ASimRegistryEventLogs
Schemat zdarzeń rejestru ASim reprezentuje działanie systemu Windows dotyczące tworzenia, modyfikowania lub usuwania jednostek rejestru systemu Windows. Zdarzenia rejestru są specyficzne dla systemów Windows, ale są zgłaszane przez różne systemy, które monitorują system Windows, takie jak systemy EDR (wykrywanie i reagowanie punktu końcowego), Sysmon lub sam system Windows.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | microsoft.securityinsights/asimtables |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie w czasie pozyskiwania | Tak |
Przykładowe zapytania | - |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
ActingProcessCommandLine | ciąg | Wiersz polecenia używany do uruchamiania procesu. |
ActingProcessGuid | ciąg | Wygenerowany unikatowy identyfikator działającego procesu. |
ActingProcessId | ciąg | Identyfikator procesu działającego. |
ActingProcessName | ciąg | Nazwa pliku działającego pliku obrazu procesu. |
ActorOriginalUserType | ciąg | Typ użytkownika oryginalnego aktora, jeśli został podany przez źródło. |
AktorZakres | ciąg | Zakres, taki jak Azure AD dzierżawa, w której zdefiniowano element ActorUserId i ActorUsername. |
ActorScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD identyfikator dzierżawy, w którym zdefiniowano element ActorUserId i ActorUsername. |
ActorSessionId | ciąg | Unikatowy identyfikator sesji logowania aktora. |
ActorUserAadId | ciąg | Identyfikator usługi Azure Active Directory aktora. |
ActorUserId | ciąg | Unikatowy identyfikator aktora. |
ActorUserIdType | ciąg | Typ identyfikatora przechowywanego w polu ActorUserId. |
ActorUsername | ciąg | Nazwa użytkownika, który zainicjował zdarzenie. |
ActorUsernameType | ciąg | Określa typ nazwy użytkownika przechowywanej w polu ActorUsername. |
ActorUserSid | ciąg | Identyfikator użytkownika systemu Windows (SID) aktora. |
ActorUserType | ciąg | Typ aktora. |
Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
DvcAction | ciąg | W przypadku raportowania systemów zabezpieczeń akcja wykonywana przez system. |
DvcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. |
DvcDomain | ciąg | Domena urządzenia zgłaszające zdarzenie. |
DvcDomainType | ciąg | Typ dvcDomain. |
DvcFQDN | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcHostname | ciąg | Nazwa hosta urządzenia zgłaszające zdarzenie. |
DvcId | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcIdType | ciąg | Typ dvcId. |
DvcInterface | ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. |
DvcIpAddr | ciąg | Adres IP urządzenia zgłasza zdarzenie. |
DvcMacAddr | ciąg | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOriginalAction | ciąg | Oryginalna funkcja DvcAction dostarczona przez urządzenie raportowania. |
DvcOs | ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOsVersion | ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje nazwę subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcZone | ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
EventCount | int | Liczba zdarzeń opisanych przez rekord. |
EventEndTime | datetime | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
EventMessage | ciąg | Ogólny komunikat lub opis. |
EventOriginalResultDetails | ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. |
EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. |
EventOriginalSubType | ciąg | Oryginalny podtyp zdarzenia lub identyfikator, jeśli zostanie podany przez źródło. |
EventOriginalType | ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli zostanie podany przez źródło. |
EventOriginalUid | ciąg | . |
EventOwner | ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
EventProduct | ciąg | Produkt generujący zdarzenie. |
EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
EventReportUrl | ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
EventResultDetails | ciąg | Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult. |
EventSchema | ciąg | Nazwa schematu. |
EventSchemaVersion | ciąg | Wersja schematu. |
EventSeverity | ciąg | Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
EventStartTime | datetime | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
EventSubType | ciąg | Opisuje podział operacji zgłoszonej w polu EventType. |
Typ zdarzenia | ciąg | Opisuje operację zgłoszoną przez rekord. |
EventVendor | ciąg | Dostawca produktu generującego zdarzenie. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
ParentProcessCommandLine | ciąg | Wiersz polecenia używany do uruchamiania procesu. |
ParentProcessGuid | ciąg | Wygenerowany unikatowy identyfikator procesu nadrzędnego. |
ParentProcessId | ciąg | Identyfikator procesu nadrzędnego. |
ParentProcessName | ciąg | Nazwa pliku obrazu procesu nadrzędnego. |
Registrykey | ciąg | Klucz rejestru skojarzony z operacją znormalizowany do standardowych konwencji nazewnictwa kluczy głównych. |
RegistryPreviousKey | ciąg | W przypadku operacji modyfikujących rejestr oryginalny klucz rejestru znormalizowany do standardowego nazewnictwa klucza głównego. |
RegistryPreviousValue | ciąg | W przypadku operacji modyfikujących rejestr oryginalny typ wartości znormalizowany do formularza standardowego. |
RegistryPreviousValueData | ciąg | Oryginalne dane rejestru dla operacji modyfikujących rejestr. |
RegistryPreviousValueType | ciąg | W przypadku operacji modyfikujących rejestr oryginalny typ wartości. |
RegistryValue | ciąg | Wartość rejestru skojarzona z operacją. |
RegistryValueData | ciąg | Dane przechowywane w wartości rejestru. |
RegistryValueType | ciąg | Typ wartości rejestru znormalizowany do formularza standardowego. |
_Resourceid | ciąg | Unikatowy identyfikator zasobu skojarzonego z rekordem |
Rulename | ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
RuleNumber | int | Liczba reguł skojarzonych z wynikami inspekcji. |
SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
_Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory | ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatConfidence | int | Poziom ufności zidentyfikowanego zagrożenia, znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. |
ThreatFirstReportedTime | datetime | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatId | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatIsActive | bool | Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uważany za aktywne zagrożenie. |
ThreatLastReportedTime | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania. |
ThreatOriginalRiskLevel | ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
ThreatRiskLevel | int | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
TimeGenerated | datetime | Sygnatura czasowa (UTC) odzwierciedla czas wygenerowania zdarzenia. |
Typ | ciąg | Nazwa tabeli |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla