CommonSecurityLog
Essa tabela destina-se à coleta de eventos no Formato de Evento Comum, que geralmente são enviados de diferentes dispositivos de segurança, como Check Point, Palo Alto e muito mais.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorias | Segurança |
| Soluções | Segurança, SecurityInsights |
| Log básico | No |
| Transformação de tempo de ingestão | Yes |
| Consultas de amostras | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| Atividade | string | Uma cadeia de caracteres que representa uma descrição legível e compreensível do evento. |
| AdditionalExtensions | string | Um espaço reservado para campos adicionais. Os campos são registrados como pares chave-valor. |
| ApplicationProtocol | string | O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPs e assim por diante. |
| _BilledSize | real | O tamanho do registro em bytes |
| CollectorHostName | string | O nome do host do computador coletor que executa o agente. |
| CommunicationDirection | string | Todas as informações sobre a direção que a comunicação observada levou. Valores válidos: 0 = Entrada, 1 = Saída. |
| Computador | string | Host, do Syslog. |
| DestinationDnsDomain | string | A parte DNS do FQDN (nome de domínio totalmente qualificado). |
| DestinationHostName | string | O destino ao qual o evento se refere em uma rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó está disponível. Por exemplo: host.domain.com ou host. |
| DestinationIP | string | O endereço IpV4 de destino ao qual o evento se refere em uma rede IP. |
| DestinationMACAddress | string | O FQDN (endereço MAC de destino). |
| DestinationNTDomain | string | O nome de domínio do Windows do endereço de destino. |
| DestinationPort | INT | Porta de destino. Valores válidos: 0 a 65535. |
| DestinationProcessId | INT | A ID do processo de destino associado ao evento. |
| DestinationProcessName | string | O nome do processo de destino do evento, como telnetd ou sshd. |
| DestinationServiceName | string | O serviço direcionado pelo evento. Por exemplo: sshd. |
| DestinationTranslatedAddress | string | Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4. |
| DestinationTranslatedPort | INT | Porta após a tradução, como um firewall Números de porta válidos: 0 a 65535. |
| DestinationUserID | string | Identifica o usuário de destino por ID. Por exemplo: no Unix, o usuário raiz geralmente está associado à ID de usuário 0. |
| DestinationUserName | string | Identifica o usuário de destino por nome. |
| DestinationUserPrivileges | string | Define os privilégios do uso de destino. Valores válidos: Admninistrator, User, Guest. |
| DeviceAction | string | A ação mencionada no evento. |
| DeviceAddress | string | O endereço IPv4 do dispositivo que gera o evento. |
| DeviceCustomDate1 | string | Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e busque um campo fornecido por dicionário mais específico quando possível. |
| DeviceCustomDate1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomDate2 | string | Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e busque um campo fornecido por dicionário mais específico quando possível. |
| DeviceCustomDate2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint1 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint2 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint3 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint4 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address1 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address2 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address3 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address4 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber1 | INT | Em breve será um campo preterido. Será substituído por FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber2 | INT | Em breve será um campo preterido. Será substituído por FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber3 | INT | Em breve será um campo preterido. Será substituído por FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString1 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Use com moderação e busque um campo fornecido por dicionário mais específico quando possível. |
| DeviceCustomString1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString2 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Use com moderação e busque um campo fornecido por dicionário mais específico quando possível. |
| DeviceCustomString2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString3 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Use com moderação e busque um campo fornecido por dicionário mais específico quando possível. |
| DeviceCustomString3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString4 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Use com moderação e busque um campo fornecido por dicionário mais específico quando possível. |
| DeviceCustomString4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString5 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Use com moderação e busque um campo fornecido por dicionário mais específico quando possível. |
| DeviceCustomString5Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString6 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Use com moderação e busque um campo fornecido por dicionário mais específico quando possível. |
| DeviceCustomString6Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceDnsDomain | string | A parte do domínio DNS do FQDN (nome de domínio qualificado completo). |
| DeviceEventCategory | string | Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam o próprio esquema de categorização para classificar o evento. Exemplo: '/Monitor/Disco/Leitura'. |
| DeviceEventClassID | string | Cadeia de caracteres ou inteiro que serve como um identificador exclusivo por tipo de evento. |
| DeviceExternalID | string | Um nome que identifica exclusivamente o dispositivo que gera o evento. |
| DeviceFacility | string | A instalação que gera o evento. Por exemplo: autenticação ou local1. |
| DeviceInboundInterface | string | A interface na qual o pacote ou os dados foram inseridos no dispositivo. Por exemplo: ethernet1/2. |
| DeviceMacAddress | string | O endereço MAC do dispositivo que gera o evento. |
| DeviceName | string | O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo: host.domain.com ou host. |
| DeviceNtDomain | string | O domínio do Windows do endereço do dispositivo. |
| DeviceOutboundInterface | string | A interface pela qual o pacote ou os dados saíram do dispositivo. |
| DevicePayloadId | string | Identificador exclusivo para o payload associado ao evento. |
| DeviceProduct | string | Cadeia de caracteres que, juntamente com definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| DeviceTimeZone | string | Fuso horário do dispositivo que gera o evento. |
| DeviceTranslatedAddress | string | Identifica o endereço do dispositivo traduzido ao qual o evento se refere em uma rede IP. O formato é um endereço IPv4. |
| DeviceVendor | string | Cadeia de caracteres que, juntamente com definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| DeviceVersion | string | Cadeia de caracteres que, juntamente com definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| EndTime | DATETIME | A hora em que a atividade relacionada ao evento terminou. |
| EventCount | INT | Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado. |
| EventOutcome | string | Exibe o resultado, geralmente como "êxito" ou "falha". |
| EventType | INT | Tipo de evento. Os valores de valor incluem: 0: evento base, 1: agregado, 2: evento de correlação, 3: evento de ação. Observação: este evento pode ser omitido para eventos base. |
| ExternalId | INT | Em breve será um campo preterido. Será substituído por ExtID. |
| ExtID | string | Uma ID usada pelo dispositivo de origem (substituirá ExternalID herdada). Normalmente, esses valores têm valores crescentes que são associados a um evento. |
| FieldDeviceCustomNumber1 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber1 herdado). Use com moderação e procure um campo fornecido por dicionário mais específico quando possível. |
| FieldDeviceCustomNumber2 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber2 herdado). Use com moderação e procure um campo fornecido por dicionário mais específico quando possível. |
| FieldDeviceCustomNumber3 | long | Um dos três campos de número disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber3 herdado). Use com moderação e procure um campo fornecido por dicionário mais específico quando possível. |
| FileCreateTime | string | Hora que o arquivo foi criado. |
| FileHash | string | Hash de um arquivo. |
| FileID | string | Uma ID associada a um arquivo, como inode. |
| FileModificationTime | string | Hora em que o arquivo foi modificado pela última vez. |
| FileName | string | O nome do arquivo, sem o caminho. |
| FilePath | string | Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| FilePermission | string | As permissões do arquivo. Por exemplo: '2,1,1'. |
| FileSize | INT | O tamanho do arquivo em bytes. |
| FileType | string | Tipo de arquivo, como pipe, soquete e assim por diante. |
| FlexDate1 | string | Um campo de carimbo de data/hora disponível para mapear um carimbo de data/hora que não se aplica a nenhum outro campo de carimbo de data/hora definido neste dicionário. Use todos os campos flex com moderação e busque um campo fornecido por dicionário mais específico quando possível. Normalmente, esses campos são reservados para uso do cliente e não devem ser definidos por fornecedores, a menos que seja necessário. |
| FlexDate1Label | string | O campo rótulo é uma cadeia de caracteres e descreve a finalidade do campo flex. |
| FlexNumber1 | INT | Campos numéricos disponíveis para mapear dados int que não se aplicam a nenhum outro campo neste dicionário. |
| FlexNumber1Label | string | O rótulo que descreve o valor em FlexNumber1 |
| FlexNumber2 | INT | Campos numéricos disponíveis para mapear dados int que não se aplicam a nenhum outro campo neste dicionário. |
| FlexNumber2Label | string | O rótulo que descreve o valor em FlexNumber2 |
| FlexString1 | string | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo fornecido por dicionário mais específico quando possível. Normalmente, esses campos são reservados para uso do cliente e não devem ser definidos por fornecedores, a menos que seja necessário. |
| FlexString1Label | string | O campo rótulo é uma cadeia de caracteres e descreve a finalidade do campo flex. |
| FlexString2 | string | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo fornecido por dicionário mais específico quando possível. Normalmente, esses campos são reservados para uso do cliente e não devem ser definidos por fornecedores, a menos que seja necessário. |
| FlexString2Label | string | O campo rótulo é uma cadeia de caracteres e descreve a finalidade do campo flex. |
| IndicatorThreatType | string | O tipo de ameaça do MaliciousIP de acordo com nosso feed de TI. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| LogSeverity | string | Uma cadeia de caracteres ou um inteiro que descreve a importância do evento. Valores de cadeia de caracteres válidos: Desconhecido, Baixo, Médio, Alto Very-High Valores inteiros válidos são: 0-3 = Baixo, 4-6 = Médio, 7-8 = Alto, 9-10 = Muito Alto. |
| MaliciousIP | string | Se um dos IP na mensagem estiver correlacionado com o feed de TI atual, ele será exibido aqui. |
| MaliciousIPCountry | string | O país do MaliciousIP de acordo com as informações geográficas no momento da ingestão de registro. |
| MaliciousIPLatitude | real | A Latitude do MaliciousIP de acordo com as informações geográficas no momento da ingestão de registro. |
| MaliciousIPLongitude | real | A Longitude do MaliciousIP de acordo com as informações geográficas no momento da ingestão do registro. |
| Mensagem | string | Uma mensagem que fornece mais detalhes sobre o evento. |
| OldFileCreateTime | string | Hora em que o arquivo antigo foi criado. |
| OldFileHash | string | Hash do arquivo antigo. |
| OldFileID | string | ID associada ao arquivo antigo, como o inode. |
| OldFileModificationTime | string | Hora em que o arquivo antigo foi modificado pela última vez. |
| OldFileName | string | Nome do arquivo antigo. |
| OldFilePath | string | Caminho completo para o arquivo antigo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| OldFilePermission | string | Permissões do arquivo antigo. Por exemplo: '2,1,1'. |
| OldFileSize | INT | O tamanho do arquivo antigo em bytes. |
| OldFileType | string | Tipo do arquivo antigo, como um pipe, soquete e assim por diante. |
| OriginalLogSeverity | string | Uma versão não mapeada do LogSeverity. Por exemplo: Aviso/Crítico/Informações em vez do baixo/médio/alto normalizado no campo LogSeverity |
| ProcessID | INT | Define a ID do processo no dispositivo que gera o evento. |
| ProcessName | string | Nome do processo associado ao evento. Por exemplo: no UNIX, o processo que gera a entrada do syslog. |
| Protocolo | string | Protocolo de transporte que identifica o protocolo Layer-4 usado. Os valores possíveis incluem nomes de protocolo, como TCP ou UDP. |
| Motivo | string | O motivo pelo qual um evento de auditoria foi gerado. Por exemplo, "senha incorreta" ou "usuário desconhecido". Também pode ser um erro ou um código de retorno. Exemplo: '0x1234'. |
| ReceiptTime | string | A hora em que o evento relacionado à atividade foi recebido. Diferente, em seguida, o campo 'Timegenerated', que é quando o evento foi recebido no computador do coletor de logs. |
| ReceivedBytes | long | Número de bytes transferidos em entrada. |
| RemoteIP | string | O endereço IP remoto, derivado do valor de direção do evento, se possível. |
| RemotePort | string | A porta remota, derivada do valor de direção do evento, se possível. |
| ReportReferenceLink | string | Link para o relatório do feed de TI. |
| RequestClientApplication | string | O agente de usuário associado com a solicitação. |
| RequestContext | string | Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP. |
| RequestCookies | string | Cookies associados com a solicitação. |
| RequestMethod | string | O método usado para acessar uma URL. Os valores válidos incluem métodos como POST, GET e assim por diante. |
| RequestURL | string | A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo: http://www/secure.com. |
| _ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
| SentBytes | long | Número de bytes transferidos em saída. |
| SimplifiedDeviceAction | string | Uma versão mapeada do DeviceAction, como Negação Negada > . |
| SourceDnsDomain | string | A parte do domínio DNS do FQDN completo. |
| SourceHostName | string | Identifica a fonte à qual o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (FQDN) associado ao nó de origem, quando um nó está disponível. Por exemplo: host ou host.domain.com. |
| SourceIP | string | A origem à qual um evento se refere em uma rede IP, como um endereço IPv4. |
| SourceMACAddress | string | Endereço MAC de origem. |
| SourceNTDomain | string | O nome de domínio do Windows para o endereço de origem. |
| SourcePort | INT | O número da porta de origem. Os números de porta válidos são 0 a 65535. |
| SourceProcessId | INT | A ID do processo de origem associado ao evento. |
| SourceProcessName | string | O nome do processo de origem do evento. |
| SourceServiceName | string | O serviço responsável por gerar o evento. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| SourceTranslatedAddress | string | Identifica a origem traduzida à qual o evento se refere em uma rede IP. |
| SourceTranslatedPort | INT | Porta de origem após a conversão, como um firewall. Os números de porta válidos são 0 a 65535. |
| SourceUserID | string | Identifica o usuário de origem por ID. |
| SourceUserName | string | Identifica o usuário de origem por nome. Email endereços também são mapeados para os campos UserName. O remetente é um candidato a ser colocado neste campo. |
| SourceUserPrivileges | string | Os privilégios do usuário de origem. Os valores válidos incluem: Administrador, Usuário, Convidado. |
| StartTime | DATETIME | A hora em que a atividade à qual o evento se refere foi iniciada. |
| _SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
| TenantId | string | A ID do workspace do Log Analytics |
| ThreatConfidence | string | A confiança de ameaça do MaliciousIP de acordo com nosso feed de TI. |
| ThreatDescription | string | A descrição da ameaça do MaliciousIP de acordo com nosso feed de TI. |
| ThreatSeverity | INT | A gravidade da ameaça do MaliciousIP de acordo com nosso feed de TI no momento da ingestão do registro. |
| TimeGenerated | DATETIME | Hora da coleta de eventos em UTC. |
| Type | string | O nome da tabela |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de