Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta tabela służy do zbierania zdarzeń w formacie Common Event Format, które są najczęściej wysyłane z różnych urządzeń zabezpieczeń, takich jak Check Point, Palo Alto i nie tylko.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/virtualmachines microsoft.compute/virtualmachinescalesets |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zabezpieczenia, Wgląd w Zabezpieczenia |
| Podstawowy dziennik | Tak |
| Przekształcanie podczas wprowadzania danych | Tak |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Aktywność | sznurek | Ciąg reprezentujący czytelny dla człowieka i zrozumiały opis zdarzenia. |
| Dodatkowe rozszerzenia | sznurek | Zastępcze miejsce dla dodatkowych pól. Pola są rejestrowane jako pary klucz-wartość. |
| Protokół aplikacji | sznurek | Protokół używany w aplikacji, taki jak HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS itd. |
| _RozmiarRachunku | rzeczywiste | Rozmiar rekordu w bajtach |
| NazwaHostuZbierającego | sznurek | Nazwa hosta maszyny modułu zbierającego, na którym działa agent. |
| Kierunek komunikacji | sznurek | Wszelkie informacje o kierunku, w jakim została podjęta obserwowana komunikacja. Prawidłowe wartości: 0 = przychodzące, 1 = wychodzące. |
| Komputer | sznurek | Host z Sysloga. |
| DocelowaDomenaDns | sznurek | Część DNS w pełni kwalifikowanej nazwy domenowej (FQDN). |
| NazwaHostaDocelowego | sznurek | Miejsce docelowe, do którego odnosi się zdarzenie w sieci IP. Format powinien być nazwą FQDN skojarzoną z węzłem docelowym, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host. |
| Docelowy adres IP | sznurek | Docelowy adres IPV4, do którego odnosi się zdarzenie w sieci IP. |
| Destination MAC Address | sznurek | Docelowy adres MAC (FQDN). |
| DocelowaDomenaNT | sznurek | Nazwa domeny systemu Windows adresu docelowego. |
| Port docelowy | int (integer) | Port docelowy. Prawidłowe wartości: 0– 65535. |
| Identyfikator procesu docelowego | int (integer) | Identyfikator procesu docelowego skojarzonego ze zdarzeniem. |
| NazwaProcesuDocelowego | sznurek | Nazwa procesu docelowego zdarzenia, na przykład telnetd lub sshd. |
| NazwaUsługiDocelowej | sznurek | Usługa, do której odnosi się zdarzenie. Na przykład: sshd. |
| PrzetłumaczonyAdresDocelowy | sznurek | Identyfikuje przetłumaczone miejsce docelowe, do którego odwołuje się zdarzenie w sieci IP, jako adres IP IPv4. |
| Przetłumaczony port docelowy | int (integer) | Port po translacji, taki jak zapora Prawidłowe numery portów: 0– 65535. |
| Identyfikator użytkownika docelowego | sznurek | Identyfikuje docelowego użytkownika według identyfikatora. Na przykład: w systemie Unix użytkownik główny jest zazwyczaj skojarzony z identyfikatorem użytkownika 0. |
| NazwaUżytkownikaDocelowego | sznurek | Identyfikuje docelowego użytkownika według nazwy. |
| Przywileje użytkownika docelowego | sznurek | Definiuje uprawnienia użytkownika docelowego. Prawidłowe wartości: Admninistrator, Użytkownik, Gość. |
| Działanie Urządzenia | sznurek | Działanie wspomniane w zdarzeniu. |
| Adres urządzenia | sznurek | Adres IPv4 urządzenia generującego zdarzenie. |
| DataUrządzenieWłasne1 | sznurek | Jedno z dwóch pól znacznika czasu dostępne do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| WłasnyOpisDaty1Urzadzenia | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomDate2 | sznurek | Jedno z dwóch pól znacznika czasu dostępne do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| EtykietaDopasowanejDaty2Urządzenia | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| UrządzenieNiestandardowyPunktZmiennej1 | rzeczywiste | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| EtykietaLiczbyZmiennoprzecinkowej1UrządzeniaNiestandardowego | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint2 | rzeczywiste | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| EtykietaLiczbyZmiennoprzecinkowej2UrządzeniaNiestandardowego | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint3 | rzeczywiste | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| NiestandardowaEtykietaPunktuZmiennego3Urządzenia | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint4 | rzeczywiste | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| EtykietaNiestandardowejLiczyZmiennoprzecinkowej4Urządzenia | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| SpecjalnyAdresIPv6Urządzenia1 | sznurek | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| EtykietaAdresuIPv6Urzadzenia1 | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceWłasnyAdresIPv6Numer2 | sznurek | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| EtykietaAdresuIPv6UrządzeniaDostosowanego2 | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address3 (NiestandardowyAdresIPv6Urządzenia3) | sznurek | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| EtykietaDlaNiestandardowegoAdresuIPv6Urządzenia3 | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| UrządzenieWłasnyAdresIPv64 | sznurek | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| WłasnyAdresIPv6Urządzenia4Etykieta | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| UrządzenieNumerWłasny1 | int (integer) | Wkrótce będzie niezalecanym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber1. |
| UrządzenieNiestandardowyNumer1Etykieta | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomNumber2 | int (integer) | Wkrótce będzie niezalecanym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber2. |
| EtykietaNumeruWłasnego2Urządzenia | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| NumerUrządzeniaWłasny3 | int (integer) | Wkrótce będzie niezalecanym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber3. |
| EtykietaNiestandardowegoNumeru3Urządzenia | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString1 | sznurek | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| DeviceCustomString1Label | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString2 | sznurek | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| DeviceCustomString2Etykieta | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString3 | sznurek | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| EtykietaStringuUrzadzenia3 | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString4 | sznurek | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| WartośćNiestandardowaUrzadzenia4Etykieta | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString5 | sznurek | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| DeviceCustomString5Etykieta | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString6 | sznurek | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| DeviceCustomString6Label | sznurek | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceDnsDomain | sznurek | Część domeny DNS pełnej kwalifikowanej nazwy domeny (FQDN). |
| KategoriaZdarzeniaUrządzenia | sznurek | Reprezentuje kategorię przypisaną przez urządzenie źródłowe. Urządzenia często używają własnego schematu kategoryzacji do klasyfikowania zdarzeń. Przykład: "/Monitor/Disk/Read". |
| DeviceEventClassID | sznurek | Ciąg lub liczba całkowita, która służy jako unikatowy identyfikator dla typu zdarzenia. |
| IdentyfikatorZewnętrznyUrządzenia | sznurek | Nazwa, która jednoznacznie identyfikuje urządzenie generujące zdarzenie. |
| DeviceFacility | sznurek | Obiekt generujący zdarzenie. Na przykład: auth lub local1. |
| InterfejsWejściowyUrządzenia | sznurek | Interfejs, na którym pakiet lub dane zostały wprowadzone na urządzeniu. Na przykład: ethernet1/2. |
| Adres MAC urządzenia | sznurek | Adres MAC urządzenia generującego zdarzenie. |
| Nazwa urządzenia | sznurek | FQDN skojarzony z węzłem urządzenia, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host. |
| DeviceNtDomain | sznurek | Adres urządzenia w domenie systemu Windows. |
| UrządzenieInterfejsWychodzący | sznurek | Interfejs, na którym pakiet lub dane opuściły urządzenie. |
| DevicePayloadId | sznurek | Unikatowy identyfikator ładunku skojarzonego ze zdarzeniem. |
| Produkturządzenia | sznurek | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| Strefa czasowa urządzenia | sznurek | Strefa czasowa urządzenia generującego zdarzenie. |
| AdresTłumaczonyUrządzenia | sznurek | Identyfikuje przetłumaczony adres urządzenia, do którego odnosi się zdarzenie, w sieci IP. Format to adres IPv4. |
| Dostawca urządzeń | sznurek | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| DeviceVersion | sznurek | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| Czas zakończenia | data i czas | Godzina zakończenia działania związanego ze zdarzeniem. |
| LicznikWydarzeń | int (integer) | Liczba skojarzona ze zdarzeniem pokazująca, ile razy zaobserwowano to samo zdarzenie. |
| Wynik wydarzenia | sznurek | Wyświetla wynik, zwykle jako "sukces" lub "niepowodzenie". |
| Typ zdarzenia | int (integer) | Typ zdarzenia. Wartości wartości obejmują: 0: zdarzenie podstawowe, 1: zagregowane, 2: zdarzenie korelacji, 3: zdarzenie akcji. Uwaga: to zdarzenie można pominąć dla zdarzeń podstawowych. |
| Identyfikator zewnętrzny | int (integer) | Wkrótce będzie niezalecanym polem. Zostanie zastąpiony przez ExtID. |
| ExtID | sznurek | Identyfikator używany przez urządzenie źródłowe (zastąpi starszy identyfikator ExternalID). Zazwyczaj te wartości mają coraz większe wartości, które są skojarzone ze zdarzeniem. |
| UrządzeniePoloweNumerWłasny1 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber1). Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| UrządzeniePoloweNumerKustomowy2 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber2). Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| UrządzeniePoleCustomNumber3 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber3). Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. |
| CzasUtworzeniaPliku | sznurek | Godzina utworzenia pliku. |
| Skrót pliku | sznurek | Skrót pliku. |
| Identyfikator pliku | sznurek | Identyfikator skojarzony z plikiem, taki jak inode. |
| CzasModyfikacjiPliku | sznurek | Godzina ostatniej modyfikacji pliku. |
| NazwaPliku | sznurek | Nazwa pliku bez ścieżki. |
| FilePath | sznurek | Pełna ścieżka do pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip. |
| Uprawnienia do plików | sznurek | Uprawnienia pliku. Na przykład: "2,1,1". |
| Rozmiar pliku | int (integer) | Rozmiar pliku w bajtach. |
| Typ pliku | sznurek | Typ pliku, przykładowo potok, gniazdo itp. |
| FlexDate1 | sznurek | Pole znacznika czasu dostępne do mapowania znacznika czasu, które nie ma zastosowania do żadnego innego zdefiniowanego pola znacznika czasu w tym słowniku. Używaj pól elastycznych oszczędnie i, jeśli to możliwe, poszukaj bardziej szczegółowego, przypisanego do słownika pola. Te pola są zwykle zarezerwowane do użytku przez klienta i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| EtykietaFlexData1 | sznurek | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| FlexNumber1 | int (integer) | Pola liczbowe dostępne do mapowania danych int, które nie mają zastosowania do żadnego innego pola w tym słowniku. |
| EtykietaElastycznaNumer1 | sznurek | Etykieta, która opisuje wartość w elemecie FlexNumber1 |
| FlexNumber2 | int (integer) | Pola liczbowe dostępne do mapowania danych int, które nie mają zastosowania do żadnego innego pola w tym słowniku. |
| FlexNumber2Label | sznurek | Etykieta, która opisuje wartość w aplikacji FlexNumber2 |
| FlexString1 | sznurek | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. Te pola są zwykle zarezerwowane do użytku przez klienta i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| FlexString1Label | sznurek | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| FlexString2 | sznurek | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Używaj oszczędnie i poszukaj bardziej szczegółowego, proponowanego przez słownik pola, jeśli to możliwe. Te pola są zwykle zarezerwowane do użytku przez klienta i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| FlexString2Label | sznurek | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| TypZagrożeniaWskaźnika | sznurek | Typ zagrożenia złośliwego adresu IP zgodnie z naszym źródłem informacji TI. |
| _PodlegaFakturowaniu | sznurek | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli _IsBillable false, przetwarzanie nie jest rozliczane na koncie platformy Azure. |
| LogSeverity | sznurek | Ciąg lub liczba całkowita, która opisuje znaczenie zdarzenia. Prawidłowe wartości ciągów: Nieznane, Niskie, Średnie, Wysokie, Bardzo Wysokie prawidłowe wartości całkowite to: 0-3 = Niski, 4-6 = Średni, 7-8 = Wysoki, 9-10 = Bardzo wysokie. |
| ZłośliwyIP | sznurek | Jeśli jeden z adresów IP w komunikacie został skorelowany z bieżącym zasobem informacyjnym TI, zostanie on wyświetlony tutaj. |
| ZłośliwyKrajIP | sznurek | Kraj złośliwego adresu IP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu. |
| MaliciousIPLatitude | rzeczywiste | Szerokość geograficzna złośliwego adresu IP zgodnie z informacjami geograficznymi w momencie rejestrowania danych. |
| Złośliwy elementIPLongitude | rzeczywiste | Długość geograficzna złośliwego adresu IP według informacji geograficznych w momencie wprowadzenia rekordu. |
| Wiadomość | sznurek | Komunikat z bardziej szczegółowymi informacjami o zdarzeniu. |
| CzasUtworzeniaStaregoPliku | sznurek | Czas utworzenia starego pliku. |
| OldFileHash | sznurek | Skrót starego pliku. |
| OldFileID | sznurek | Identyfikator skojarzony ze starym plikiem, na przykład inode. |
| CzasModyfikacjiStaregoPliku | sznurek | Czas ostatniej modyfikacji starego pliku. |
| StaraNazwaPliku | sznurek | Nazwa starego pliku. |
| OldFilePath | sznurek | Pełna ścieżka do starego pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip. |
| OldFilePermission | sznurek | Uprawnienia starego pliku. Na przykład: "2,1,1". |
| OldFileSize | int (integer) | Rozmiar starego pliku w bajtach. |
| TypStaregoPliku | sznurek | Typ starego pliku, taki jak potok, gniazdo itp. |
| OriginalLogSeverity | sznurek | Niemapowana wersja LogSeverity. Na przykład: Ostrzeżenie/Krytyczne/Informacje zamiast znormalizowanego Niskie/Średnie/Wysokie w polu LogSeverity |
| ProcessId | int (integer) | Definiuje identyfikator procesu na urządzeniu generującym zdarzenie. |
| Nazwa procesu | sznurek | Nazwa procesu skojarzona ze zdarzeniem. Na przykład: w systemie UNIX proces generujący wpis dziennika systemowego. |
| Protokół | sznurek | Protokół transportowy, który identyfikuje używany protokół warstwy 4. Możliwe wartości obejmują nazwy protokołów, takie jak TCP lub UDP. |
| Przyczyna | sznurek | Przyczyna wygenerowania zdarzenia inspekcji. Na przykład "złe hasło" lub "nieznany użytkownik". Może to być również błąd lub kod zwracany. Przykład: "0x1234". |
| Godzina odbioru | sznurek | Czas, w którym odebrano zdarzenie związane z daną aktywnością. Inny niż pole "Timegenerated", które jest używane, gdy zdarzenie zostało odebrane na maszynie modułu zbierającego dzienniki. |
| Odebrane bajty | długi | Liczba przetransferowanych bajtów przychodzących. |
| RemoteIP (adres IP zdalnego urządzenia) | sznurek | Zdalny adres IP pochodzący z wartości kierunku zdarzenia, jeśli jest to możliwe. |
| RemotePort | sznurek | Port zdalny określony na podstawie wartości kierunku zdarzenia, jeśli to możliwe. |
| LinkDoRaportuReferencyjnego | sznurek | Link do raportu kanału informacyjnego TI. |
| RequestClientApplication | sznurek | Agent użytkownika powiązany z żądaniem. |
| Kontekst Żądania | sznurek | Opisuje zawartość, z której pochodzi żądanie, na przykład odwołanie HTTP. |
| Zapytanie o ciasteczka | sznurek | Pliki cookie skojarzone z żądaniem. |
| MetodaŻądania | sznurek | Metoda używana do uzyskiwania dostępu do adresu URL. Prawidłowe wartości obejmują metody, takie jak POST, GET itd. |
| RequestURL | sznurek | Adres URL dostępny dla żądania HTTP, w tym protokół. Na przykład: http://www/secure.com.. |
| _ResourceId (Identyfikator Zasobu) | sznurek | Unikatowy identyfikator zasobu skojarzonego z rekordem |
| Bajty wysłane | długi | Liczba przesłanych bajtów wychodzących. |
| UproszczoneDziałanieUrządzenia | sznurek | Zamapowana wersja elementu DeviceAction, taka jak Odmowa odmowy > . |
| SourceDnsDomain | sznurek | Część domeny DNS pełnej nazwy FQDN. |
| SourceHostName | sznurek | Identyfikuje źródło, do którego odnosi się zdarzenie w sieci IP. Format powinien być w pełni kwalifikowaną nazwą domeny (FQDN) skojarzoną z węzłem źródłowym, gdy węzeł jest dostępny. Na przykład: host lub host.domain.com. |
| Źródłowy adres IP | sznurek | Źródło, do którego zdarzenie odnosi się w sieci IP, jako adres IPv4. |
| Adres MAC źródła | sznurek | Źródłowy adres MAC. |
| ŹródłoNTDomain | sznurek | Nazwa domeny systemu Windows dla adresu źródłowego. |
| SourcePort | int (integer) | Numer portu źródłowego. Prawidłowe numery portów to 0–65535. |
| IdentyfikatorŹródłowegoProcesu | int (integer) | Identyfikator procesu źródłowego skojarzonego ze zdarzeniem. |
| NazwaProcesuŹródłowego | sznurek | Nazwa procesu źródłowego zdarzenia. |
| Nazwa usługi źródłowej | sznurek | Usługa odpowiedzialna za generowanie zdarzenia. |
| SourceSystem | sznurek | Typ agenta, za pomocą którego zebrano zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows — bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla diagnostyki Azure |
| Źródłowy adres przetłumaczony | sznurek | Identyfikuje przetłumaczone źródło, do którego odnosi się zdarzenie w sieci IP. |
| SourceTranslatedPort | int (integer) | Port źródłowy po przetworzeniu, jak w przypadku zapory sieciowej. Prawidłowe numery portów to 0–65535. |
| Identyfikator użytkownika źródłowego | sznurek | Identyfikuje źródłowego użytkownika za pomocą identyfikatora. |
| SourceUserName | sznurek | Identyfikuje użytkownika źródłowego według nazwy. Adresy e-mail są również mapowane na pola UserName. Nadawca jest kandydatem do umieszczenia w tym polu. |
| UprawnieniaUżytkownikaŹródłowego | sznurek | Uprawnienia użytkownika źródłowego. Prawidłowe wartości to: Administrator, Użytkownik, Gość. |
| Czas rozpoczęcia | data i czas | Czas rozpoczęcia działania, do którego odwołuje się zdarzenie. |
| _SubscriptionId (Identyfikator subskrypcji) | sznurek | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| Identyfikator Najemcy | sznurek | Identyfikator obszaru roboczego usługi Log Analytics |
| Pewność Zagrożenia | sznurek | Pewność zagrożenia pochodzącego od ZłośliwegoIP według naszego źródła TI. |
| Opis zagrożenia | sznurek | Opis zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI. |
| PoziomZagrożeń | int (integer) | Poziom ważności zagrożenia MaliciousIP zgodnie z naszym kanałem informacyjnym bezpieczeństwa TI w momencie pozyskiwania rekordu. |
| Czas wygenerowania | data i czas | Czas zbierania zdarzeń w formacie UTC. |
| Typ | sznurek | Nazwa tabeli |