Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Schemat för ASim-användarhantering representerar användarhanteringsaktiviteter, till exempel att skapa en användare eller en grupp, ändra användarattribut eller lägga till en användare i en grupp. Sådana händelser rapporteras till exempel av operativsystem, katalogtjänster, identitetshanteringssystem och andra systemrapporter om dess lokala användarhanteringsaktivitet.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/asimtables |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Transformation vid inmatningstid | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| ActingAppId | sträng | ID för programmet som används av aktören för att utföra aktiviteten, inklusive en process, webbläsare eller tjänst. |
| AgereAppNamn | sträng | Namnet på programmet som används av aktören för att utföra aktiviteten, inklusive en process, webbläsare eller tjänst. |
| Typ av agerande app | sträng | Typ av verkande program. |
| TypAvAgerandeOriginalApp | sträng | Programtypen som rapporteras av rapporteringsenheten. |
| SkådespelaresUrsprungligaAnvändartyp | sträng | Den ursprungliga aktörens användartyp, om den tillhandahålls av källan. |
| ActorScope | sträng | Omfånget, till exempel Azure AD-klient, i vilket ActorUserId och ActorUsername definieras. |
| AktörOmrådeId | sträng | Omfångs-ID:t, till exempel Azure AD-klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
| SessionId för aktör | sträng | Det unika ID:t för inloggningssessionen för aktören. |
| ActorUserAadId | sträng | Aktörens Azure Active Directory-ID. |
| ActorUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. |
| AktörAnvändarIdTyp | sträng | Typen av ID som lagras i fältet ActorUserId. |
| ActorUsername | sträng | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
| Användarnamnstyp för aktör | sträng | Anger typen av användarnamn som lagras i fältet ActorUsername. |
| ActorUserSid | sträng | Windows-användar-ID (SID) för aktören. |
| Användartyp för Aktör | sträng | Typen av aktör. |
| YtterligareFält | dynamisk | Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _Fakturastorlek | verklig | Datapostens storlek i byte |
| DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet. |
| DvcBeskrivning | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet som data har avbildats på. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som angavs av rapporteringsenheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope kopplas till ett prenumerationsnamn på Azure och ett konto-ID på AWS. |
| DvcScopeId | sträng | Omfattnings-ID:t för molnplattformen som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
| Händelseräknare | heltal | Antalet händelser som beskrivs av dokumentationen. |
| Sluttid för evenemang | datum och tid | Tiden då händelsen avslutades. Om källan stöder sammansättning och posten representerar flera händelser, är det tidpunkten då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, används det här fältet istället för fältet TimeGenerated. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning. |
| UrsprungligaResultatdetaljerFörHändelse | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
| HändelseOriginalSubTyp | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. |
| HändelseOriginalTyp | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID för ursprungsposten, om det tillhandahålls av källan. |
| Eventägare | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| Eventproduktversion | sträng | Den version av produkten som genererar händelsen. |
| EventrapportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| Händelseresultat | sträng | Resultatet av händelsen, som representeras av något av följande värden: Framgång, Delvis, Misslyckande, EJ (Ej Tillämpligt). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| Evenemangsresultatdetaljer | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
| EventSchema | sträng | Namnet på schemat |
| EventSchemaversion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| Händelsens starttid | datum och tid | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, är det den tidpunkt då den första händelsen genererades. Om det inte tillhandahålls av källposten, används det här fältet istället för fältet TimeGenerated. |
| Eventunderkategori | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
| Händelsetyp | sträng | Beskriver den åtgärd som rapporterats av registerposten. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| GruppId | sträng | En maskinläsbar, alfanumerisk, unik representation av gruppen för aktiviteter som involverar en grupp. |
| GroupIdTyp | sträng | Typen av ID som lagras i fältet GroupId. |
| GruppNamn | sträng | Gruppnamnet, inklusive domäninformation när det är tillgängligt, för aktiviteter som involverar en grupp. |
| GruppnamnTyp | sträng | Anger typen av gruppnamn som lagras i fältet GroupName. |
| GruppOriginalTyp | sträng | Den ursprungliga grupptypen, om den tillhandahålls av källan. |
| Grupptyp | sträng | Typen av grupp, för aktiviteter som involverar en grupp. |
| HTTP-användaragent | sträng | När autentiseringen utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvud som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. |
| _IsDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false krediteras inte ditt Azure-konto för inmatningen. |
| NyttEgenskapsVärde | sträng | Det nya värdet som lagras i den angivna egenskapen. |
| TidigareEgenskapsVärde | sträng | Det tidigare värdet som lagrades i den angivna egenskapen. |
| _Resurs-id | sträng | En unik identifierare för resursen som posten är associerad med |
| Regelnamn | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| Regelnummer | heltal | Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcBeskrivning | sträng | En beskrivande text som är associerad med källenheten. |
| SrcDeviceType | sträng | Typ av källenhet. |
| SrcDomain | sträng | Källenhetens domän. |
| SrcDomäntyp | sträng | Typen av SrcDomain. |
| SrcDvcId | sträng | ID:t för källenheten enligt rapporten i posten. |
| SrcDvcIdType | sträng | Typen av SrcDvcId. |
| SrcDvcScope | sträng | Omfånget av molnplattformen som källanheten tillhör. SrcDvcScope mappas till ett prenumerationsnamn i Azure och till ett konto-ID på AWS. |
| SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som källenheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcFQDN | sträng | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLängdgrad | verklig | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| KällaGeoRegion | sträng | Regionen inom ett land som är associerat med källans IP-adress.. |
| SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. |
| SrcIpAddr | sträng | Källenhetens IP-adress. |
| SrcMacAddr | sträng | MAC-adressen för källenheten. |
| Källans ursprungliga risknivå | sträng | Den risknivå som associeras med den identifierade källan enligt rapporteringsenhetens rapporter. |
| SrcPortNumber | heltal | Källans IP-port som anslutningen kommer från. |
| Risknivå | heltal | Den risknivå som är associerad med den identifierade källan. |
| _Prenumerations-ID | sträng | En unik identifierare för den prenumeration med vilken posten är associerad |
| TargetOriginalUserType | sträng | Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
| Målanvändar-ID | sträng | En maskinläsbar, alfanumerisk, unik representation av målanvändaren. |
| MålAnvändarIdTyp | sträng | Typen av ID som lagras i fältet TargetUserId. |
| TargetUsername | sträng | Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. |
| MålAnvändarnamnTyp | sträng | Anger typen av användarnamn som lagras i fältet TargetUsername. |
| MålAnvändarOmråde | sträng | Omfånget, till exempel Azure AD-klientnamnet, där TargetUserId och TargetUsername definieras. |
| TargetAnvändarOmrådeId | sträng | Omfångs-ID:t, till exempel Azure AD-klient-ID, där TargetUserId och TargetUsername definieras. |
| Målanvändarsessions-ID | sträng | Det unika ID:t för användarens inloggningssession. |
| Målanvändartyp | sträng | Typ av målanvändare. |
| TargetUserUid | sträng | Användarens Unix- eller Linux-användar-ID. |
| Hyresgäst-ID | sträng | ID för Log Analytics-arbetsyta |
| Hotkategori | sträng | Kategorin för det hot eller skadlig kod som identifieras i aktiviteten. |
| ThreatConfidence | heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet som ett hot identifierades för. |
| TidFörstRapporteradeHotet | datum och tid | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i aktiviteten. |
| Hotet är aktivt | Bool | Sant ID som det identifierade hotet betraktas som ett aktivt hot. |
| SenastRapporteradTidFörHot | datum och tid | Senast IP-adressen eller domänen identifierades som ett hot. |
| Hotnamn | sträng | Namnet på det hot eller den skadliga kod som identifieras i aktiviteten. |
| HotOriginalTillförsikt | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| UrsprungligRiskNivåHot | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| Hotrisknivå | heltal | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| Tidpunkt för generering | datum och tid | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |