ASimUserManagementActivityLogs
Schemat för ASim-användarhantering representerar användarhanteringsaktiviteter, till exempel att skapa en användare eller en grupp, ändra användarattribut eller lägga till en användare i en grupp. Sådana händelser rapporteras till exempel av operativsystem, katalogtjänster, identitetshanteringssystem och andra systemrapporter om dess lokala användarhanteringsaktivitet.
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | microsoft.securityinsights/asimtables |
Kategorier | Säkerhet |
Lösningar | SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | - |
Kolumner
Kolumn | Typ | Description |
---|---|---|
ActingAppId | sträng | ID för programmet som används av aktören för att utföra aktiviteten, inklusive en process, webbläsare eller tjänst. |
ActingAppName | sträng | Namnet på programmet som används av aktören för att utföra aktiviteten, inklusive en process, webbläsare eller tjänst. |
ActingAppType | sträng | Typ av verkande program. |
ActingOriginalAppType | sträng | Den tillförordnade programtypen som rapporteras av rapporteringsenheten. |
ActorOriginalUserType | sträng | Den ursprungliga aktörens användartyp, om den tillhandahålls av källan. |
ActorScope | sträng | Omfånget, till exempel Azure AD klientorganisation, där ActorUserId och ActorUsername definieras. |
ActorScopeId | sträng | Omfångs-ID, till exempel Azure AD klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
ActorSessionId | sträng | Det unika ID:t för aktörens inloggningssession. |
ActorUserAadId | sträng | Aktörens Azure Active Directory-ID. |
ActorUserId | sträng | En maskinläsbar, alfanumerisk och unik representation av aktören. |
ActorUserIdType | sträng | Typen av ID som lagras i fältet ActorUserId. |
ActorUsername | sträng | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
ActorUsernameType | sträng | Anger typen av användarnamn som lagras i fältet ActorUsername. |
ActorUserSid | sträng | Windows användar-ID (SID) för aktören. |
ActorUserType | sträng | Typen av aktör. |
AdditionalFields | dynamisk | Ytterligare information som representeras med nyckel/värde-par som tillhandahålls av källan och som inte mappas till ASim. |
_BilledSize | real | Poststorleken i byte |
DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtagits av systemet. |
DvcDescription | sträng | En beskrivande text som är associerad med enheten. |
DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
DvcDomainType | sträng | Typ av DvcDomain. |
DvcFQDN | sträng | Värdnamnet för enheten där händelsen inträffade eller som rapporterade händelsen. |
DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
DvcId | sträng | Unikt ID för enheten där händelsen inträffade eller som rapporterade händelsen. |
DvcIdType | sträng | Typ av DvcId. |
DvcInterface | sträng | Nätverksgränssnittet där data hämtades. |
DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerationsnamn på Azure och till ett konto-ID på AWS. |
DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
EventCount | int | Antalet händelser som beskrivs av posten. |
EventEndTime | datetime | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten kan det här fältet vara alias för fältet TimeGenerated. |
EventMessage | sträng | Ett allmänt meddelande eller en beskrivning. |
EventOriginalResultDetails | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. |
EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
EventOriginalSubType | sträng | Den ursprungliga händelseundertypen eller ID:t om den tillhandahålls av källan. |
EventOriginalType | sträng | Den ursprungliga händelsetypen eller ID:t om den tillhandahålls av källan. |
EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
EventOwner | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
EventProduct | sträng | Den produkt som genererar händelsen. |
EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
EventReportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
EventResult | sträng | Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte tillhandahålls direkt av källorna, i så fall härleds det från andra händelsefält, till exempel fältet EventResultDetails. |
EventResultDetails | sträng | Orsak eller information om resultatet som rapporterats i fältet EventResult. |
EventSchema | sträng | Namnet på schemat |
EventSchemaVersion | sträng | Versionen av schemat. |
EventSeverity | sträng | Allvarlighetsgraden för händelsen. Giltiga värden är: Informational, Låg, Medel eller Hög. |
EventStartTime | datetime | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten kan det här fältet vara alias för fältet TimeGenerated. |
EventSubType | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
Eventtype | sträng | Beskriver den åtgärd som rapporterats av posten. |
EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
GroupId | sträng | En maskinläsbar, alfanumerisk, unik representation av gruppen för aktiviteter som involverar en grupp. |
GroupIdType | sträng | Typen av ID som lagras i fältet GroupId. |
Gruppnamn | sträng | Gruppnamnet, inklusive domäninformation när det är tillgängligt, för aktiviteter som involverar en grupp. |
GroupNameType | sträng | Anger typen av gruppnamn som lagras i fältet GroupName. |
GroupOriginalType | sträng | Den ursprungliga grupptypen, om den tillhandahålls av källan. |
GroupType | sträng | Typ av grupp, för aktiviteter som involverar en grupp. |
HttpUserAgent | sträng | När autentisering utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvudet som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
NewPropertyValue | sträng | Det nya värdet som lagras i den angivna egenskapen. |
PreviousPropertyValue | sträng | Det tidigare värdet som lagrades i den angivna egenskapen. |
_ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
RuleName | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
RuleNumber | int | Numret på regeln som är associerad med inspektionsresultatet. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
SrcDescription | sträng | En beskrivande text som är associerad med källenheten. |
SrcDeviceType | sträng | Typ av källenhet. |
SrcDomain | sträng | Källenhetens domän. |
SrcDomainType | sträng | Typen av SrcDomain. |
SrcDvcId | sträng | Källenhetens ID enligt vad som rapporteras i posten. |
SrcDvcIdType | sträng | Typen av SrcDvcId. |
SrcDvcScope | sträng | Molnplattformsomfånget som källenheten tillhör. SrcDvcScope mappar till ett prenumerationsnamn på Azure och till ett konto-ID på AWS. |
SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som källenheten tillhör. SrcDvcScopeId mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
SrcFQDN | sträng | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. |
SrcGeoCity | sträng | Orten som är associerad med källans IP-adress. |
SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
SrcGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
SrcGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
SrcGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. |
SrcIpAddr | sträng | Källenhetens IP-adress. |
SrcMacAddr | sträng | Källenhetens MAC-adress. |
SrcOriginalRiskLevel | sträng | Den risknivå som associeras med den identifierade källan enligt rapporteringsenheten. |
SrcPortNumber | int | Käll-IP-porten som anslutningen kommer från. |
SrcRiskLevel | int | Den risknivå som är associerad med den identifierade källan. |
_SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
TargetOriginalUserType | sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
TargetUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. |
TargetUserIdType | sträng | Typen av ID som lagras i fältet TargetUserId. |
TargetUsername | sträng | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. |
TargetUsernameType | sträng | Anger typen av användarnamn som lagras i fältet TargetUsername. |
TargetUserScope | sträng | Omfånget, till exempel Azure AD klientnamn, där TargetUserId och TargetUsername definieras. |
TargetUserScopeId | sträng | Omfångs-ID:t, till exempel Azure AD klientorganisations-ID, där TargetUserId och TargetUsername definieras. |
TargetUserSessionId | sträng | Unikt ID för inloggningssessionen för användaren. |
TargetUserType | sträng | Typ av målanvändare. |
TargetUserUid | sträng | Användarens Unix- eller Linux-användar-ID. |
TenantId | sträng | Log Analytics-arbetsytans ID |
ThreatCategory | sträng | Kategorin för det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatConfidence | int | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
ThreatField | sträng | Det fält som ett hot identifierades för. |
ThreatFirstReportedTime | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatIsActive | boolesk | Sant ID som det identifierade hotet betraktas som ett aktivt hot. |
ThreatLastReportedTime | datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatOriginalConfidence | sträng | Den ursprungliga konfidensnivån för det hot som identifierats, enligt rapporteringsenhetens rapportering. |
ThreatOriginalRiskLevel | sträng | Risknivån som rapporteras av rapporteringsenheten. |
ThreatRiskLevel | int | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
TimeGenerated | datetime | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
Typ | sträng | Namnet på tabellen |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för