Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tabellen Normaliserade autentiseringshändelser i Microsoft Sentinel. Lagrar händelser som är associerade, till exempel med användarautentisering, inloggning och utloggning.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/authenticationevent |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| ActingAppId | sträng | ID:t för programmet som auktoriserar för aktörens räkning, inklusive en process, webbläsare eller tjänst. |
| AgereAppNamn | sträng | Namnet på programmet som auktoriserar åt aktören, inklusive en process, webbläsare eller tjänst. |
| Typ av agerande app | sträng | Typ av verkande program. |
| ActingOriginalAppTyp | sträng | Den tillförordnade programtypen som rapporteras av rapporteringsenheten. |
| SkådespelaresUrsprungligaAnvändartyp | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| ActorScope | sträng | Omfånget, till exempel Azure AD-klient, där ActorUserId och ActorUsername definieras. |
| AktörOmrådeId | sträng | Omfångs-ID:t, till exempel Azure AD-klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
| SessionId för aktör | sträng | Det unika ID:t för inloggningssessionen för aktören. |
| ActorUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. |
| AnvändarID-typ för Aktör | sträng | Typen av ID som lagras i fältet ActorUserId. |
| ActorUsername | sträng | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
| Användarnamnstyp för Aktör | sträng | Anger typen av användarnamn som lagras i fältet ActorUsername. |
| Användartyp för aktör | sträng | Typen av aktör. |
| YtterligareFält | dynamisk | Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _FaktureradStorlek | verklig / äkta | Poststorleken i byte |
| DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet. |
| DvcBeskrivning | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet som data har avbildats på. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av den rapporterande enheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Identifieraren för molnplattformen som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
| Händelseräkning | heltal | Antalet händelser som beskrivs av uppteckningen. |
| HändelsensSluttid | datum och tid | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte finns tillgängligt i källposten, fungerar det här fältet som alias för TimeGenerated-fältet. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning. |
| HändelseursprungligaResultatDetaljer | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
| HändelseOriginalUnderTyp | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. |
| HändelseOriginalTyp | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID-nummer för den ursprungliga posten, om det tillhandahålls av källan. |
| Evenemangsägare | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| EventProduktversion | sträng | Den version av produkten som genererar händelsen. |
| HändelserapportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| Evenemangsresultat | sträng | Resultatet av händelsen, som representeras av något av följande värden: Framgång, Delvis, Misslyckande, NA (Ej tillämpligt). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| Händelseresultatdetaljer | sträng | Informationen som är associerad med händelseresultatet. Det här fältet fylls vanligtvis i när resultatet är ett fel. |
| EventSchemaversion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| EventStarttid | datum och tid | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, är det tiden då den första händelsen genererades. Om det inte finns tillgängligt i källposten, fungerar det här fältet som alias för TimeGenerated-fältet. |
| HändelseUnderTyp | sträng | Inloggningstypen till exempel System, Interactive, RemoteInteractive, Service, RemoteService, Remote eller AssumeRole. |
| Händelsetyp | sträng | Beskriver operationen som rapporterats av posten |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| HTTP-användaragent | sträng | När autentiseringen utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvud som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| Inloggningsmetod | sträng | Den metod som används för att utföra autentisering. |
| Inloggningsprotokoll | sträng | Det protokoll som används för att utföra autentisering. |
| _Resurs-id | sträng | En unik identifierare för resursen som posten är associerad med |
| RegelNamn | sträng | Namnet eller ID:t för regeln som är associerad med inspektionsresultatet. |
| Regelnummer | heltal | Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem | sträng | Agenttypen som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcBeskrivning | sträng | En beskrivande text som är associerad med källenheten. |
| SrcDeviceType | sträng | Typ av källenhet. |
| SrcDomain | sträng | Källenhetens domän. |
| SrcDomäntyp | sträng | Typen av SrcDomain. |
| SrcDvcId | sträng | Källenhetens ID. |
| SrcDvcIdType | sträng | Typen av SrcDvcId. |
| SrcDvcOs | sträng | Källenhetens operativsystem. |
| SrcDvcScope | sträng | Omfånget för molnplattformen som källenheten tillhör. SrcDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som källenheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcFQDN | sträng | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | verklig / äkta | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitud | verklig / äkta | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| KällaGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
| SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. |
| SrcIpAddr | sträng | Källenhetens IP-adress. |
| SrcIsp | sträng | Internetleverantören (ISP) som används av källenheten för att ansluta till Internet. |
| SrcUrsprungligRisknivå | sträng | Den risknivå som associeras med den identifierade källan enligt rapporteringsenhetens rapporter. |
| SrcPortNumber | heltal | DEN IP-port som anslutningen kommer från. |
| Risknivå | heltal | Den risknivå som är associerad med den identifierade källan. |
| _PrenumerationsId | sträng | En unik identifierare för prenumerationen till vilken posten är associerad |
| TargetAppId | sträng | ID:t för det program som auktoriseringen krävs till, som ofta tilldelas av rapporteringsenheten. |
| TargetAppName | sträng | Namnet på det program som auktoriseringen krävs för, inklusive en tjänst, en URL eller ett SaaS-program. |
| Målapptyp | sträng | Typen av program som auktoriserar för aktörens räkning. |
| Målbeskrivning | sträng | En beskrivande text som är associerad med målenheten. |
| MålEnhetTyp | sträng | Typen av målenhet. |
| MålDomän | sträng | Målenhetens domän. |
| Målområdestyp | sträng | Typ av TargetDomain. |
| TargetDvcId | sträng | Målenhetens ID. |
| TargetDvcIdType | sträng | Typ av TargetDvcId. |
| TargetDvcOs | sträng | Målenhetens operativsystem. |
| TargetDvcScope | sträng | Molnplattformsomfånget som målenheten tillhör. TargetDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetDvcScopeId | sträng | Molnplattformens område-ID som målenheten är en del av. TargetDvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetFQDN | sträng | Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. |
| TargetGeoCity | sträng | Den ort som är associerad med mål-IP-adressen. |
| TargetGeoCountry | sträng | Det land som är associerat med mål-IP-adressen. |
| TargetGeoLatitude | verklig / äkta | Latitud för den geografiska koordinat som är associerad med mål-IP-adressen. |
| TargetGeoLongitude | verklig / äkta | Longitud för den geografiska koordinat som är associerad med mål-IP-adressen. |
| TargetGeoRegion | sträng | Regionen inom ett land som är associerat med mål-IP-adressen. |
| Målvärdnamn | sträng | Målenhetens värdnamn, exklusive domäninformation. |
| Mål-IP-adress | sträng | Målenhetens IP-adress. |
| MålOriginalApptyp | sträng | Målprogramtypen som rapporteras av rapporteringsenheten. |
| Måloriginalrisknivå | sträng | Den risknivå som är associerad med målet, enligt rapporteringsenhetens rapporter. |
| TargetOriginalUserType | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| Målnummer för port | heltal | Målenhetens port. |
| Målrisknivå | heltal | Den risknivå som är associerad med målet. |
| TargetSessionId (Målsessions-ID) | sträng | Det unika ID:t för inloggningssessionen för målanvändaren. |
| TargetUrl | sträng | En URL som är associerad med målprogrammet. |
| Målanvändar-ID | sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. |
| MålAnvändarIdTyp | sträng | Typen av ID som lagras i fältet TargetUserId. |
| TargetUsername | sträng | Den måltavlaaktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
| MålAnvändarnamnTyp | sträng | Typ av användarnamn för målaktören som anges i fältet TargetUsername |
| MålAnvändarOmråde | sträng | Omfånget, till exempel Azure AD-klientorganisationen, där TargetUserId och TargetUsername definieras. |
| MålanvändarOmfattningsId | sträng | Omfångs-ID:t, till exempel Azure AD-klient-ID, där TargetUserId och TargetUsername definieras. |
| Målgruppstyp | sträng | Typen av målskådespelare. |
| HyresgästId | sträng | Arbetsytans ID för Log Analytics |
| Hotkategori | sträng | Kategorin för hot eller skadlig kod som identifieras i granskningsaktiviteten. |
| ThreatConfidence | heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet som ett hot identifierades för. |
| TidFörstRapporteradeHotet | datum och tid | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatIpAddr | sträng | En IP-adress som ett hot identifierades för. |
| HotetÄrAktivt | Bool | Sant om det identifierade hotet anses vara ett aktivt hot. |
| SenastRapporteradHotTid | datum och tid | Senast IP-adressen eller domänen identifierades som ett hot. |
| Hotnamn | sträng | Namnet på det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| Hotets Ursprungliga Självförtroende | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| UrsprungligRiskNivåFörHot | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| Hotrisknivå | heltal | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| Tidpunkt för generering | datum och tid | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |