ASimRegistryEventLogs
O esquema de Evento do Registro do ASim representa a atividade do Windows de criar, modificar ou excluir entidades do Registro do Windows. Os eventos de registro são específicos para sistemas Windows, mas são relatados por sistemas diferentes que monitoram Windows, como os sistemas EDR (detecção de ponto de extremidade e resposta), Sysmon ou Windows em si.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/asimtables |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | No |
| Transformação de tempo de ingestão | Yes |
| Consultas de amostras | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| ActingProcessCommandLine | string | A linha de comando usada para executar o processo. |
| ActingProcessGuid | string | Um identificador exclusivo gerado do processo de atuação. |
| ActingProcessId | string | A ID do processo de atuação. |
| ActingProcessName | string | O nome de arquivo do arquivo de imagem do processo de ação. |
| ActorOriginalUserType | string | O tipo de usuário ator original, se fornecido pela origem. |
| ActorScope | string | O escopo, como o locatário do Azure AD, no qual ActorUserId e ActorUsername são definidos. |
| ActorScopeId | string | A ID de escopo, como Azure AD ID de locatário, na qual ActorUserId e ActorUsername são definidos. |
| ActorSessionId | string | A ID exclusiva da sessão de logon de Actor. |
| ActorUserAadId | string | A ID do Azure Active Directory do ator. |
| string | A ID exclusiva de Actor. | |
| ActorUserIdType | string | O tipo da ID armazenada no campo ActorUserId. |
| ActorUsername | string | O nome do usuário que iniciou o evento. |
| ActorUsernameType | string | Especifica o tipo do nome de usuário armazenado no campo ActorUsername. |
| ActorUserSid | string | A ID de usuário do Windows (SIDs) do ator. |
| ActorUserType | string | O tipo do ator. |
| AdditionalFields | dinâmico | Informações adicionais, representadas usando pares chave/valor fornecidos pela origem que não são mapeadas para o ASim. |
| _BilledSize | real | O tamanho do registro em bytes |
| DvcAction | string | Para relatar sistemas de segurança, a ação executada pelo sistema. |
| DvcDescription | string | Um texto descritivo associado ao dispositivo. |
| DvcDomain | string | O domínio do dispositivo que relata o evento. |
| DvcDomainType | string | O tipo de DvcDomain. |
| DvcFQDN | string | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcHostname | string | O nome do host do dispositivo que relata o evento. |
| DvcId | string | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcIdType | string | O tipo de DvcId. |
| DvcInterface | string | A interface de rede em que os dados foram capturados. |
| DvcIpAddr | string | O endereço IP do dispositivo que relata o evento. |
| DvcMacAddr | string | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcOriginalAction | string | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
| DvcOs | string | O sistema operacional em execução no dispositivo em que o evento ocorreu ou que relatou o evento. |
| DvcOsVersion | string | A versão do sistema operacional do dispositivo em que o evento ocorreu ou que relatou o evento. |
| DvcScope | string | O escopo da plataforma de nuvem à qual o dispositivo pertence. O DvcScope mapeia para um nome de assinatura no Azure e para uma ID de conta no AWS. |
| DvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
| DvcZone | string | A rede na qual o evento ocorreu ou que relatou o evento. |
| EventCount | INT | O número de eventos descritos pelo registro. |
| EventEndTime | DATETIME | A hora em que o evento terminou. Se a origem der suporte à agregação e o registro representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| EventMessage | string | Uma mensagem ou descrição geral. |
| EventOriginalResultDetails | string | Os detalhes do resultado original fornecidos pela origem. |
| EventOriginalSeverity | string | A severidade original, conforme fornecido pelo dispositivo de relatório. |
| EventOriginalSubType | string | O subtipo ou a ID do evento original, se fornecido pela origem. |
| EventOriginalType | string | Uma ID exclusiva do registro original, se fornecida pela origem. |
| EventOriginalUid | string | . |
| EventOwner | string | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
| EventProduct | string | O produto que gera o evento. |
| EventProductVersion | string | A versão do produto que gera o evento. |
| EventReportUrl | string | Uma URL fornecida no evento para um recurso que apresenta informações adicionais sobre o evento. |
| EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
| EventResultDetails | string | Motivo ou detalhes do resultado relatado no campo EventResult. |
| EventSchema | string | O nome do esquema. |
| EventSchemaVersion | string | A versão do esquema. |
| EventSeverity | string | Gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime | DATETIME | A hora em que o evento iniciou. Se a origem der suporte à agregação e o registro representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
| EventSubType | string | Descreve uma subdivisão da operação relatada no campo EventType. |
| EventType | string | Descreve a operação relatada pelo registro. |
| EventVendor | string | O fornecedor do produto que gera o evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| ParentProcessCommandLine | string | A linha de comando usada para executar o processo. |
| ParentProcessGuid | string | Um identificador exclusivo gerado do processo pai. |
| ParentProcessId | string | A ID do processo pai. |
| ParentProcessName | string | O nome de arquivo do arquivo de imagem do processo pai. |
| RegistryKey | string | A chave do Registro associada à operação, normalizada para convenções de nomenclatura de chave raiz padrão. |
| RegistryPreviousKey | string | Para operações que mudam o registro, a chave do Registro original, normalizada para a nomenclatura de chave raiz padrão. |
| RegistryPreviousValue | string | Para operações que mudam o registro, o tipo de valor original, normalizado para o formulário padrão. |
| RegistryPreviousValueData | string | Os dados de registro originais, para operações que mudam o registro. |
| RegistryPreviousValueType | string | Para operações que mudam o registro, o tipo de valor original. |
| RegistryValue | string | O valor de registro associado à operação. |
| RegistryValueData | string | Os dados armazenados no valor de registro. |
| RegistryValueType | string | O tipo de valor de registro, normalizado para o formulário padrão. |
| _ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
| RuleName | string | O nome ou a ID da regra associada aos resultados da inspeção. |
| RuleNumber | INT | O número da regra associada aos resultados da inspeção. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| _SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
| TenantId | string | A ID do workspace do Log Analytics |
| ThreatCategory | string | A categoria da ameaça ou malware identificada na atividade. |
| ThreatConfidence | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | string | O campo para o qual uma ameaça foi identificada. |
| ThreatFirstReportedTime | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatId | string | A ID da ameaça ou malware identificado na atividade. |
| ThreatIsActive | bool | True, a ID da ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatName | string | O nome da ameaça ou malware identificado na atividade. |
| ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel | string | O nível de risco, conforme relatado pelo dispositivo de relatório. |
| ThreatRiskLevel | INT | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
| TimeGenerated | DATETIME | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| Type | string | O nome da tabela |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de