Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
ASim-registrets händelseschema representerar Windows-aktivitet för att skapa, ändra eller ta bort Windows-registerentiteter. Registerhändelser är specifika för Windows-system, men rapporteras av olika system som övervakar Windows, till exempel EDR-system (slutpunktsidentifiering och svar), Sysmon eller Själva Windows.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/asimtables |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Ingesteringstidstransformation | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AgerandeProcessKommandorad | sträng | Kommandoraden som används för att köra processen. |
| ActingProcessGuide | sträng | En genererad unik identifierare för den verkande processen. |
| ActingProcessId | sträng | Process-ID för den verkande processen. |
| VerksamhetsProcessNamn | sträng | Filnamnet på den verkande processbildfilen. |
| AktörOriginalAnvändartyp | sträng | Den ursprungliga aktörens användartyp, om den tillhandahålls av källan. |
| ActorScope | sträng | Omfånget, såsom Azure AD-klient, där ActorUserId och ActorUsername definieras. |
| AktörOmrådeId | sträng | Omfångs-ID:t, till exempel Azure AD-klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
| SessionId för aktör | sträng | Det unika ID:t för inloggningssessionen för aktören. |
| ActorUserAadId | sträng | Aktörens Azure Active Directory-ID. |
| ActorUserId | sträng | Ett unikt ID för aktören. |
| AktörAnvändarIdTyp | sträng | Typen av ID som lagras i fältet ActorUserId. |
| ActorUsername | sträng | Användarnamnet för den användare som initierade händelsen. |
| AktörAnvändarnamnTyp | sträng | Anger typen av användarnamn som lagras i fältet ActorUsername. |
| ActorUserSid | sträng | Windows-användar-ID (SID) för aktören. |
| AktörAnvändartyp | sträng | Typen av aktör. |
| YtterligareFält | dynamisk | Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _FaktureradStorlek | verklig | Poststorleken i byte |
| DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet. |
| DvcBeskrivning | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet som data har avbildats på. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av den rapporterande enheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope kopplas till ett prenumerationsnamn på Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Omfångs-ID för molnplattformen som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
| Evenemangsräkning | Int | Antalet händelser som beskrivs av dokumentet. |
| HändelseSluttid | datumtid | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, är det tiden då den sista händelsen genererades. Om det inte tillhandahålls av källposten, fungerar det här fältet som ett alias för fältet TimeGenerated. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning. |
| HändelseOriginalResultatDetaljer | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
| HändelseOriginalSubTyp | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalTyp | sträng | Ett unikt ID för den ursprungliga posten, om det ges av källan. |
| EventOriginalUid | sträng | . |
| Evenemangsarrangör | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| Evenemangsproduktversion | sträng | Den version av produkten som genererar händelsen. |
| EventrapportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| HändelseResultat | sträng | Resultatet av händelsen, som visas som något av följande värden: Framgång, Deltagande, Misslyckande, NA (Ej tillämpligt). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| EventResultatdetaljer | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
| EventSchema | sträng | Namnet på schemat. |
| EventSchemaversion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| Eventstarttid | datumtid | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, tidpunkten då den första händelsen genererades. Om det inte tillhandahålls av källposten, fungerar det här fältet som ett alias för fältet TimeGenerated. |
| HändelseUndertyp | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
| Händelsetyp | sträng | Beskriver den åtgärd som rapporterats av rekordet. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte inmatning på ditt Azure-konto. |
| Kommandorad för moderprocessen | sträng | Kommandoraden som används för att köra processen. |
| Föräldraprocessguid | sträng | En genererad unik identifierare för huvudprocessen. |
| ParentProcessId | sträng | Process-ID för den överordnade processen. |
| Föräldraprocessnamn | sträng | Filnamnet för den överordnade processbildfilen. |
| Registernyckel | sträng | Registernyckeln som är associerad med åtgärden, normaliserad enligt standardkonventioner för rotnyckelnamn. |
| RegisterFöregåendeNyckel | sträng | För åtgärder som ändrar registret normaliseras den ursprungliga registernyckeln till standardnamngivning av rotnycklar. |
| RegisterTidigareVärde | sträng | För åtgärder som ändrar registret normaliseras den ursprungliga värdetypen till standardformuläret. |
| RegisterTidigareVärdedata | sträng | De ursprungliga registerdata för åtgärder som ändrar registret. |
| RegisterFöregåendeVärdeTyp | sträng | För åtgärder som ändrar registret, den ursprungliga värdetypen. |
| Registervärde | sträng | Registervärdet som är associerat med åtgärden. |
| Registervärdedata | sträng | Data som lagras i registervärdet. |
| Registervärdestyp | sträng | Typ av registervärde, normaliserat till standardformulär. |
| _Resurs-id | sträng | En unik identifierare för resursen som databasen är associerad med |
| Regelnamn | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| Regelnummer | Int | Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| _PrenumerationsId | sträng | En unik identifierare för prenumerationen som registreringen är associerad med |
| HyresgivarId | sträng | ID för Log Analytics-arbetsyta |
| Hotkategori | sträng | Kategorin för det hot eller skadlig kod som identifieras i aktiviteten. |
| ThreatConfidence | Int | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet som ett hot identifierades för. |
| TidFörstRapporteradeHotet | datumtid | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i aktiviteten. |
| HotetÄrAktivt | Bool | Det identifierade hotet betraktas som ett aktivt hot med den sanna ID:n. |
| HotSistRapporteradTid | datumtid | Senast IP-adressen eller domänen identifierades som ett hot. |
| Hotnamn | sträng | Namnet på det hot eller den skadliga kod som identifieras i aktiviteten. |
| UrsprungligtHotFörtroende | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| UrsprungsrisknivåFörHotet | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| Hotrisknivå | Int | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| Tidpunkt för generering | datumtid | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |