ASimAuthenticationEventLogs
Tabela de eventos de autenticação normalizada do Microsoft Sentinel. Armazena eventos associados, por exemplo, com a autenticação do usuário, a entrada e a saída.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/authenticationevent |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | No |
| Transformação de tempo de ingestão | Yes |
| Consultas de amostras | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| ActingAppId | string | A ID do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço. |
| ActingAppName | string | O nome do aplicativo que autoriza em nome do ator, incluindo um processo, navegador ou serviço. |
| ActingAppType | string | O tipo de aplicativo de ação. |
| ActingOriginalAppType | string | O tipo de aplicativo em ação, conforme relatado pelo dispositivo de relatório. |
| ActorOriginalUserType | string | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
| ActorScope | string | O escopo, como o locatário do Azure AD, no qual ActorUserId e ActorUsername são definidos. |
| ActorScopeId | string | A ID de escopo, como Azure AD ID de locatário, na qual ActorUserId e ActorUsername são definidos. |
| ActorSessionId | string | A ID exclusiva da sessão de entrada do Ator. |
| string | Uma representação exclusiva, alfanumérica e legível por computador do ator. | |
| ActorUserIdType | string | O tipo da ID armazenada no campo ActorUserId. |
| ActorUsername | string | O nome de usuário do Ator, incluindo informações de domínio quando disponíveis. |
| ActorUsernameType | string | Especifica o tipo do nome de usuário armazenado no campo ActorUsername. |
| ActorUserType | string | O tipo do ator. |
| AdditionalFields | dinâmico | Informações adicionais, representadas usando pares chave/valor fornecidos pela origem que não são mapeadas para o ASim. |
| _BilledSize | real | O tamanho do registro em bytes |
| DvcAction | string | Para relatar sistemas de segurança, a ação executada pelo sistema. |
| DvcDescription | string | Um texto descritivo associado ao dispositivo. |
| DvcDomain | string | O domínio do dispositivo que relata o evento. |
| DvcDomainType | string | O tipo de DvcDomain. |
| DvcFQDN | string | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcHostname | string | O nome do host do dispositivo que relata o evento. |
| DvcId | string | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcIdType | string | O tipo de DvcId. |
| DvcInterface | string | A interface de rede em que os dados foram capturados. |
| DvcIpAddr | string | O endereço IP do dispositivo que relata o evento. |
| DvcMacAddr | string | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcOriginalAction | string | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
| DvcOs | string | O sistema operacional em execução no dispositivo em que o evento ocorreu ou que relatou o evento. |
| DvcOsVersion | string | A versão do sistema operacional do dispositivo em que o evento ocorreu ou que relatou o evento. |
| DvcScope | string | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| DvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| DvcZone | string | A rede na qual o evento ocorreu ou que relatou o evento. |
| EventCount | INT | O número de eventos descritos pelo registro. |
| EventEndTime | DATETIME | A hora em que o evento terminou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| EventMessage | string | Uma mensagem ou descrição geral. |
| EventOriginalResultDetails | string | Os detalhes do resultado original fornecidos pela origem. |
| EventOriginalSeverity | string | A severidade original, conforme fornecido pelo dispositivo de relatório. |
| EventOriginalSubType | string | O subtipo ou a ID do evento original, se fornecido pela origem. |
| EventOriginalType | string | O ID ou tipo de evento original, se fornecido pela origem. |
| EventOriginalUid | string | Uma ID exclusiva do registro original, se fornecida pela origem. |
| EventOwner | string | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
| EventProduct | string | O produto que gera o evento. |
| EventProductVersion | string | A versão do produto que gera o evento. |
| EventReportUrl | string | Uma URL fornecida no evento para um recurso que apresenta informações adicionais sobre o evento. |
| EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
| EventResultDetails | string | Os detalhes associados ao resultado do evento. Normalmente, esse campo é preenchido quando o resultado é uma falha. |
| EventSchemaVersion | string | A versão do esquema. |
| EventSeverity | string | Gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime | DATETIME | A hora em que o evento iniciou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| EventSubType | string | O tipo de entrada, por exemplo, System, Interactive, RemoteInteractive, Service, RemoteService, Remote ou AssumeRole. |
| EventType | string | Descreve a operação relatada pelo registro |
| EventVendor | string | O fornecedor do produto que gera o evento. |
| HttpUserAgent | string | Quando a autenticação é executada por HTTP ou HTTPS, o valor desse campo é o cabeçalho HTTP user_agent fornecido pelo aplicativo de ação ao executar a autenticação. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| LogonMethod | string | O método usado para realizar a autenticação. |
| LogonProtocol | string | O protocolo usado para realizar a autenticação. |
| _ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
| RuleName | string | O nome ou a ID da regra associada aos resultados da inspeção. |
| RuleNumber | INT | O número da regra associada aos resultados da inspeção. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| SrcDescription | string | Um texto descritivo associado ao dispositivo de origem. |
| SrcDeviceType | string | O tipo do dispositivo de origem. |
| SrcDomain | string | O domínio do dispositivo de origem. |
| SrcDomainType | string | O tipo de SrcDomain. |
| SrcDvcId | string | A ID do dispositivo de origem. |
| SrcDvcIdType | string | Tipo de SrcDvcId. |
| SrcDvcOs | string | O sistema operacional do dispositivo de origem. |
| SrcDvcScope | string | O escopo da plataforma de nuvem ao qual o dispositivo de origem pertence. Mapa do SrcDvcScope para uma ID da assinatura no Azure e para uma ID da conta no AWS. |
| SrcDvcScopeId | string | A ID de escopo da plataforma de nuvem à qual o dispositivo de origem pertence. Mapa do SrcDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| SrcFQDN | string | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. |
| SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
| SrcGeoCountry | string | O país associado ao endereço IP de origem. |
| SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion | string | A região em um país associado ao endereço IP de origem. |
| SrcHostname | string | O nome do host do dispositivo de origem, incluindo informações de domínio. |
| SrcIpAddr | string | O endereço IP do dispositivo de origem. |
| SrcIsp | string | O provedor de serviços de Internet (ISP) usado pelo dispositivo de origem para se conectar à Internet. |
| SrcOriginalRiskLevel | string | O nível de risco associado à Fonte identificada, conforme relatado pelo dispositivo de relatório. |
| SrcPortNumber | INT | A porta IP em que a conexão foi originada. |
| SrcRiskLevel | INT | O nível de risco associado à Origem identificada. |
| _SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
| TargetAppId | string | A ID do aplicativo para o qual a autorização é necessária, geralmente atribuída pelo dispositivo de relatório. |
| string | O nome do aplicativo para o qual a autorização é necessária, incluindo um serviço, uma URL ou um aplicativo SaaS. | |
| TargetAppType | string | O tipo de aplicativo que está autorizando em nome do ator. |
| TargetDescription | string | Um texto descritivo associado ao dispositivo de destino. |
| TargetDeviceType | string | O tipo do dispositivo de destino. |
| string | O domínio do dispositivo de destino. | |
| TargetDomainType | string | Tipo de TargetDomain. |
| TargetDvcId | string | A ID do dispositivo de destino. |
| TargetDvcIdType | string | Tipo de TargetDvcId. |
| TargetDvcOs | string | O sistema operacional do dispositivo de destino. |
| TargetDvcScope | string | O escopo da plataforma de nuvem ao qual o dispositivo de destino pertence. Mapa do TargetDvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| TargetDvcScopeId | string | A ID de escopo da plataforma de nuvem à qual o dispositivo de destino pertence. Mapa do TargetDvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| TargetFQDN | string | O nome do host do dispositivo de destino, incluindo informações de domínio quando disponíveis. |
| TargetGeoCity | string | A cidade associada ao endereço IP de destino. |
| TargetGeoCountry | string | O país associado ao endereço IP de destino. |
| TargetGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
| TargetGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
| TargetGeoRegion | string | A região em um país associada ao endereço IP de destino. |
| TargetHostname | string | O nome do host do dispositivo de destino, incluindo informações de domínio. |
| TargetIpAddr | string | O endereço IP do dispositivo de destino. |
| TargetOriginalAppType | string | O tipo de aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
| TargetOriginalRiskLevel | string | O nível do risco associado ao destino, conforme relatado pelo dispositivo de relatório. |
| TargetOriginalUserType | string | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
| TargetPortNumber | INT | A porta do dispositivo de destino. |
| TargetRiskLevel | INT | O nível do risco associado ao destino. |
| TargetSessionId | string | A ID exclusiva da sessão de entrada do ator de destino. |
| Targeturl | string | Uma URL associada ao aplicativo de destino. |
| string | Uma representação exclusiva, alfanumérica e legível por computador do ator. | |
| TargetUserIdType | string | O tipo da ID armazenada no campo TargetUserId. |
| string | O nome de usuário do ator de destino, incluindo informações de domínio quando disponíveis. | |
| TargetUsernameType | string | O tipo do nome de usuário do ator de destino especificado no campo TargetUsername |
| TargetUserScope | string | O escopo, como o locatário do Azure AD, no qual TargetUserId e TargetUsername são definidos. |
| TargetUserScopeId | string | A ID de escopo, como Azure AD ID de locatário, na qual TargetUserId e TargetUsername são definidos. |
| TargetUserType | string | O tipo do ator de destino. |
| TenantId | string | A ID do workspace do Log Analytics |
| ThreatCategory | string | A categoria da ameaça ou malware identificada na atividade de auditoria. |
| ThreatConfidence | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | string | O campo para o qual uma ameaça foi identificada. |
| ThreatFirstReportedTime | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatId | string | A ID da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatIpAddr | string | Um endereço IP para o qual uma ameaça foi identificada. |
| ThreatIsActive | bool | True, se a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatName | string | O nome da ameaça ou do malware identificado na atividade de auditoria. |
| ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel | string | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| ThreatRiskLevel | INT | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
| TimeGenerated | DATETIME | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| Type | string | O nome da tabela |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de