Dziennik zabezpieczeń CommonSecurityLog
Ta tabela służy do zbierania zdarzeń w formacie Common Event Format, które są najczęściej wysyłane z różnych urządzeń zabezpieczających, takich jak Check Point, Palo Alto i nie tylko.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zabezpieczenia, ZabezpieczeniaInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie w czasie pozyskiwania | Tak |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Działanie | ciąg | Ciąg reprezentujący czytelny dla człowieka i zrozumiały opis zdarzenia. |
| Dodatkowe rozszerzenia | ciąg | Symbol zastępczy dodatkowych pól. Pola są rejestrowane jako pary klucz-wartość. |
| ApplicationProtocol | ciąg | Protokół używany w aplikacji, taki jak HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS itd. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| Nazwa hosta modułu zbierającego | ciąg | Nazwa hosta maszyny modułu zbierającego, na którym działa agent. |
| CommunicationDirection | ciąg | Wszelkie informacje o kierunku, w jakim podjęto zaobserwowaną komunikację. Prawidłowe wartości: 0 = przychodzące, 1 = wychodzące. |
| Computer (Komputer) | ciąg | Host z dziennika systemowego. |
| DestinationDnsDomain | ciąg | Część DNS w pełni kwalifikowanej nazwy domeny (FQDN). |
| DestinationHostName | ciąg | Miejsce docelowe, do którego odwołuje się zdarzenie w sieci IP. Format powinien być nazwą FQDN skojarzona z węzłem docelowym, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host. |
| Docelowy adres IP | ciąg | Docelowy adres IPV4, do którego odnosi się zdarzenie w sieci IP. |
| DestinationMACAddress | ciąg | Docelowy adres MAC (FQDN). |
| DestinationNTDomain | ciąg | Nazwa domeny systemu Windows adresu docelowego. |
| DestinationPort | int | Port docelowy. Prawidłowe wartości: 0– 65535. |
| Identyfikator DestinationProcessId | int | Identyfikator procesu docelowego skojarzonego ze zdarzeniem. |
| DestinationProcessName | ciąg | Nazwa procesu docelowego zdarzenia, na przykład telnetd lub sshd. |
| DestinationServiceName | ciąg | Usługa, która jest objęta zdarzeniem. Na przykład: sshd. |
| DestinationTranslatedAddress | ciąg | Identyfikuje przetłumaczone miejsce docelowe określane przez zdarzenie w sieci IP jako adres IP IPv4. |
| DestinationTranslatedPort | int | Port po translacji, taki jak zapora Prawidłowe numery portów: 0–65535. |
| Identyfikator użytkownika docelowego | ciąg | Identyfikuje użytkownika docelowego według identyfikatora. Na przykład: w systemie Unix użytkownik główny jest zazwyczaj skojarzony z identyfikatorem użytkownika 0. |
| DestinationUserName | ciąg | Identyfikuje użytkownika docelowego według nazwy. |
| DestinationUserPrivileges | ciąg | Definiuje uprawnienia użytkownika docelowego. Prawidłowe wartości: Admninistrator, Użytkownik, Gość. |
| DeviceAction | ciąg | Akcja wymieniona w zdarzeniu. |
| DeviceAddress | ciąg | Adres IPv4 urządzenia generującego zdarzenie. |
| DeviceCustomDate1 | ciąg | Jedno z dwóch pól sygnatury czasowej dostępne do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
| DeviceCustomDate1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomDate2 | ciąg | Jedno z dwóch pól sygnatury czasowej dostępne do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
| DeviceCustomDate2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint1 | liczba rzeczywista | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomFloatingPoint1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint2 | liczba rzeczywista | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomFloatingPoint2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint3 | liczba rzeczywista | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomFloatingPoint3Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint4 | liczba rzeczywista | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomFloatingPoint4Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address1 | ciąg | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomIPv6Address1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address2 | ciąg | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomIPv6Address2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address3 | ciąg | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomIPv6Address3Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address4 | ciąg | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomIPv6Address4Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomNumber1 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomNumber2 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomNumber3 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString1 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
| DeviceCustomString1Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString2 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
| DeviceCustomString2Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString3 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
| DeviceCustomString3Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString4 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
| DeviceCustomString4Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString5 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
| DeviceCustomString5Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString6 | ciąg | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego przez słownik, jeśli jest to możliwe. |
| DeviceCustomString6Label | ciąg | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceDnsDomain | ciąg | Część domeny DNS pełnej kwalifikowanej nazwy domeny (FQDN). |
| DeviceEventCategory | ciąg | Reprezentuje kategorię przypisaną przez urządzenie źródłowe. Urządzenia często używają własnego schematu kategoryzacji do klasyfikowania zdarzeń. Przykład: "/Monitor/Disk/Read". |
| DeviceEventClassID | ciąg | Ciąg lub liczba całkowita, która służy jako unikatowy identyfikator na typ zdarzenia. |
| DeviceExternalID | ciąg | Nazwa, która jednoznacznie identyfikuje urządzenie generujące zdarzenie. |
| DeviceFacility | ciąg | Obiekt generujący wydarzenie. Na przykład: auth lub local1. |
| DeviceInboundInterface | ciąg | Interfejs, na którym został wprowadzony pakiet lub dane urządzenia. Na przykład: ethernet1/2. |
| DeviceMacAddress | ciąg | Adres MAC urządzenia generującego zdarzenie. |
| DeviceName | ciąg | Nazwa FQDN skojarzona z węzłem urządzenia, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host. |
| DeviceNtDomain | ciąg | Domena systemu Windows adresu urządzenia. |
| DeviceOutboundInterface | ciąg | Interfejs, na którym pakiet lub dane opuściły urządzenie. |
| DevicePayloadId | ciąg | Unikatowy identyfikator ładunku skojarzonego ze zdarzeniem. |
| DeviceProduct | ciąg | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| UrządzenieTimeZone | ciąg | Strefa czasowa urządzenia generującego zdarzenie. |
| DeviceTranslatedAddress | ciąg | Identyfikuje przetłumaczony adres urządzenia, do którego odnosi się zdarzenie w sieci IP. Format jest adresem Ipv4. |
| DeviceVendor | ciąg | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| DeviceVersion | ciąg | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| EndTime | datetime | Godzina zakończenia działania związanego ze zdarzeniem. |
| EventCount | int | Liczba skojarzona ze zdarzeniem pokazująca, ile razy zaobserwowano to samo zdarzenie. |
| EventOutcome | ciąg | Wyświetla wynik, zwykle jako "sukces" lub "niepowodzenie". |
| Typ zdarzenia | int | Typ zdarzenia. Wartości wartości obejmują: 0: zdarzenie podstawowe, 1: zagregowane, 2: zdarzenie korelacji, 3: zdarzenie akcji. Uwaga: to zdarzenie można pominąć dla zdarzeń podstawowych. |
| ExternalID | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez ExtID. |
| ExtID | ciąg | Identyfikator używany przez urządzenie źródłowe (spowoduje zastąpienie starszego identyfikatora ExternalID). Zazwyczaj te wartości mają coraz większe wartości, które są skojarzone ze zdarzeniem. |
| FieldDeviceCustomNumber1 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber1). Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| FieldDeviceCustomNumber2 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber2). Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| FieldDeviceCustomNumber3 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber3). Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| FileCreateTime | ciąg | Godzina utworzenia pliku. |
| Skrót pliku | ciąg | Skrót pliku. |
| Identyfikator pliku | ciąg | Identyfikator skojarzony z plikiem, taki jak inode. |
| FileModificationTime | ciąg | Godzina ostatniej modyfikacji pliku. |
| FileName | ciąg | Nazwa pliku bez ścieżki. |
| Filepath | ciąg | Pełna ścieżka do pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip. |
| FilePermission | ciąg | Uprawnienia pliku. Na przykład: "2,1,1". |
| Rozmiar pliku | int | Rozmiar pliku w bajtach. |
| Filetype | ciąg | Typ pliku, taki jak potok, gniazdo itd. |
| FlexDate1 | ciąg | Pole sygnatury czasowej dostępne do mapowania znacznika czasu, które nie ma zastosowania do żadnego innego zdefiniowanego pola znacznika czasu w tym słowniku. Używaj wszystkich pól flex oszczędnie i poszukaj bardziej szczegółowego pola dostarczonego w słowniku, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klientów i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| FlexDate1Label | ciąg | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| FlexNumber1 | int | Pola liczbowe dostępne do mapowania danych int, które nie mają zastosowania do żadnego innego pola w tym słowniku. |
| FlexNumber1Label | ciąg | Etykieta, która opisuje wartość w elemecie FlexNumber1 |
| FlexNumber2 | int | Pola liczbowe dostępne do mapowania danych int, które nie mają zastosowania do żadnego innego pola w tym słowniku. |
| FlexNumber2Label | ciąg | Etykieta, która opisuje wartość w elemecie FlexNumber2 |
| FlexString1 | ciąg | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klientów i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| FlexString1Label | ciąg | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| FlexString2 | ciąg | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klientów i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| FlexString2Label | ciąg | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| IndicatorThreatType | ciąg | Typ zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| LogSeverity | ciąg | Ciąg lub liczba całkowita opisujący znaczenie zdarzenia. Prawidłowe wartości ciągów: Nieznany, Niski, Średni, Wysoki, Very-High Prawidłowe wartości całkowite to: 0-3 = Niski, 4-6 = Średni, 7-8 = Wysoki, 9–10 = Bardzo wysoki. |
| MaliciousIP | ciąg | Jeśli jeden z adresów IP w komunikacie był skorelowany z bieżącym kanałem informacyjnym TI, zostanie wyświetlony tutaj. |
| Złośliwe kontoIP | ciąg | Kraj złośliwego koduIP zgodnie z informacjami GEO w momencie pozyskiwania rekordu. |
| Złośliwy adresIPLatitude | liczba rzeczywista | Szerokość geograficzna złośliwego adresuIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu. |
| Złośliwy elementIPLongitude | liczba rzeczywista | Długość geograficzna złośliwego koduIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu. |
| Komunikat | ciąg | Komunikat, który zawiera więcej szczegółów dotyczących zdarzenia. |
| OldFileCreateTime | ciąg | Godzina utworzenia starego pliku. |
| OldFileHash | ciąg | Skrót starego pliku. |
| OldFileID | ciąg | Identyfikator skojarzony ze starym plikiem, taki jak nazwa inode. |
| OldFileModificationTime | ciąg | Czas ostatniej modyfikacji starego pliku. |
| OldFileName | ciąg | Nazwa starego pliku. |
| OldFilePath | ciąg | Pełna ścieżka do starego pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip. |
| OldFilePermission | ciąg | Uprawnienia starego pliku. Na przykład: "2,1,1". |
| OldFileSize | int | Rozmiar starego pliku w bajtach. |
| OldFileType | ciąg | Typ pliku starego, takiego jak potok, gniazdo itd. |
| OriginalLogSeverity | ciąg | Niemapowana wersja usługi LogSeverity. Na przykład: Ostrzeżenie/Krytyczne/Informacje zamiast normilized niski/średni/wysoki w polu LogSeverity |
| ProcessId | int | Definiuje identyfikator procesu na urządzeniu generującym zdarzenie. |
| ProcessName | ciąg | Nazwa procesu skojarzona ze zdarzeniem. Na przykład: w systemie UNIX proces generujący wpis dziennika systemowego. |
| Protokół | ciąg | Protokół transportu identyfikujący używany protokół Warstwy 4. Możliwe wartości obejmują nazwy protokołów, takie jak TCP lub UDP. |
| Przyczyna | ciąg | Przyczyna wygenerowania zdarzenia inspekcji. Na przykład "nieprawidłowe hasło" lub "nieznany użytkownik". Może to być również błąd lub kod zwracany. Przykład: "0x1234". |
| Godzina paragonu | ciąg | Czas odebrania zdarzenia związanego z działaniem. Różni się od pola "Timegenerated", czyli wtedy, gdy zdarzenie zostało odebrane na maszynie modułu zbierającego dzienniki. |
| ReceivedBytes | długi | Liczba przetransferowanych bajtów przychodzących. |
| RemoteIP | ciąg | Zdalny adres IP, pochodzący z wartości kierunku zdarzenia, jeśli jest to możliwe. |
| RemotePort | ciąg | Port zdalny, pochodzący z wartości kierunku zdarzenia, jeśli jest to możliwe. |
| ReportReferenceLink | ciąg | Link do raportu kanału informacyjnego TI. |
| RequestClientApplication | ciąg | Agent użytkownika skojarzony z żądaniem. |
| Requestcontext | ciąg | Opisuje zawartość, z której pochodzi żądanie, na przykład odwołanie HTTP. |
| RequestCookies | ciąg | Pliki cookie skojarzone z żądaniem. |
| RequestMethod | ciąg | Metoda używana do uzyskiwania dostępu do adresu URL. Prawidłowe wartości obejmują metody, takie jak POST, GET itd. |
| RequestURL | ciąg | Adres URL dostępny dla żądania HTTP, w tym protokół. Na przykład: http://www/secure.com. |
| _Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
| SentBytes | długi | Liczba przetransferowanych bajtów wychodzących. |
| SimplifiedDeviceAction | ciąg | Zamapowana wersja elementu DeviceAction, taka jak Odmowa odmowy > . |
| SourceDnsDomain | ciąg | Część domeny DNS pełnej nazwy FQDN. |
| SourceHostName | ciąg | Identyfikuje źródło, do którego odwołuje się zdarzenie w sieci IP. Format powinien być w pełni kwalifikowaną nazwą domeny (DQDN) skojarzona z węzłem źródłowym, gdy węzeł jest dostępny. Na przykład: host lub host.domain.com. |
| SourceIP | ciąg | Źródło, do którego zdarzenie odwołuje się w sieci IP, jako adres IPv4. |
| SourceMACAddress | ciąg | Źródłowy adres MAC. |
| SourceNTDomain | ciąg | Nazwa domeny systemu Windows dla adresu źródłowego. |
| ŹródłoPort | int | Numer portu źródłowego. Prawidłowe numery portów to 0–65535. |
| Identyfikator SourceProcessId | int | Identyfikator procesu źródłowego skojarzonego ze zdarzeniem. |
| SourceProcessName | ciąg | Nazwa procesu źródłowego zdarzenia. |
| Nazwa usługi źródłowej | ciąg | Usługa odpowiedzialna za generowanie zdarzenia. |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| SourceTranslatedAddress | ciąg | Identyfikuje przetłumaczone źródło, do którego odwołuje się zdarzenie w sieci IP. |
| SourceTranslatedPort | int | Port źródłowy po translacji, taki jak zapora. Prawidłowe numery portów to 0–65535. |
| Identyfikator użytkownika źródłowego | ciąg | Identyfikuje użytkownika źródłowego według identyfikatora. |
| SourceUserName | ciąg | Identyfikuje użytkownika źródłowego według nazwy. Email adresy są również mapowane na pola UserName. Nadawca jest kandydatem do umieszczenia w tym polu. |
| SourceUserPrivileges | ciąg | Uprawnienia użytkownika źródłowego. Prawidłowe wartości to: Administrator, Użytkownik, Gość. |
| StartTime | datetime | Czas rozpoczęcia działania, do którego odwołuje się zdarzenie. |
| _Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatConfidence | ciąg | Zaufanie do zagrożenia złośliwego koduIP zgodnie z naszym kanałem TI. |
| ThreatDescription | ciąg | Opis zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI. |
| ThreatSeverity | int | Ważność zagrożenia złośliwego koduIP zgodnie z naszym kanałem INFORMACYJNym TI w momencie pozyskiwania rekordu. |
| TimeGenerated | datetime | Czas zbierania zdarzeń w formacie UTC. |
| Typ | ciąg | Nazwa tabeli |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla