ASimFileEventLogs
O esquema de normalização de evento de arquivo ASIM (Advanced Security Information Model) descreve a atividade de arquivo, como criar, modificar ou excluir arquivos ou documentos.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/asimtables |
Categorias | Segurança |
Soluções | SecurityInsights |
Log básico | No |
Transformação de tempo de ingestão | Yes |
Consultas de amostras | - |
Colunas
Coluna | Tipo | Descrição |
---|---|---|
ActingProcessCommandLine | string | A linha de comando usada para executar o processo de ação. |
ActingProcessGuid | string | Um GUID (identificador exclusivo) gerado do processo de ação. |
ActingProcessId | string | O PID (ID do processo) do processo de ação. |
ActingProcessName | string | O nome do processo de ação. |
ActorOriginalUserType | string | O tipo de usuário de ator original, conforme fornecido pelo dispositivo de relatório. |
ActorScope | string | O escopo, como o locatário do Azure AD, no qual ActorUserId e ActorUsername são definidos. |
ActorScopeId | string | A ID do escopo, como a ID de diretório do Azure AD, na qual são definidos ActorUserId e ActorUsername. |
ActorSessionId | string | A ID exclusiva da sessão de logon de Actor. |
ActorUserAadId | string | A ID do Azure Active Directory do ator. |
string | Uma representação exclusiva, alfanumérica e legível por computador do ator. | |
ActorUserIdType | string | O tipo da ID armazenada no campo ActorUserId. |
ActorUsername | string | O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. |
ActorUsernameType | string | Especifica o tipo do nome de usuário armazenado no campo ActorUsername. |
ActorUserSid | string | A ID de usuário do Windows (SIDs) do ator. |
ActorUserType | string | O tipo de ator. |
AdditionalFields | dinâmico | Informações adicionais, representadas usando pares chave/valor fornecidos pela origem que não são mapeadas para o ASim. |
_BilledSize | real | O tamanho do registro em bytes |
DvcAction | string | A ação executada na sessão da Web. |
DvcDescription | string | Um texto descritivo associado ao dispositivo. |
DvcDomain | string | O domínio do dispositivo que relata o evento. |
DvcDomainType | string | O tipo de DvcDomain. Os valores válidos incluem 'Windows' e 'FQDN'. |
DvcFQDN | string | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcHostname | string | O nome do host do dispositivo que relata o evento. |
DvcId | string | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcIdType | string | O tipo de DvcId. |
DvcInterface | string | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
DvcIpAddr | string | O endereço IP do dispositivo que relata o evento. |
DvcMacAddr | string | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcOriginalAction | string | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
DvcOs | string | O sistema operacional em execução no dispositivo em que o evento ocorreu ou que relatou o evento. |
DvcOsVersion | string | A versão do sistema operacional do dispositivo em que o evento ocorreu ou que relatou o evento. |
DvcScope | string | O escopo da plataforma de nuvem à qual o dispositivo pertence. O DvcScope mapeia para um nome de assinatura no Azure e para uma ID de conta no AWS. |
DvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
DvcZone | string | A rede na qual o evento ocorreu ou que relatou o evento, dependendo do esquema. |
EventCount | INT | Esse valor é usado quando a origem permite a agregação e um único registro pode representar vários eventos. |
EventEndTime | DATETIME | A hora em que o evento terminou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
EventMessage | string | Uma mensagem ou descrição geral. |
EventOriginalResultDetails | string | Os detalhes do resultado original fornecidos pela origem. Esse valor é usado para derivar EventResultDetails, que deve ter apenas um dos valores documentados por esquema. |
EventOriginalSeverity | string | A severidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
EventOriginalSubType | string | O subtipo ou a ID do evento original, se fornecido pela origem. Por exemplo, esse campo será usado para armazenar o tipo de logon original do Windows. Esse valor é usado para derivar EventSubType, que deve ter apenas um dos valores documentados por esquema. |
EventOriginalType | string | O ID ou tipo de evento original, se fornecido pela origem. |
EventOriginalUid | string | Uma ID exclusiva do registro original, se fornecida pela origem. |
EventOwner | string | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
EventProduct | string | O produto que gera o evento. |
EventProductVersion | string | A versão do produto que gera o evento. |
EventReportUrl | string | Uma URL fornecida no evento para um recurso que apresenta informações adicionais sobre o evento. |
EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
EventResultDetails | string | O código de status HTTP. |
EventSchema | string | O esquema para qual o evento foi normalizado. Cada esquema documenta seu nome de esquema. |
EventSchemaVersion | string | A versão do esquema. |
EventSeverity | string | Gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
EventStartTime | DATETIME | A hora em que o evento iniciou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
EventSubType | string | Descrição adicional do tipo de evento, se aplicável. |
EventType | string | A operação relatada pelo registro. |
EventVendor | string | O fornecedor do produto que gera o evento. |
HashType | string | O tipo de hash armazenado no campo alias hash. |
HttpUserAgent | string | Quando a operação é iniciada usando HTTP ou HTTPS, o cabeçalho do agente de usuário HTTP. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
NetworkApplicationProtocol | string | Quando a operação é iniciada por um sistema remoto, o protocolo de camada de aplicativo usado pela conexão ou sessão. |
_ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
RuleName | string | O nome ou a ID da regra associada aos resultados da inspeção. |
RuleNumber | INT | O número da regra associada aos resultados da inspeção. |
SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
SrcDescription | string | Um texto descritivo associado ao dispositivo. |
SrcDeviceType | string | O tipo do dispositivo de origem. |
SrcDomain | string | O domínio do dispositivo de origem. |
SrcDomainType | string | O tipo de SrcDomain. |
SrcDvcId | string | A ID do dispositivo de origem. |
SrcDvcIdType | string | Tipo de SrcDvcId. |
SrcDvcScope | string | O escopo da plataforma de nuvem à qual o dispositivo pertence. |
SrcDvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. |
SrcFileCreationTime | DATETIME | A hora em que o arquivo de origem foi criado. |
SrcFileDirectory | string | A pasta ou o local do arquivo de origem. |
SrcFileExtension | string | A extensão do arquivo de origem. |
SrcFileMD5 | string | O hash MD5 do arquivo de origem. |
SrcFileMimeType | string | O tipo Mime ou Media do arquivo de origem. |
SrcFileName | string | O nome do arquivo de origem, sem um caminho ou um local, mas com uma extensão, se relevante. |
SrcFilePath | string | O caminho completo normalizado do arquivo de origem, incluindo a pasta ou o local, o nome do arquivo e a extensão. |
SrcFilePathType | string | O tipo de SrcFilePath. |
SrcFileSHA1 | string | O hash SHA-1 do arquivo de origem. |
SrcFileSHA256 | string | O hash SHA-256 do arquivo de origem. |
SrcFileSHA512 | string | O hash SHA-512 do arquivo de origem. |
SrcFileSize | long | O tamanho do arquivo em bytes. |
SrcFQDN | string | O nome do host do dispositivo de origem, incluindo informações de domínio quando disponível. |
SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
SrcGeoCountry | string | O país associado ao endereço IP de origem. |
SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoRegion | string | A região em um país associado ao endereço IP de origem. |
SrcHostname | string | O nome do host do dispositivo de origem, incluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, armazene o endereço IP relevante nesse campo. |
SrcIpAddr | string | Quando a operação é iniciada por um sistema remoto, o endereço IP desse sistema. |
SrcMacAddr | string | O endereço MAC do dispositivo de origem. |
SrcOriginalRiskLevel | string | O nível de risco associado à origem. Conforme relatado pelo dispositivo de relatório ou enriquecido. |
SrcPortNumber | INT | Quando a operação é iniciada por um sistema remoto, o número da porta na qual a conexão foi iniciada. |
SrcRiskLevel | INT | O nível de risco associado à origem. |
_SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
TargetAppId | string | A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
string | O nome do aplicativo de destino. | |
TargetAppType | string | O tipo do aplicativo de destino. |
TargetFileCreationTime | DATETIME | A hora em que o arquivo de destino foi criado. |
TargetFileDirectory | string | A pasta ou o local do arquivo de destino. |
TargetFileExtension | string | A extensão do arquivo de destino. |
TargetFileMD5 | string | O hash MD5 do arquivo de destino. |
TargetFileMimeType | string | O tipo Mime ou Media do arquivo de destino. |
TargetFileName | string | O nome do arquivo de destino, sem um caminho ou um local, mas com uma extensão, se relevante. |
TargetFilePath | string | O caminho completo normalizado do arquivo de destino, incluindo a pasta ou o local, o nome do arquivo e a extensão. |
TargetFilePathType | string | O tipo de TargetFilePath. |
TargetFileSHA1 | string | O hash SHA-1 do arquivo de destino. |
TargetFileSHA256 | string | O hash SHA-256 do arquivo de destino. |
TargetFileSHA512 | string | O hash SHA-512 do arquivo de origem. |
TargetFileSize | long | O tamanho do arquivo de destino em bytes. |
TargetOriginalAppType | string | O tipo de aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
Targeturl | string | Quando a operação é iniciada usando HTTP ou HTTPS, a URL usada. |
TenantId | string | A ID do workspace do Log Analytics |
ThreatCategory | string | A categoria da ameaça ou do malware identificado na atividade de arquivo. |
ThreatConfidence | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatField | string | O campo para o qual uma ameaça foi identificada. O valor é SrcFilePath ou DstFilePath. |
ThreatFilePath | string | Um caminho de arquivo para o qual uma ameaça foi identificada. O campo ThreatField contém o nome do campo que ThreatFilePath representa. |
ThreatFirstReportedTime | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatId | string | A ID da ameaça ou do malware identificado na atividade de arquivo. |
ThreatIsActive | bool | True, a ID da ameaça identificada é considerada uma ameaça ativa. |
ThreatLastReportedTime | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatName | string | O nome da ameaça ou do malware identificado na atividade de arquivo. |
ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel | string | O nível de risco, conforme relatado pelo dispositivo de relatório. |
ThreatRiskLevel | INT | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
TimeGenerated | DATETIME | O carimbo de data/hora que reflete o tempo em que o evento foi gerado. |
Type | string | O nome da tabela |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de