Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Denna tabell används för att samla in händelser i Common Event Format, som oftast skickas från olika säkerhetsapparater såsom Check Point, Palo Alto och fler.
Tabellattribut
| Egenskap | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/virtualmachines microsoft.compute/virtualmachinescalesets |
| Kategorier | Säkerhet |
| Lösningar | Säkerhet, Säkerhetsinsikter |
| Grundläggande logg | Ja |
| Transformering vid intagningstid | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Aktivitet | snöre | En sträng som representerar en läsbar och begriplig beskrivning av händelsen. |
| Ytterligareextensioner | snöre | En platshållare för ytterligare fält. Fält loggas som nyckel-värde-par. |
| Applikationsprotokoll | snöre | Protokollet som används i programmet, till exempel HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS och så vidare. |
| _Fakturastorlek | verklig | Datastorleken i byter |
| Samlarvärdnamn | snöre | Värdnamnet på insamlingsmaskinen som kör agenten. |
| Kommunikationsriktning | snöre | All information om vilken riktning den observerade kommunikationen har tagit. Giltiga värden: 0 = Inkommande, 1 = Utgående. |
| Dator | snöre | Värd, från Syslog. |
| Destinations-DNS-domän | snöre | DNS-delen av det fullständiga domännamnet (FQDN). |
| DestinationHostName | snöre | Destinationen som händelsen hänvisar till i ett IP-nätverk. Formatet bör vara ett FQDN associerat med destinationsnoden när en nod är tillgänglig. Till exempel: host.domain.com eller värd. |
| Destination-IP | snöre | Den destinations-IvP4-adress som händelsen refererar till i ett IP-nätverk. |
| Destination-MAC-adress | snöre | Mål-MAC-adress (FQDN). |
| DestinationNTDomain | snöre | Windows-domännamnet för destinationsadressen. |
| DestinationPort | Int | Målport. Giltiga värden: 0 - 65535. |
| DestinationProcessId | Int | ID:t för målprocessen som är associerad med händelsen. |
| DestinationProcessName | snöre | Namnet på händelsens destinationsprocess, som telnetd eller sshd. |
| Destinationsservicenamn | snöre | Tjänsten som händelsen riktar sig mot. Till exempel: sshd. |
| Destinationsöversattadress | snöre | Identifierar det översatta målet som hänvisas till av händelsen i ett IP-nätverk, som en IPv4 IP-adress. |
| Destination Översatt Port | Int | Port som används efter översättning, såsom i en brandvägg Giltiga portnummer: 0 – 65535. |
| Destinationsanvändar-ID | snöre | Identifierar användaren som ska ta emot genom ID. Till exempel: i Unix associeras root-användaren vanligtvis med användar-ID 0. |
| Destinationsanvändarnamn | snöre | Identifierar målanvändaren efter namn. |
| Destinationanvändarbehörigheter | snöre | Definierar målanvändningens behörigheter. Giltiga värden: Administratör, Användare, Gäst. |
| DeviceAction | snöre | Åtgärden som nämns i händelsen. |
| Enhetsadress | snöre | IPv4-adressen för enheten som genererar händelsen. |
| EnhetsanpassatDatum1 | snöre | Ett av två tidsstämpelfält som är tillgängliga för mappningsfält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceAnpassatDatum1Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomDate2 | snöre | Ett av två tidsstämpelfält som är tillgängliga för att mappa fält som inte passar in i något annat i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| EnhetAnpassatDatum2Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| EnhetAnpassadFlyttal1 | verklig | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. |
| EnhetsAnpassadFlyttal1Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomFloatingPoint2 | verklig | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. |
| EnhetAnpassadFlyttal2Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomFloatingPoint3 | verklig | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. |
| EnhetCustomFloatingPoint3Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomFloatingPoint4 | verklig | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. |
| DeviceCustomFloatingPoint4Label | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomIPv6Address1 | snöre | Ett av fyra IPv6-adressfält som finns tillgängliga för att kartlägga fält som inte passar in i någon annan kategori i denna ordlista. |
| EnhetsanpassadIPv6Adress1Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomIPv6Address2 | snöre | Ett av fyra IPv6-adressfält som finns tillgängliga för att kartlägga fält som inte passar in i någon annan kategori i denna ordlista. |
| EnhetsAnpassadIPv6Adress2Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomIPv6Address3 | snöre | Ett av fyra IPv6-adressfält som finns tillgängliga för att kartlägga fält som inte passar in i någon annan kategori i denna ordlista. |
| AnpassadEnhetIPv6Adress3Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomIPv6Address4 | snöre | Ett av fyra IPv6-adressfält som finns tillgängliga för att kartlägga fält som inte passar in i någon annan kategori i denna ordlista. |
| EnhetAnpassadIPv6Adress4Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| EnhetsAnpassadNummer1 | Int | Snart ett inaktuellt fält. Kommer att ersättas av FieldDeviceCustomNumber1. |
| Etikett för anpassat enhetsnummer 1 | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomNumber2 | Int | Snart ett inaktuellt fält. Kommer att ersättas av FieldDeviceCustomNumber2. |
| EnhetAnpassatNummer2Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomNumber3 | Int | Snart ett inaktuellt fält. Kommer att ersättas av FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString1 | snöre | En av sex strängar som är tillgängliga för att kartlägga fält som inte gäller för något annat i denna ordbok. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| AnpassadEnhetsSträng1Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString2 | snöre | En av sex strängar som är tillgängliga för att kartlägga fält som inte gäller för något annat i denna ordbok. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomString2Label | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString3 | snöre | En av sex strängar som är tillgängliga för att kartlägga fält som inte gäller för något annat i denna ordbok. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| EtikettFörEnhetEgenSträng3 | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString4 | snöre | En av sex strängar som är tillgängliga för att kartlägga fält som inte gäller för något annat i denna ordbok. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| EnhetsanpassadSträng4Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString5 | snöre | En av sex strängar som är tillgängliga för att kartlägga fält som inte gäller för något annat i denna ordbok. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| EnhetsAnpassadSträng5Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString6 | snöre | En av sex strängar som är tillgängliga för att kartlägga fält som inte gäller för något annat i denna ordbok. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| EnhetAnpassadSträng6Etikett | snöre | Alla anpassade fält har ett motsvarande etikettfält. Var och en av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceDnsDomain | snöre | DNS-domändelen av det fullständigt kvalificerade domännamnet (FQDN). |
| Enhetshändelsekategori | snöre | Representerar kategorin som tilldelats av den ursprungliga enheten. Enheter använder ofta sitt eget kategoriseringssystem för att klassificera händelser. Exempel: "/Monitor/Disk/Read". |
| DeviceEventClassID | snöre | Sträng eller heltal som fungerar som en unik identifierare per händelsetyp. |
| DeviceExternalID | snöre | Ett namn som unikt identifierar enheten som genererar händelsen. |
| DeviceFacility | snöre | Anläggningen som genererar händelsen. Till exempel: auth eller local1. |
| DeviceInboundInterface | snöre | Gränssnittet där paketet eller data kom in i enheten. Till exempel: ethernet1/2. |
| Enhetens Mac-adress | snöre | MAC-adressen för enheten som genererar händelsen. |
| Enhetsnamn | snöre | Den fullständiga domännamnet (FQDN) associerat med enhetsnoden, när en nod är tillgänglig. Till exempel: host.domain.com eller värd. |
| DeviceNtDomain | snöre | Enhetens Windows-domänadress. |
| Enhetsutgångsgränssnitt | snöre | Gränssnitt där paketet eller datan lämnade enheten. |
| DevicePayloadId | snöre | Unik identifierare för nyttolasten som är associerad med händelsen. |
| Enhetsprodukt | snöre | Sträng som, tillsammans med enhetens produkt- och versiondefinitioner, unikt identifierar typen av sändningsenhet. |
| Enhetstidszon | snöre | Tidszonen för enheten som genererar händelsen. |
| EnhetensÖversattaAdress | snöre | Identifierar den översatta enhetsadressen som händelsen hänvisar till, i ett IP-nätverk. Formatet är en Ipv4-adress. |
| DeviceVendor | snöre | Sträng som, tillsammans med enhetens produkt- och versiondefinitioner, unikt identifierar typen av sändningsenhet. |
| Enhetsversion | snöre | Sträng som, tillsammans med enhetens produkt- och versiondefinitioner, unikt identifierar typen av sändningsenhet. |
| Sluttid | datum och tid | Tidpunkten då aktiviteten relaterad till händelsen avslutades. |
| Antal evenemang | Int | En räknare som är kopplad till händelsen, som visar hur många gånger samma händelse observerades. |
| Resultat av händelse | snöre | Visar resultatet, vanligtvis som "framgång" eller "misslyckande". |
| Händelsetyp | Int | Händelsetyp Värden inkluderar: 0: bashändelse, 1: aggregerad, 2: korrelationshändelse, 3: åtgärdshändelse. Observera: Denna händelse kan utelämnas för bas-händelser. |
| ExternalID | Int | Snart ett inaktuellt fält. Ersätts av ExtID. |
| ExtID | snöre | Ett ID som används av den ursprungliga enheten (ersätter äldre ExternalID). Vanligtvis har dessa värden ökande värden som var och en är associerade med en händelse. |
| FieldEnhetsAnpassatNummer1 | lång | Ett av tre nummerfält som finns tillgängliga för att mappa fält som inte passar någon annan kategori i den här ordlistan (kommer att ersätta det äldre DeviceCustomNumber1). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| FältEnhetAnpassatNummer2 | lång | Ett av tre nummerfält tillgängliga för att koppla fält som inte tillhör något annat i denna ordlista (ersätter den äldre DeviceCustomNumber2). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| FieldDeviceCustomNumber3 | lång | Ett av tre nummerfält som är tillgängliga för att kartlägga fält som inte tillhör någon annan i denna ordlista (kommer att ersätta det äldre DeviceCustomNumber3). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| Filskapningstid | snöre | Tidpunkt när filen skapades. |
| FileHash | snöre | Hashvärde av en fil. |
| FileID | snöre | Ett ID som är associerat med en fil, till exempel innoden. |
| Filändringstid | snöre | Tidpunkten då filen senast ändrades. |
| filnamn | snöre | Filens namn, utan sökvägen. |
| FilePath | snöre | Den fullständiga sökvägen till filen, inklusive filnamnet. Till exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip. |
| Filbehörighet | snöre | Filens behörigheter. Till exempel: '2,1,1'. |
| Filstorlek | Int | Storleken på filen i byte. |
| Filtyp | snöre | Filtyp, som rör, sockel, och så vidare. |
| FlexDate1 | snöre | Ett tidsstämpelfält tillgängligt för att mappa en tidsstämpel som inte gäller för något annat definierat tidsstämpelfält i denna ordbok. Använd flexfält sparsmakat och försök att hitta ett mer specifikt, ordlista-levererat fält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte ställas in av leverantörer om det inte är nödvändigt. |
| FlexDatum1Etikett | snöre | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
| FlexNumber1 | Int | Talfält som är tillgängliga för att mappa Int-data som inte gäller för något annat fält i den här ordlistan. |
| FlexNummer1Etikett | snöre | Etiketten som beskriver värdet i FlexNumber1 |
| FlexNumber2 | Int | Talfält som är tillgängliga för att mappa Int-data som inte gäller för något annat fält i den här ordlistan. |
| FlexNummer2Etikett | snöre | Etiketten som beskriver värdet i FlexNumber2 |
| FlexString1 | snöre | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte ställas in av leverantörer om det inte är nödvändigt. |
| FlexString1Label | snöre | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
| FlexString2 | snöre | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte ställas in av leverantörer om det inte är nödvändigt. |
| FlexString2Label | snöre | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
| Indikatortyp för hot | snöre | Hottypen för MaliciousIP enligt vårt TI-flöde. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingestion på ditt Azure-konto. |
| LogSeverity | snöre | En sträng eller ett heltal som beskriver betydelsen av händelsen. Giltiga strängvärden: Okänd, Låg, Medium, Hög, Mycket Hög. Giltiga heltalsvärden är: 0-3 = Låg, 4-6 = Medium, 7-8 = Hög, 9-10 = Mycket Hög. |
| SkadligIP | snöre | Om en av IP-adresserna i meddelandet korrelerade med det aktuella TI-flödet vi har, kommer det att visas här. |
| LandMedSkadligIP | snöre | Landet för MaliciousIP enligt GEO-informationen när registreringen gjordes. |
| SkadligIPLatitud | verklig | Latituden för den skadliga IP-adressen enligt GEO-informationen vid tidpunkten för registreringens upptagning. |
| SkadligIPLängdgrad | verklig | Longituden för MaliciousIP enligt GEO-informationen vid tidpunkten för datainsamlingen. |
| Meddelande | snöre | Ett meddelande som ger fler detaljer om händelsen. |
| ÄldreFilSkapelseTid | snöre | Tidpunkt då den gamla filen skapades. |
| OldFileHash | snöre | Hashvärde av den gamla filen. |
| OldFileID | snöre | Och ID som är associerat med den gamla filen, till exempel innoden. |
| TidpunktFörÄndringAvGammalFil | snöre | Tidpunkt då den gamla filen senast ändrades. |
| GammaltFilnamn | snöre | Namn på den gamla filen. |
| OldFilePath | snöre | Fullständig sökväg till den gamla filen, inklusive filnamnet. Till exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip. |
| OldFilePermission | snöre | Behörigheter för den gamla filen. Till exempel: '2,1,1'. |
| OldFileSize | Int | Storleken på den gamla filen i byte. |
| OldFileType | snöre | Filtypen för den gamla filen, såsom en rörledning, socket, och så vidare. |
| OriginalLogSeverity | snöre | En icke-kartlagd version av LogSeverity. Till exempel: Varning/Kritisk/Info istället för den normaliserade Låg/Medium/Hög i fältet LogSeverity |
| ProcessID | Int | Definierar ID för processen på enheten som genererar händelsen. |
| ProcessName | snöre | Processnamn som är associerat med händelsen. Till exempel: i UNIX, processen som genererar syslog-poster. |
| Protokoll | snöre | Transportprotokoll som identifierar det lager-4-protokoll som används. Möjliga värden inkluderar protokollnamn, såsom TCP eller UDP. |
| Förnuft | snöre | Anledningen till att en granskningshändelse genererades. Till exempel 'dåligt lösenord' eller 'okänd användare'. Detta kan också vara en fel- eller återkallningskod. Exempel: "0x1234". |
| Mottagningstid | snöre | Tidpunkten när händelsen relaterad till aktiviteten mottogs. Annorlunda än fältet 'Timegenerated', vilket är när händelsen togs emot i logguppsamlingsmaskinen. |
| ReceivedBytes | lång | Antal byte överförda inåt. |
| Fjärr-IP | snöre | Fjärr-IP-adressen, som härleds från händelsens riktningsvärde, om möjligt. |
| RemotePort | snöre | Om möjligt, fjärrporten härleds från händelsens riktningsvärde. |
| Rapportreferenslänk | snöre | Länka till rapporten för TI-feeden. |
| RequestClientApplication | snöre | Den användaragent som är kopplad till begäran. |
| BegäranKontext | snöre | Beskriver innehållet från vilket begäran härstammade, såsom HTTP-referrer. |
| RequestCookies | snöre | Cookies som är kopplade till förfrågan. |
| BegärMetod | snöre | Metoden som används för att komma åt en URL. Giltiga värden inkluderar metoder som POST, GET, och så vidare. |
| RequestURL | snöre | URL:en som nås för en HTTP-förfrågan, inklusive protokollet. Till exempel: http://www/secure.com. |
| _Resurs-id | snöre | En unik identifierare för den resurs som posten är associerad med |
| SentBytes | lång | Antal byte överförda utgående. |
| FörenkladEnhetsÅtgärd | snöre | En kartlagd version av DeviceAction, såsom Nekad > Neka. |
| KällaDnsDomän | snöre | DNS-domändelen av hela FQDN. |
| SourceHostName | snöre | Identifierar källan som händelsen hänvisar till i ett IP-nätverk. Formatet bör vara ett fullständigt kvalificerat domännamn (DQDN) associerat med källnoden, när en nod är tillgänglig. Till exempel: host eller host.domain.com. |
| Källa-IP | snöre | Källan som en händelse refererar till i ett IP-nätverk, som en IPv4-adress. |
| Källa-MAC-adress | snöre | Käll-MAC-adress. |
| SourceNTDomain | snöre | Windows-domännamnet för källadressen. |
| SourcePort | Int | Källportnumret. Giltiga portnummer är 0 - 65535. |
| SourceProcessId | Int | Källprocessens ID som är kopplat till händelsen. |
| SourceProcessName | snöre | Namnet på händelsens källprocess. |
| SourceServiceName | snöre | Tjänsten som är ansvarig för att generera händelsen. |
| SourceSystem | snöre | Typen av agent som händelsen samlades in av. Till exempel, OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics |
| KällöversattAdress | snöre | Identifierar den översatta källan som händelsen refererar till i ett IP-nätverk. |
| SourceTranslatedPort | Int | Källport efter översättning, såsom en brandvägg. Giltiga portnummer är 0 - 65535. |
| SourceUserID | snöre | Identifierar användaren från källan med ID. |
| SourceUserName | snöre | Identifierar källanvändaren efter namn. E-postadresser kartläggs också till användarnamnfälten. Avsändaren är en kandidat att sätta in i detta fält. |
| Källanvändarbehörigheter | snöre | Källanvändarens privilegier. Giltiga värden inkluderar: Administratör, Användare, Gäst. |
| Starttid | datum och tid | Tidpunkten då aktiviteten som händelsen hänvisar till började. |
| _Prenumerations-ID | snöre | En unik identifierare för den prenumeration som posten är associerad med |
| Hyresgäst-ID | snöre | ID för Log Analytics-arbetsyte |
| ThreatConfidence | snöre | Bedömningssäkerheten för MaliciousIP enligt vårt TI-flöde. |
| Hotbeskrivning | snöre | Beskrivningen av hotet från MaliciousIP enligt vår TI-feed. |
| Hotets allvarlighetsgrad | Int | Hotets allvarlighetsgrad för MaliciousIP enligt vårt TI-flöde vid tidpunkten för dess registeringstillfälle. |
| Tidpunkt för generering | datum och tid | Tid för händelseinsamling i UTC. |
| Typ | snöre | Tabellens namn |