | Schemat zdarzenia jest znormalizowany. Każdy schemat dokumentuje jego nazwę schematu. |
EventSchemaVersion | ciąg | Wersja schematu. |
EventSeverity | ciąg | Ważność zdarzenia. Prawidłowe wartości to: Informacyjna, Niska, Średnia lub Wysoka. |
EventStartTime | datetime | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventSubType | ciąg | Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie. |
Typ zdarzenia | ciąg | Operacja zgłoszona przez rekord. |
EventVendor | ciąg | Dostawca produktu generujący zdarzenie. |
HashType | ciąg | Typ skrótu przechowywanego w polu aliasu skrótu. |
HttpUserAgent | ciąg | Po zainicjowaniu operacji przy użyciu protokołu HTTP lub HTTPS nagłówek agenta użytkownika HTTP. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
NetworkApplicationProtocol | ciąg | Po zainicjowaniu operacji przez system zdalny protokół warstwy aplikacji używany przez połączenie lub sesję. |
_Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
Rulename | ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
RuleNumber | int | Liczba reguł skojarzonych z wynikami inspekcji. |
SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
SrcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. |
SrcDeviceType | ciąg | Typ urządzenia źródłowego. |
SrcDomain | ciąg | Domena urządzenia źródłowego. |
SrcDomainType | ciąg | Typ SrcDomain. |
Identyfikator SrcDvcId | ciąg | Identyfikator urządzenia źródłowego. |
SrcDvcIdType | ciąg | Typ identyfikatora SrcDvcId. |
SrcDvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. |
SrcDvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. |
SrcFileCreationTime | datetime | Godzina utworzenia pliku źródłowego. |
SrcFileDirectory | ciąg | Źródłowy folder lub lokalizacja pliku źródłowego. |
Rozszerzenie SrcFileExtension | ciąg | Rozszerzenie pliku źródłowego. |
SrcFileMD5 | ciąg | Skrót MD5 pliku źródłowego. |
SrcFileMimeType | ciąg | Typ mime lub nośnika pliku źródłowego. |
SrcFileName | ciąg | Nazwa pliku źródłowego, bez ścieżki lub lokalizacji, ale z rozszerzeniem, jeśli jest to istotne. |
SrcFilePath | ciąg | Pełna, znormalizowana ścieżka pliku źródłowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. |
SrcFilePathType | ciąg | Typ SrcFilePath. |
SrcFileSHA1 | ciąg | Skrót SHA-1 pliku źródłowego. |
SrcFileSHA256 | ciąg | Skrót SHA-256 pliku źródłowego. |
SrcFileSHA512 | ciąg | Skrót SHA-512 pliku źródłowego. |
SrcFileSize | długi | Rozmiar pliku źródłowego w bajtach. |
SrcFQDN | ciąg | Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
SrcGeoCity | ciąg | Miasto skojarzone ze źródłowym adresem IP. |
SrcGeoCountry | ciąg | Kraj skojarzony ze źródłowym adresem IP. |
SrcGeoLatitude | liczba rzeczywista | Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
SrcGeoLongitude | liczba rzeczywista | Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
SrcGeoRegion | ciąg | Region w kraju skojarzonym ze źródłowym adresem IP. |
SrcHostname | ciąg | Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. |
SrcIpAddr | ciąg | Po zainicjowaniu operacji przez system zdalny adres IP tego systemu. |
SrcMacAddr | ciąg | Adres MAC urządzenia źródłowego. |
SrcOriginalRiskLevel | ciąg | Poziom ryzyka skojarzony ze źródłem. Zgłoszone przez urządzenie raportowania lub wzbogacone. |
SrcPortNumber | int | Po zainicjowaniu operacji przez system zdalny numer portu, z którego zainicjowano połączenie. |
SrcRiskLevel | int | Poziom ryzyka skojarzony ze źródłem. |
_Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TargetAppId | ciąg | Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. |
TargetAppName | ciąg | Nazwa aplikacji docelowej. |
TargetAppType | ciąg | Typ aplikacji docelowej. |
TargetFileCreationTime | datetime | Godzina utworzenia pliku docelowego. |
TargetFileDirectory | ciąg | Docelowy folder lub lokalizacja pliku docelowego. |
TargetFileExtension | ciąg | Rozszerzenie pliku docelowego. |
TargetFileMD5 | ciąg | Skrót MD5 pliku docelowego. |
TargetFileMimeType | ciąg | Typ mime lub nośnika pliku docelowego. |
TargetFileName | ciąg | Nazwa pliku docelowego, bez ścieżki lub lokalizacji, ale z rozszerzeniem, jeśli ma to zastosowanie. |
TargetFilePath | ciąg | Pełna, znormalizowana ścieżka pliku docelowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. |
TargetFilePathType | ciąg | Typ elementu TargetFilePath. |
TargetFileSHA1 | ciąg | Skrót SHA-1 pliku docelowego. |
TargetFileSHA256 | ciąg | Skrót SHA-256 pliku docelowego. |
TargetFileSHA512 | ciąg | Skrót SHA-512 pliku źródłowego. |
TargetFileSize | długi | Rozmiar pliku docelowego w bajtach. |
TargetOriginalAppType | ciąg | Typ aplikacji docelowej zgłoszony przez urządzenie raportowania. |
TargetUrl | ciąg | Gdy operacja jest inicjowana przy użyciu protokołu HTTP lub HTTPS, używany jest adres URL. |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory | ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
ThreatConfidence | int | Poziom ufności zidentyfikowanego zagrożenia, znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcFilePath lub DstFilePath. |
ThreatFilePath | ciąg | Ścieżka pliku, dla której zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatFilePath reprezentuje. |
ThreatFirstReportedTime | datetime | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatId | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
ThreatIsActive | bool | Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie. |
ThreatLastReportedTime | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia zgodnie z raportem urządzenia raportowania. |
ThreatOriginalRiskLevel | ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
ThreatRiskLevel | int | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
TimeGenerated | datetime | Sygnatura czasowa odzwierciedlająca czas, w którym zdarzenie zostało wygenerowane. |
Typ | ciąg | Nazwa tabeli |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla