CommonSecurityLog
Эта таблица используется для сбора событий в общем формате событий, которые чаще всего отправляются с различных устройств безопасности, таких как Check Point, Palo Alto и т. д.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Категории | Безопасность |
| Решения | Безопасность, SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| Действие | строка | Строка, представляющая понятное описание события. |
| Дополнительные расширения | строка | Заполнитель для дополнительных полей. Поля регистрируются как пары "ключ-значение". |
| ApplicationProtocol | строка | Протокол, используемый в приложении, например HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAP и т. д. |
| _BilledSize | real | Размер записи в байтах |
| Имя_сборщика | строка | Имя узла компьютера сборщика, на котором запущен агент. |
| CommunicationDirection | строка | Любые сведения о направлении наблюдаемого обмена данными. Допустимые значения: 0 = входящий трафик, 1 = исходящий. |
| Компьютер | строка | Узел из системного журнала. |
| DestinationDnsDomain | строка | Dns-часть полного доменного имени (FQDN). |
| DestinationHostName | строка | Назначение, к которому обращается событие в IP-сети. Формат должен представлять собой полное доменное имя, связанное с узлом назначения, если узел доступен. Например, host.domain.com или узел. |
| DestinationIP | строка | Адрес IPv4 назначения, к которому обращается событие в IP-сети. |
| DestinationMACAddress | строка | MAC-адрес назначения (FQDN). |
| DestinationNTDomain | строка | Доменное имя Windows для адреса назначения. |
| DestinationPort | INT | Порт назначения. Допустимые значения: от 0 до 65535. |
| DestinationProcessId | INT | Идентификатор процесса назначения, связанного с событием. |
| DestinationProcessName | строка | Имя процесса назначения события, например telnetd или sshd. |
| DestinationServiceName | строка | Целевая служба для события. Например: sshd. |
| DestinationTranslatedAddress | строка | Определяет преобразованное назначение, к которому обращается событие в IP-сети, как IP-адрес IPv4. |
| DestinationTranslatedPort | INT | Порт после преобразования, например брандмауэр Допустимые номера портов: 0–65535. |
| DestinationUserID | строка | Определяет пользователя назначения по идентификатору. Например, в Unix корневой пользователь обычно связан с идентификатором пользователя 0. |
| DestinationUserName | строка | Определяет пользователя назначения по имени. |
| DestinationUserPrivileges | строка | Определяет разрешения пользователя назначения. Допустимые значения: Admninistrator, User, Guest. |
| DeviceAction | строка | Действие, указанное в событии. |
| DeviceAddress | строка | Адрес IPv4 устройства, создающего событие. |
| DeviceCustomDate1 | строка | Одно из двух полей меток времени, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| DeviceCustomDate1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomDate2 | строка | Одно из двух полей меток времени, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| DeviceCustomDate2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomFloatingPoint1 | real | Одно из четырех полей с плавающей запятой, доступных для полей сопоставления, которые не применяются ни к одному другому в этом словаре. |
| DeviceCustomFloatingPoint1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomFloatingPoint2 | real | Одно из четырех полей с плавающей запятой, доступных для полей сопоставления, которые не применяются ни к одному другому в этом словаре. |
| DeviceCustomFloatingPoint2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomFloatingPoint3 | real | Одно из четырех полей с плавающей запятой, доступных для полей сопоставления, которые не применяются ни к одному другому в этом словаре. |
| DeviceCustomFloatingPoint3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomFloatingPoint4 | real | Одно из четырех полей с плавающей запятой, доступных для полей сопоставления, которые не применяются ни к одному другому в этом словаре. |
| DeviceCustomFloatingPoint4Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address1 | строка | Одно из четырех полей IPv6-адресов, доступных для сопоставления полей, которые не применяются ни к одному другому из этого словаря. |
| DeviceCustomIPv6Address1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address2 | строка | Одно из четырех полей IPv6-адресов, доступных для сопоставления полей, которые не применяются ни к одному другому из этого словаря. |
| DeviceCustomIPv6Address2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address3 | строка | Одно из четырех полей IPv6-адресов, доступных для сопоставления полей, которые не применяются ни к одному другому из этого словаря. |
| DeviceCustomIPv6Address3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address4 | строка | Одно из четырех полей IPv6-адресов, доступных для сопоставления полей, которые не применяются ни к одному другому из этого словаря. |
| DeviceCustomIPv6Address4Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomNumber1 | INT | Скоро станет устаревшим полем. Будет заменено fieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomNumber2 | INT | Скоро станет устаревшим полем. Будет заменено fieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomNumber3 | INT | Скоро станет устаревшим полем. Будет заменено значением FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomString1 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| DeviceCustomString1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomString2 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| DeviceCustomString2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomString3 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| DeviceCustomString3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomString4 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| DeviceCustomString4Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomString5 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| DeviceCustomString5Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceCustomString6 | строка | Одна из шести строк, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| DeviceCustomString6Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей является строкой и описывает назначение настраиваемого поля. |
| DeviceDnsDomain | строка | Домен DNS, который является частью полного доменного имени (FQDN). |
| DeviceEventCategory | строка | Представляет категорию, назначенную устройством-источником. Устройства часто используют собственную схему классификации для классификации событий. Пример: /Monitor/Disk/Read. |
| DeviceEventClassID | строка | Строка или целое число, служащие уникальным идентификатором для каждого типа событий. |
| DeviceExternalID | строка | Имя, которое однозначно идентифицирует устройство, создающее событие. |
| DeviceFacility | строка | Оборудование, создающее событие. Например, auth или local1. |
| DeviceInboundInterface | строка | Интерфейс, по которому пакет или данные поступили на устройство. Например: ethernet1/2. |
| DeviceMacAddress | строка | MAC-адрес устройства, создающего событие. |
| DeviceName | строка | Полное доменное имя, связанное с узлом устройства, если узел доступен. Например, host.domain.com или узел. |
| DeviceNtDomain | строка | Домен Windows адреса устройства. |
| DeviceOutboundInterface | строка | Интерфейс, по которому пакет или данные покинули устройство. |
| DevicePayloadId | строка | Уникальный идентификатор полезной нагрузки, связанной с событием. |
| DeviceProduct | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправляющего устройства. |
| DeviceTimeZone | строка | Часовой пояс устройства, создающего событие. |
| DeviceTranslatedAddress | строка | Определяет преобразованный адрес устройства, к которому обращается событие, в IP-сети. Формат — адрес IPv4. |
| DeviceVendor | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправляющего устройства. |
| DeviceVersion | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправляющего устройства. |
| EndTime | DATETIME | Время окончания действия, связанного с событием. |
| EventCount | INT | Связанное с событием число, которое показывает, сколько раз наблюдалось одно и то же событие. |
| EventOutcome | строка | Отображает результат, обычно как "успех" или "сбой". |
| EventType | INT | Тип события. Значения: 0: базовое событие, 1: агрегированное, 2: событие корреляции, 3: событие действия. Примечание. Для базовых событий это событие можно опустить. |
| ExternalID | INT | Скоро станет устаревшим полем. Будет заменен на ExtID. |
| ExtID | строка | Идентификатор, используемый устройством-источником (заменит устаревший ExternalID). Как правило, эти значения имеют возрастающие значения, каждое из которых связано с событием. |
| FieldDeviceCustomNumber1 | long | Одно из трех числовых полей, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре (заменит устаревшее значение DeviceCustomNumber1). Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| FieldDeviceCustomNumber2 | long | Одно из трех числовых полей, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре (заменит устаревшее значение DeviceCustomNumber2). Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| FieldDeviceCustomNumber3 | long | Одно из трех числовых полей, доступных для сопоставления полей, которые не применяются ни к одному другому в этом словаре (заменит устаревшее значение DeviceCustomNumber3). Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. |
| FileCreateTime | строка | Время создания файла. |
| FileHash | строка | Хеш-код файла. |
| FileID | строка | Идентификатор, связанный с файлом, например inode. |
| FileModificationTime | строка | Время последнего изменения файла. |
| FileName | строка | Имя файла без пути. |
| FilePath | строка | Полный путь к файлу, включая имя файла. Например, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip. |
| FilePermission | строка | Разрешения файла. Например: "2,1,1". |
| FileSize | INT | Размер файла в байтах. |
| FileType | строка | Тип файла, например канал, сокет и т. д. |
| FlexDate1 | строка | Поле метки времени, доступное для сопоставления метки времени, которая не применяется ни к одному другому определенному полю метки времени в этом словаре. Экономно используйте все гибкие поля и по возможности ищите более конкретное поле, предоставленное словарем. Эти поля обычно зарезервированы для использования клиентами и не должны задаваться поставщиками, если это не необходимо. |
| FlexDate1Label | строка | Поле метки является строкой и описывает назначение гибкого поля. |
| FlexNumber1 | INT | Числовые поля, доступные для сопоставления данных Int, которые не применяются ни к одному другому полю в этом словаре. |
| FlexNumber1Label | строка | Метка, описывающая значение в FlexNumber1 |
| FlexNumber2 | INT | Числовые поля, доступные для сопоставления данных Int, которые не применяются ни к одному другому полю в этом словаре. |
| FlexNumber2Label | строка | Метка, описывающая значение в FlexNumber2 |
| FlexString1 | строка | Одно из четырех полей с плавающей запятой, доступных для полей сопоставления, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. Эти поля обычно зарезервированы для использования клиентами и не должны задаваться поставщиками, если это не необходимо. |
| FlexString1Label | строка | Поле метки является строкой и описывает назначение гибкого поля. |
| FlexString2 | строка | Одно из четырех полей с плавающей запятой, доступных для полей сопоставления, которые не применяются ни к одному другому в этом словаре. Используйте экономно и по возможности ищите более конкретное поле, предоставленное словарем. Эти поля обычно зарезервированы для использования клиентами и не должны задаваться поставщиками, если это не необходимо. |
| FlexString2Label | строка | Поле метки является строкой и описывает назначение гибкого поля. |
| IndicatorThreatType | строка | Тип угрозы вредоносного IP-адреса в соответствии с нашим веб-каналом TI. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| LogSeverity | строка | Строка или целое число, описывающие важность события. Допустимые строковые значения: Unknown , Low, Medium, High, Very-High Допустимые целочисленные значения: 0-3 = низкий, 4–6 = средний, 7–8 = высокий, 9–10 = очень высокий. |
| MaliciousIP | строка | Если один из IP-адресов в сообщении коррелирует с текущим веб-каналом TI, он будет отображаться здесь. |
| MaliciousIPCountry | строка | Страна вредоносного IP-адреса в соответствии с геоинформацией на момент приема записи. |
| MaliciousIPLatitude | real | Широта вредоносного IP-адреса в соответствии с геоинформационным значением на момент приема записи. |
| MaliciousIPLongitude | real | Долгота вредоносного IP-адреса в соответствии с геоинформационным значением на момент приема записи. |
| Сообщение | строка | Сообщение, содержащее дополнительные сведения о событии. |
| OldFileCreateTime | строка | Время создания старого файла. |
| OldFileHash | строка | Хеш-код старого файла. |
| OldFileID | строка | Идентификатор, связанный со старым файлом, например inode. |
| OldFileModificationTime | строка | Время последнего изменения старого файла. |
| OldFileName | строка | Имя старого файла. |
| OldFilePath | строка | Полный путь к старому файлу, включая имя файла. Например, C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip. |
| OldFilePermission | строка | Разрешения старого файла. Например: "2,1,1". |
| OldFileSize | INT | Размер старого файла в байтах. |
| OldFileType | строка | Тип старого файла, например канал, сокет и т. д. |
| OriginalLogSeverity | строка | Не сопоставленная версия LogSeverity. Например: Warning/Critical/Info вместо нормализованного значения Low/Medium/High в поле LogSeverity |
| ProcessID | INT | Определяет идентификатор процесса на устройстве, создающем событие. |
| ProcessName | строка | Имя процесса, связанного с событием. Например, в UNIX — процесс, создающий запись системного журнала. |
| Протокол | строка | Транспортный протокол, определяющий используемый протокол уровня 4. Возможные значения включают имена протоколов, например TCP или UDP. |
| Причина | строка | Причина, по которой было создано событие аудита. Например, "недопустимый пароль" или "неизвестный пользователь". Это также может быть ошибка или код возврата. Пример: "0x1234". |
| ReceiptTime | строка | Время получения действия, связанного с событием. Отличается от поля Timegenerated, то есть при получении события на компьютере сборщика журналов. |
| ReceivedBytes | long | Общее число байтов, переданных во входящем трафике. |
| RemoteIP | строка | Удаленный IP-адрес, производный от значения направления события, если это возможно. |
| Удаленный порт | строка | Удаленный порт, производный от значения направления события, если это возможно. |
| ReportReferenceLink | строка | Ссылка на отчет веб-канала TI. |
| RequestClientApplication | строка | Агент пользователя, связанный с запросом. |
| RequestContext | строка | Описывает содержимое, от которого поступил запрос, например источник ссылки HTTP. |
| RequestCookies | строка | Файлы cookie, связанные с запросом. |
| requestMethod | строка | Метод, используемый для доступа к URL-адресу. Допустимые значения включают такие методы, как POST, GET и т. д. |
| RequestURL | строка | URL-адрес, к которому обращается HTTP-запрос, включая протокол. Пример: http://www/secure.com. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
| SentBytes | long | Общее число байтов, переданных в исходящем трафике. |
| SimplifiedDeviceAction | строка | Сопоставленная версия DeviceAction, например Запретить > . |
| SourceDnsDomain | строка | Содержащая домен DNS часть полного доменного имени. |
| SourceHostName | строка | Определяет источник, к которому обращается событие, в IP-сети. Формат должен представлять собой полное доменное имя (FQDN), связанное с исходным узлом, если узел доступен. Например: узел или host.domain.com. |
| SourceIP | строка | Источник, к которому обращается событие в IP-сети, как адрес IPv4. |
| SourceMACAddress | строка | MAC-адрес источника. |
| SourceNTDomain | строка | Доменное имя Windows для адреса источника. |
| SourcePort | INT | Номер исходного порта. Допустимые номера портов: от 0 до 65535. |
| SourceProcessId | INT | Идентификатор исходного процесса, связанного с событием. |
| SourceProcessName | строка | Имя исходного процесса события. |
| SourceServiceName | строка | Служба, отвечающая за создание события. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| SourceTranslatedAddress | строка | Определяет преобразованный источник, к которому обращается событие, в IP-сети. |
| SourceTranslatedPort | INT | Исходный порт после преобразования, например брандмауэр. Допустимые номера портов: от 0 до 65535. |
| SourceUserID | строка | Определяет исходного пользователя по идентификатору. |
| SourceUserName | строка | Определяет исходного пользователя по имени. Email адреса также сопоставляются с полями UserName. Отправитель является кандидатом для ввода в это поле. |
| SourceUserPrivileges | строка | Привилегии исходного пользователя. Допустимые значения: Администратор, Пользователь, Гость. |
| StartTime | DATETIME | Время начала действия, к которому обращается событие. |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatConfidence | строка | Достоверность угроз вредоносного IP-адреса согласно нашему веб-каналу TI. |
| ThreatDescription | строка | Описание угрозы вредоносного IP-адреса согласно нашему веб-каналу TI. |
| ThreatSeverity | INT | Серьезность угрозы вредоносного IP-адреса в соответствии с нашим веб-каналом TI во время приема записи. |
| TimeGenerated | DATETIME | Время сбора событий в формате UTC. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по