Dela via


ASimAnvändarhanteringsAktivitetsLoggar

Schemat för ASim-användarhantering representerar användarhanteringsaktiviteter, till exempel att skapa en användare eller en grupp, ändra användarattribut eller lägga till en användare i en grupp. Sådana händelser rapporteras till exempel av operativsystem, katalogtjänster, identitetshanteringssystem och andra systemrapporter om dess lokala användarhanteringsaktivitet.

Tabellattribut

Attribut Värde
Resurstyper microsoft.securityinsights/asimtables
Kategorier Säkerhet
Lösningar SecurityInsights
Grundläggande logg Ja
Transformation vid inmatningstid Ja
Exempelfrågor -

Kolumner

Kolumn Typ Beskrivning
ActingAppId sträng ID för programmet som används av aktören för att utföra aktiviteten, inklusive en process, webbläsare eller tjänst.
AgereAppNamn sträng Namnet på programmet som används av aktören för att utföra aktiviteten, inklusive en process, webbläsare eller tjänst.
Typ av agerande app sträng Typ av verkande program.
TypAvAgerandeOriginalApp sträng Programtypen som rapporteras av rapporteringsenheten.
SkådespelaresUrsprungligaAnvändartyp sträng Den ursprungliga aktörens användartyp, om den tillhandahålls av källan.
ActorScope sträng Omfånget, till exempel Azure AD-klient, i vilket ActorUserId och ActorUsername definieras.
AktörOmrådeId sträng Omfångs-ID:t, till exempel Azure AD-klientorganisations-ID, där ActorUserId och ActorUsername definieras.
SessionId för aktör sträng Det unika ID:t för inloggningssessionen för aktören.
ActorUserAadId sträng Aktörens Azure Active Directory-ID.
ActorUserId sträng En maskinläsbar, alfanumerisk, unik representation av aktören.
AktörAnvändarIdTyp sträng Typen av ID som lagras i fältet ActorUserId.
ActorUsername sträng Aktörens användarnamn, inklusive domäninformation när det är tillgängligt.
Användarnamnstyp för aktör sträng Anger typen av användarnamn som lagras i fältet ActorUsername.
ActorUserSid sträng Windows-användar-ID (SID) för aktören.
Användartyp för Aktör sträng Typen av aktör.
YtterligareFält dynamisk Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim.
_Fakturastorlek verklig Datapostens storlek i byte
DvcAction sträng För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet.
DvcBeskrivning sträng En beskrivande text som är associerad med enheten.
DvcDomain sträng Domänen för enheten som rapporterar händelsen.
DvcDomainType sträng Typ av DvcDomain.
DvcFQDN sträng Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen.
DvcHostname sträng Värdnamnet för enheten som rapporterar händelsen.
DvcId sträng Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen.
DvcIdType sträng Typ av DvcId.
DvcInterface sträng Nätverksgränssnittet som data har avbildats på.
DvcIpAddr sträng IP-adressen för enheten som rapporterar händelsen.
DvcMacAddr sträng MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen.
DvcOriginalAction sträng Den ursprungliga DvcAction som angavs av rapporteringsenheten.
DvcOs sträng Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen.
DvcOsVersion sträng Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen.
DvcScope sträng Molnplattformsomfånget som enheten tillhör. DvcScope kopplas till ett prenumerationsnamn på Azure och ett konto-ID på AWS.
DvcScopeId sträng Omfattnings-ID:t för molnplattformen som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS.
DvcZone sträng Nätverket där händelsen inträffade eller som rapporterade händelsen.
Händelseräknare heltal Antalet händelser som beskrivs av dokumentationen.
Sluttid för evenemang datum och tid Tiden då händelsen avslutades. Om källan stöder sammansättning och posten representerar flera händelser, är det tidpunkten då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, används det här fältet istället för fältet TimeGenerated.
Händelsemeddelande sträng Ett allmänt meddelande eller en beskrivning.
UrsprungligaResultatdetaljerFörHändelse sträng Den ursprungliga resultatinformationen som tillhandahålls av källan.
EventOriginalSeverity sträng Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten.
HändelseOriginalSubTyp sträng Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan.
HändelseOriginalTyp sträng Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan.
EventOriginalUid sträng Ett unikt ID för ursprungsposten, om det tillhandahålls av källan.
Eventägare sträng Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades.
EventProduct sträng Produkten som genererar händelsen.
Eventproduktversion sträng Den version av produkten som genererar händelsen.
EventrapportUrl sträng En URL som anges i händelsen för en resurs som ger mer information om händelsen.
Händelseresultat sträng Resultatet av händelsen, som representeras av något av följande värden: Framgång, Delvis, Misslyckande, EJ (Ej Tillämpligt). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails.
Evenemangsresultatdetaljer sträng Orsak eller information för resultatet som rapporteras i fältet EventResult.
EventSchema sträng Namnet på schemat
EventSchemaversion sträng Versionen av schemat.
EventSeverity sträng Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög.
Händelsens starttid datum och tid Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, är det den tidpunkt då den första händelsen genererades. Om det inte tillhandahålls av källposten, används det här fältet istället för fältet TimeGenerated.
Eventunderkategori sträng Beskriver en indelning av åtgärden som rapporteras i fältet EventType.
Händelsetyp sträng Beskriver den åtgärd som rapporterats av registerposten.
EventVendor sträng Leverantören av produkten som genererar händelsen.
GruppId sträng En maskinläsbar, alfanumerisk, unik representation av gruppen för aktiviteter som involverar en grupp.
GroupIdTyp sträng Typen av ID som lagras i fältet GroupId.
GruppNamn sträng Gruppnamnet, inklusive domäninformation när det är tillgängligt, för aktiviteter som involverar en grupp.
GruppnamnTyp sträng Anger typen av gruppnamn som lagras i fältet GroupName.
GruppOriginalTyp sträng Den ursprungliga grupptypen, om den tillhandahålls av källan.
Grupptyp sträng Typen av grupp, för aktiviteter som involverar en grupp.
HTTP-användaragent sträng När autentiseringen utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvud som tillhandahålls av det tillförordnade programmet när autentiseringen utförs.
_IsDebiterbar sträng Anger om inmatningen av data är fakturerbar. När _IsBillable är false krediteras inte ditt Azure-konto för inmatningen.
NyttEgenskapsVärde sträng Det nya värdet som lagras i den angivna egenskapen.
TidigareEgenskapsVärde sträng Det tidigare värdet som lagrades i den angivna egenskapen.
_Resurs-id sträng En unik identifierare för resursen som posten är associerad med
Regelnamn sträng Namnet eller ID:t för regeln som associeras med inspektionsresultatet.
Regelnummer heltal Antalet regler som är associerade med inspektionsresultatet.
SourceSystem sträng Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics
SrcBeskrivning sträng En beskrivande text som är associerad med källenheten.
SrcDeviceType sträng Typ av källenhet.
SrcDomain sträng Källenhetens domän.
SrcDomäntyp sträng Typen av SrcDomain.
SrcDvcId sträng ID:t för källenheten enligt rapporten i posten.
SrcDvcIdType sträng Typen av SrcDvcId.
SrcDvcScope sträng Omfånget av molnplattformen som källanheten tillhör. SrcDvcScope mappas till ett prenumerationsnamn i Azure och till ett konto-ID på AWS.
SrcDvcScopeId sträng Molnplattformens omfångs-ID som källenheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS.
SrcFQDN sträng Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt.
SrcGeoCity sträng Den ort som är associerad med källans IP-adress.
SrcGeoCountry sträng Det land som är associerat med källans IP-adress.
SrcGeoLatitude verklig Latitud för den geografiska koordinat som är associerad med källans IP-adress.
SrcGeoLängdgrad verklig Longitud för den geografiska koordinat som är associerad med källans IP-adress.
KällaGeoRegion sträng Regionen inom ett land som är associerat med källans IP-adress..
SrcHostname sträng Källenhetens värdnamn, exklusive domäninformation.
SrcIpAddr sträng Källenhetens IP-adress.
SrcMacAddr sträng MAC-adressen för källenheten.
Källans ursprungliga risknivå sträng Den risknivå som associeras med den identifierade källan enligt rapporteringsenhetens rapporter.
SrcPortNumber heltal Källans IP-port som anslutningen kommer från.
Risknivå heltal Den risknivå som är associerad med den identifierade källan.
_Prenumerations-ID sträng En unik identifierare för den prenumeration med vilken posten är associerad
TargetOriginalUserType sträng Den ursprungliga målanvändartypen, om den tillhandahålls av källan.
Målanvändar-ID sträng En maskinläsbar, alfanumerisk, unik representation av målanvändaren.
MålAnvändarIdTyp sträng Typen av ID som lagras i fältet TargetUserId.
TargetUsername sträng Målanvändarnamnet, inklusive domäninformation när det är tillgängligt.
MålAnvändarnamnTyp sträng Anger typen av användarnamn som lagras i fältet TargetUsername.
MålAnvändarOmråde sträng Omfånget, till exempel Azure AD-klientnamnet, där TargetUserId och TargetUsername definieras.
TargetAnvändarOmrådeId sträng Omfångs-ID:t, till exempel Azure AD-klient-ID, där TargetUserId och TargetUsername definieras.
Målanvändarsessions-ID sträng Det unika ID:t för användarens inloggningssession.
Målanvändartyp sträng Typ av målanvändare.
TargetUserUid sträng Användarens Unix- eller Linux-användar-ID.
Hyresgäst-ID sträng ID för Log Analytics-arbetsyta
Hotkategori sträng Kategorin för det hot eller skadlig kod som identifieras i aktiviteten.
ThreatConfidence heltal Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100.
ThreatField sträng Fältet som ett hot identifierades för.
TidFörstRapporteradeHotet datum och tid Första gången IP-adressen eller domänen identifierades som ett hot.
ThreatId sträng ID:t för det hot eller den skadliga kod som identifieras i aktiviteten.
Hotet är aktivt Bool Sant ID som det identifierade hotet betraktas som ett aktivt hot.
SenastRapporteradTidFörHot datum och tid Senast IP-adressen eller domänen identifierades som ett hot.
Hotnamn sträng Namnet på det hot eller den skadliga kod som identifieras i aktiviteten.
HotOriginalTillförsikt sträng Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter.
UrsprungligRiskNivåHot sträng Risknivån som rapporteras av rapporteringsenheten.
Hotrisknivå heltal Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100.
Tidpunkt för generering datum och tid Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades.
Typ sträng Namnet på tabellen