Dziennik zabezpieczeń CommonSecurityLog
Ta tabela służy do zbierania zdarzeń w formacie Common Event Format, które są najczęściej wysyłane z różnych urządzeń zabezpieczających, takich jak Check Point, Palo Alto i nie tylko.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Kategorie | Zabezpieczenia |
Rozwiązania | Zabezpieczenia, ZabezpieczeniaInsights |
Dziennik podstawowy | Nie |
Przekształcanie w czasie pozyskiwania | Tak |
Przykładowe zapytania | Tak |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
Działanie | ciąg | Ciąg reprezentujący czytelny dla człowieka i zrozumiały opis zdarzenia. |
Dodatkowe rozszerzenia | ciąg | Symbol zastępczy dodatkowych pól. Pola są rejestrowane jako pary klucz-wartość. |
ApplicationProtocol | ciąg | Protokół używany w aplikacji, taki jak HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS itd. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
Nazwa hosta modułu zbierającego | ciąg | Nazwa hosta maszyny modułu zbierającego, na którym działa agent. |
CommunicationDirection | ciąg | Wszelkie informacje o kierunku, w jakim podjęto zaobserwowaną komunikację. Prawidłowe wartości: 0 = przychodzące, 1 = wychodzące. |
Computer (Komputer) | ciąg | Host z dziennika systemowego. |
DestinationDnsDomain | ciąg | Część DNS w pełni kwalifikowanej nazwy domeny (FQDN). |
DestinationHostName | ciąg | Miejsce docelowe, do którego odwołuje się zdarzenie w sieci IP. Format powinien być nazwą FQDN skojarzona z węzłem docelowym, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host. |
Docelowy adres IP | ciąg | Docelowy adres IPV4, do którego odnosi się zdarzenie w sieci IP. |
DestinationMACAddress | ciąg | Docelowy adres MAC (FQDN). |
DestinationNTDomain | ciąg | Nazwa domeny systemu Windows adresu docelowego. |
DestinationPort | int | Port docelowy. Prawidłowe wartości: 0– 65535. |
Identyfikator DestinationProcessId | int | Identyfikator procesu docelowego skojarzonego ze zdarzeniem. |
DestinationProcessName | ciąg | Nazwa procesu docelowego zdarzenia, na przykład telnetd lub sshd. |
DestinationServiceName | ciąg | Usługa, która jest objęta zdarzeniem. Na przykład: sshd. |
DestinationTranslatedAddress | ciąg | Identyfikuje przetłumaczone miejsce docelowe określane przez zdarzenie w sieci IP jako adres IP IPv4. |
DestinationTranslatedPort | int | Port po translacji, taki jak zapora Prawidłowe numery portów: 0–65535. |
Identyfikator użytkownika docelowego | ciąg | Identyfikuje użytkownika docelowego według identyfikatora. Na przykład: w systemie Unix użytkownik główny jest zazwyczaj skojarzony z identyfikatorem użytkownika 0. |
DestinationUserName | ciąg | Identyfikuje użytkownika docelowego według nazwy. |
DestinationUserPrivileges | ciąg | Definiuje uprawnienia użytkownika docelowego. Prawidłowe wartości: Admninistrator, Użytkownik, Gość. |
DeviceAction | ciąg | Akcja wymieniona w zdarzeniu. |
DeviceAddress | ciąg | Adres IPv4 urządzenia generującego zdarzenie. |
DeviceCustomDate1 | ciąg | Jedno z dwóch pól sygnatury czasowej dostępne do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
DeviceCustomDate1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomDate2 | ciąg | Jedno z dwóch pól sygnatury czasowej dostępne do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
DeviceCustomDate2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomFloatingPoint1 | liczba rzeczywista | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
DeviceCustomFloatingPoint1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomFloatingPoint2 | liczba rzeczywista | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
DeviceCustomFloatingPoint2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomFloatingPoint3 | liczba rzeczywista | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
DeviceCustomFloatingPoint3Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomFloatingPoint4 | liczba rzeczywista | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
DeviceCustomFloatingPoint4Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomIPv6Address1 | ciąg | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
DeviceCustomIPv6Address1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomIPv6Address2 | ciąg | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
DeviceCustomIPv6Address2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomIPv6Address3 | ciąg | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
DeviceCustomIPv6Address3Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomIPv6Address4 | ciąg | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
DeviceCustomIPv6Address4Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomNumber1 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber1. |
DeviceCustomNumber1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomNumber2 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber2. |
DeviceCustomNumber2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomNumber3 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber3. |
DeviceCustomNumber3Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomString1 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
DeviceCustomString1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomString2 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
DeviceCustomString2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomString3 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
DeviceCustomString3Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomString4 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
DeviceCustomString4Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomString5 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
DeviceCustomString5Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceCustomString6 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
DeviceCustomString6Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
DeviceDnsDomain | ciąg | Część domeny DNS pełnej kwalifikowanej nazwy domeny (FQDN). |
DeviceEventCategory | ciąg | Reprezentuje kategorię przypisaną przez urządzenie źródłowe. Urządzenia często używają własnego schematu kategoryzacji do klasyfikowania zdarzeń. Przykład: "/Monitor/Disk/Read". |
DeviceEventClassID | ciąg | Ciąg lub liczba całkowita, która służy jako unikatowy identyfikator na typ zdarzenia. |
DeviceExternalID | ciąg | Nazwa, która jednoznacznie identyfikuje urządzenie generujące zdarzenie. |
DeviceFacility | ciąg | Obiekt generujący wydarzenie. Na przykład: auth lub local1. |
DeviceInboundInterface | ciąg | Interfejs, na którym został wprowadzony pakiet lub dane urządzenia. Na przykład: ethernet1/2. |
DeviceMacAddress | ciąg | Adres MAC urządzenia generującego zdarzenie. |
DeviceName | ciąg | Nazwa FQDN skojarzona z węzłem urządzenia, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host. |
DeviceNtDomain | ciąg | Domena systemu Windows adresu urządzenia. |
DeviceOutboundInterface | ciąg | Interfejs, na którym pakiet lub dane opuściły urządzenie. |
DevicePayloadId | ciąg | Unikatowy identyfikator ładunku skojarzonego ze zdarzeniem. |
DeviceProduct | ciąg | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
UrządzenieTimeZone | ciąg | Strefa czasowa urządzenia generującego zdarzenie. |
DeviceTranslatedAddress | ciąg | Identyfikuje przetłumaczony adres urządzenia, do którego odnosi się zdarzenie w sieci IP. Format jest adresem Ipv4. |
DeviceVendor | ciąg | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
DeviceVersion | ciąg | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
EndTime | datetime | Godzina zakończenia działania związanego ze zdarzeniem. |
EventCount | int | Liczba skojarzona ze zdarzeniem pokazująca, ile razy zaobserwowano to samo zdarzenie. |
EventOutcome | ciąg | Wyświetla wynik, zwykle jako "sukces" lub "niepowodzenie". |
Typ zdarzenia | int | Typ zdarzenia. Wartości wartości obejmują: 0: zdarzenie podstawowe, 1: zagregowane, 2: zdarzenie korelacji, 3: zdarzenie akcji. Uwaga: to zdarzenie można pominąć dla zdarzeń podstawowych. |
ExternalID | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez ExtID. |
ExtID | ciąg | Identyfikator używany przez urządzenie źródłowe (spowoduje zastąpienie starszego identyfikatora ExternalID). Zazwyczaj te wartości mają coraz większe wartości, które są skojarzone ze zdarzeniem. |
FieldDeviceCustomNumber1 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber1). Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
FieldDeviceCustomNumber2 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber2). Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
FieldDeviceCustomNumber3 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber3). Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
FileCreateTime | ciąg | Godzina utworzenia pliku. |
Skrót pliku | ciąg | Skrót pliku. |
Identyfikator pliku | ciąg | Identyfikator skojarzony z plikiem, taki jak inode. |
FileModificationTime | ciąg | Godzina ostatniej modyfikacji pliku. |
FileName | ciąg | Nazwa pliku bez ścieżki. |
Filepath | ciąg | Pełna ścieżka do pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip. |
FilePermission | ciąg | Uprawnienia pliku. Na przykład: "2,1,1". |
Rozmiar pliku | int | Rozmiar pliku w bajtach. |
Filetype | ciąg | Typ pliku, taki jak potok, gniazdo itd. |
FlexDate1 | ciąg | Pole sygnatury czasowej dostępne do mapowania znacznika czasu, które nie ma zastosowania do żadnego innego zdefiniowanego pola znacznika czasu w tym słowniku. Używaj wszystkich pól flex oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego w słowniku, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klientów i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
FlexDate1Label | ciąg | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
FlexNumber1 | int | Pola liczbowe dostępne do mapowania danych int, które nie mają zastosowania do żadnego innego pola w tym słowniku. |
FlexNumber1Label | ciąg | Etykieta, która opisuje wartość w elemecie FlexNumber1 |
FlexNumber2 | int | Pola liczbowe dostępne do mapowania danych int, które nie mają zastosowania do żadnego innego pola w tym słowniku. |
FlexNumber2Label | ciąg | Etykieta, która opisuje wartość w elemecie FlexNumber2 |
FlexString1 | ciąg | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klientów i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
FlexString1Label | ciąg | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
FlexString2 | ciąg | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klientów i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
FlexString2Label | ciąg | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
IndicatorThreatType | ciąg | Typ zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
LogSeverity | ciąg | Ciąg lub liczba całkowita opisujący znaczenie zdarzenia. Prawidłowe wartości ciągów: Nieznany, Niski, Średni, Wysoki, Very-High Prawidłowe wartości całkowite to: 0-3 = Niski, 4-6 = Średni, 7-8 = Wysoki, 9–10 = Bardzo wysoki. |
MaliciousIP | ciąg | Jeśli jeden z adresów IP w komunikacie był skorelowany z bieżącym kanałem informacyjnym TI, zostanie wyświetlony tutaj. |
Złośliwe kontoIP | ciąg | Kraj złośliwego koduIP zgodnie z informacjami GEO w momencie pozyskiwania rekordu. |
Złośliwy adresIPLatitude | liczba rzeczywista | Szerokość geograficzna złośliwego adresuIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu. |
Złośliwy elementIPLongitude | liczba rzeczywista | Długość geograficzna złośliwego koduIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu. |
Komunikat | ciąg | Komunikat, który zawiera więcej szczegółów dotyczących zdarzenia. |
OldFileCreateTime | ciąg | Godzina utworzenia starego pliku. |
OldFileHash | ciąg | Skrót starego pliku. |
OldFileID | ciąg | Identyfikator skojarzony ze starym plikiem, taki jak nazwa inode. |
OldFileModificationTime | ciąg | Czas ostatniej modyfikacji starego pliku. |
OldFileName | ciąg | Nazwa starego pliku. |
OldFilePath | ciąg | Pełna ścieżka do starego pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip. |
OldFilePermission | ciąg | Uprawnienia starego pliku. Na przykład: "2,1,1". |
OldFileSize | int | Rozmiar starego pliku w bajtach. |
OldFileType | ciąg | Typ pliku starego, takiego jak potok, gniazdo itd. |
OriginalLogSeverity | ciąg | Niemapowana wersja usługi LogSeverity. Na przykład: Ostrzeżenie/Krytyczne/Informacje zamiast normilized niski/średni/wysoki w polu LogSeverity |
ProcessId | int | Definiuje identyfikator procesu na urządzeniu generującym zdarzenie. |
ProcessName | ciąg | Nazwa procesu skojarzona ze zdarzeniem. Na przykład: w systemie UNIX proces generujący wpis dziennika systemowego. |
Protokół | ciąg | Protokół transportu identyfikujący używany protokół Warstwy 4. Możliwe wartości obejmują nazwy protokołów, takie jak TCP lub UDP. |
Przyczyna | ciąg | Przyczyna wygenerowania zdarzenia inspekcji. Na przykład "nieprawidłowe hasło" lub "nieznany użytkownik". Może to być również błąd lub kod zwracany. Przykład: "0x1234". |
Godzina paragonu | ciąg | Czas odebrania zdarzenia związanego z działaniem. Różni się od pola "Timegenerated", czyli wtedy, gdy zdarzenie zostało odebrane na maszynie modułu zbierającego dzienniki. |
ReceivedBytes | długi | Liczba przetransferowanych bajtów przychodzących. |
RemoteIP | ciąg | Zdalny adres IP, pochodzący z wartości kierunku zdarzenia, jeśli jest to możliwe. |
RemotePort | ciąg | Port zdalny, pochodzący z wartości kierunku zdarzenia, jeśli jest to możliwe. |
ReportReferenceLink | ciąg | Link do raportu kanału informacyjnego TI. |
RequestClientApplication | ciąg | Agent użytkownika skojarzony z żądaniem. |
Requestcontext | ciąg | Opisuje zawartość, z której pochodzi żądanie, na przykład odwołanie HTTP. |
RequestCookies | ciąg | Pliki cookie skojarzone z żądaniem. |
RequestMethod | ciąg | Metoda używana do uzyskiwania dostępu do adresu URL. Prawidłowe wartości obejmują metody, takie jak POST, GET itd. |
RequestURL | ciąg | Adres URL dostępny dla żądania HTTP, w tym protokół. Na przykład: http://www/secure.com. |
_Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
SentBytes | długi | Liczba przetransferowanych bajtów wychodzących. |
SimplifiedDeviceAction | ciąg | Zamapowana wersja elementu DeviceAction, taka jak Odmowa odmowy > . |
SourceDnsDomain | ciąg | Część domeny DNS pełnej nazwy FQDN. |
SourceHostName | ciąg | Identyfikuje źródło, do którego odwołuje się zdarzenie w sieci IP. Format powinien być w pełni kwalifikowaną nazwą domeny (DQDN) skojarzona z węzłem źródłowym, gdy węzeł jest dostępny. Na przykład: host lub host.domain.com. |
SourceIP | ciąg | Źródło, do którego zdarzenie odwołuje się w sieci IP, jako adres IPv4. |
SourceMACAddress | ciąg | Źródłowy adres MAC. |
SourceNTDomain | ciąg | Nazwa domeny systemu Windows dla adresu źródłowego. |
ŹródłoPort | int | Numer portu źródłowego. Prawidłowe numery portów to 0–65535. |
Identyfikator SourceProcessId | int | Identyfikator procesu źródłowego skojarzonego ze zdarzeniem. |
SourceProcessName | ciąg | Nazwa procesu źródłowego zdarzenia. |
Nazwa usługi źródłowej | ciąg | Usługa odpowiedzialna za generowanie zdarzenia. |
SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
SourceTranslatedAddress | ciąg | Identyfikuje przetłumaczone źródło, do którego odwołuje się zdarzenie w sieci IP. |
SourceTranslatedPort | int | Port źródłowy po translacji, taki jak zapora. Prawidłowe numery portów to 0–65535. |
Identyfikator użytkownika źródłowego | ciąg | Identyfikuje użytkownika źródłowego według identyfikatora. |
SourceUserName | ciąg | Identyfikuje użytkownika źródłowego według nazwy. Email adresy są również mapowane na pola UserName. Nadawca jest kandydatem do umieszczenia w tym polu. |
SourceUserPrivileges | ciąg | Uprawnienia użytkownika źródłowego. Prawidłowe wartości to: Administrator, Użytkownik, Gość. |
StartTime | datetime | Czas rozpoczęcia działania, do którego odwołuje się zdarzenie. |
_Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
ThreatConfidence | ciąg | Zaufanie do zagrożenia złośliwego koduIP zgodnie z naszym kanałem TI. |
ThreatDescription | ciąg | Opis zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI. |
ThreatSeverity | int | Ważność zagrożenia złośliwego koduIP zgodnie z naszym kanałem INFORMACYJNym TI w momencie pozyskiwania rekordu. |
TimeGenerated | datetime | Czas zbierania zdarzeń w formacie UTC. |
Typ | ciąg | Nazwa tabeli |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla