CommonSecurityLog
Den här tabellen används för att samla in händelser i Common Event Format, som oftast skickas från olika säkerhetsenheter som Check Point, Palo Alto med mera.
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Kategorier | Säkerhet |
Lösningar | Säkerhet, SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | Ja |
Kolumner
Kolumn | Typ | Description |
---|---|---|
Aktivitet | sträng | En sträng som representerar en läsbar och begriplig beskrivning av händelsen. |
Ytterligareextensions | sträng | En platshållare för ytterligare fält. Fält loggas som nyckel/värde-par. |
ApplicationProtocol | sträng | Protokollet som används i programmet, till exempel HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS och så vidare. |
_BilledSize | real | Poststorleken i byte |
CollectorHostName | sträng | Värdnamnet för den insamlardator som kör agenten. |
CommunicationDirection | sträng | All information om vilken riktning den observerade kommunikationen har tagit. Giltiga värden: 0 = Inkommande, 1 = Utgående. |
Dator | sträng | Värd, från Syslog. |
DestinationDnsDomain | sträng | DNS-delen av det fullständigt kvalificerade domännamnet (FQDN). |
DestinationHostName | sträng | Målet som händelsen refererar till i ett IP-nätverk. Formatet ska vara ett FQDN som är associerat med målnoden när en nod är tillgänglig. Till exempel: host.domain.com eller värd. |
DestinationIP | sträng | IpV4-måladressen som händelsen refererar till i ett IP-nätverk. |
DestinationMACAddress | sträng | Målets MAC-adress (FQDN). |
DestinationNTDomain | sträng | Windows-domännamnet för måladressen. |
DestinationPort | int | Målport. Giltiga värden: 0 – 65535. |
DestinationProcessId | int | ID:t för målprocessen som är associerad med händelsen. |
DestinationProcessName | sträng | Namnet på händelsens målprocess, till exempel telnetd eller sshd. |
DestinationServiceName | sträng | Den tjänst som händelsen riktar sig mot. Exempel: sshd. |
DestinationTranslatedAddress | sträng | Identifierar det översatta mål som händelsen refererar till i ett IP-nätverk som en IP-adress för IPv4. |
DestinationTranslatedPort | int | Port efter översättning, till exempel en brandvägg Giltiga portnummer: 0 – 65535. |
DestinationUserID | sträng | Identifierar målanvändaren efter ID. Till exempel: i Unix är rotanvändaren vanligtvis associerad med användar-ID 0. |
DestinationUserName | sträng | Identifierar målanvändaren efter namn. |
DestinationUserPrivileges | sträng | Definierar målanvändningens behörigheter. Giltiga värden: Admninistrator, Användare, Gäst. |
DeviceAction | sträng | Åtgärden som nämns i händelsen. |
DeviceAddress | sträng | IPv4-adressen för enheten som genererar händelsen. |
DeviceCustomDate1 | sträng | Ett av två tidsstämpelfält som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
DeviceCustomDate1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomDate2 | sträng | Ett av två tidsstämpelfält som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
DeviceCustomDate2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomFloatingPoint1 | real | Ett av fyra flyttalsfält som är tillgängliga för mappning av fält som inte gäller för andra fält i den här ordlistan. |
DeviceCustomFloatingPoint1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomFloatingPoint2 | real | Ett av fyra flyttalsfält som är tillgängliga för mappning av fält som inte gäller för andra fält i den här ordlistan. |
DeviceCustomFloatingPoint2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomFloatingPoint3 | real | Ett av fyra flyttalsfält som är tillgängliga för mappning av fält som inte gäller för andra fält i den här ordlistan. |
DeviceCustomFloatingPoint3Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomFloatingPoint4 | real | Ett av fyra flyttalsfält som är tillgängliga för mappning av fält som inte gäller för andra fält i den här ordlistan. |
DeviceCustomFloatingPoint4Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomIPv6Address1 | sträng | Ett av fyra IPv6-adressfält som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. |
DeviceCustomIPv6Address1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomIPv6Address2 | sträng | Ett av fyra IPv6-adressfält som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. |
DeviceCustomIPv6Address2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomIPv6Address3 | sträng | Ett av fyra IPv6-adressfält som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. |
DeviceCustomIPv6Address3Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomIPv6Address4 | sträng | Ett av fyra IPv6-adressfält som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. |
DeviceCustomIPv6Address4Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomNumber1 | int | Snart ett inaktuellt fält. Ersätts av FieldDeviceCustomNumber1. |
DeviceCustomNumber1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomNumber2 | int | Snart ett inaktuellt fält. Ersätts av FieldDeviceCustomNumber2. |
DeviceCustomNumber2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomNumber3 | int | Snart ett inaktuellt fält. Ersätts av FieldDeviceCustomNumber3. |
DeviceCustomNumber3Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomString1 | sträng | En av sex strängar som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
DeviceCustomString1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomString2 | sträng | En av sex strängar som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
DeviceCustomString2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomString3 | sträng | En av sex strängar som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
DeviceCustomString3Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomString4 | sträng | En av sex strängar som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
DeviceCustomString4Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomString5 | sträng | En av sex strängar som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
DeviceCustomString5Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceCustomString6 | sträng | En av sex strängar som är tillgängliga för mappning av fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
DeviceCustomString6Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
DeviceDnsDomain | sträng | DNS-domändelen av det fullständiga kvalificerade domännamnet (FQDN). |
DeviceEventCategory | sträng | Representerar kategorin som tilldelats av den ursprungliga enheten. Enheter använder ofta sitt eget kategoriseringsschema för att klassificera händelsen. Exempel: "/Monitor/Disk/Read". |
DeviceEventClassID | sträng | Sträng eller heltal som fungerar som en unik identifierare per händelsetyp. |
DeviceExternalID | sträng | Ett namn som unikt identifierar enheten som genererar händelsen. |
DeviceFacility | sträng | Anläggningen som genererar händelsen. Till exempel: auth eller local1. |
DeviceInboundInterface | sträng | Gränssnittet där paketet eller data har angetts för enheten. Exempel: ethernet1/2. |
DeviceMacAddress | sträng | MAC-adressen för enheten som genererar händelsen. |
DeviceName | sträng | Det FQDN som är associerat med enhetsnoden när en nod är tillgänglig. Till exempel: host.domain.com eller värd. |
DeviceNtDomain | sträng | Windows-domänen för enhetsadressen. |
DeviceOutboundInterface | sträng | Gränssnitt där paketet eller data lämnade enheten. |
DevicePayloadId | sträng | Unik identifierare för nyttolasten som är associerad med händelsen. |
DeviceProduct | sträng | Sträng som tillsammans med enhetsprodukt- och versionsdefinitioner unikt identifierar typen av avsändarenhet. |
DeviceTimeZone | sträng | Tidszonen för enheten som genererar händelsen. |
DeviceTranslatedAddress | sträng | Identifierar den översatta enhetsadressen som händelsen refererar till i ett IP-nätverk. Formatet är en Ipv4-adress. |
DeviceVendor | sträng | Sträng som tillsammans med enhetsprodukt- och versionsdefinitioner unikt identifierar typen av avsändarenhet. |
DeviceVersion | sträng | Sträng som tillsammans med enhetsprodukt- och versionsdefinitioner unikt identifierar typen av skickande enhet. |
EndTime | datetime | Den tidpunkt då aktiviteten som var relaterad till händelsen avslutades. |
EventCount | int | Ett antal som är associerade med händelsen, som visar hur många gånger samma händelse observerades. |
EventOutcome | sträng | Visar resultatet, vanligtvis som "lyckat" eller "fel". |
Eventtype | int | Händelsetyp. Värdevärden är: 0: bashändelse, 1: aggregerad, 2: korrelationshändelse, 3: åtgärdshändelse. Obs! Den här händelsen kan utelämnas för bashändelser. |
ExternalID | int | Snart ett inaktuellt fält. Ersätts med ExtID. |
ExtID | sträng | Ett ID som används av den ursprungliga enheten (ersätter äldre ExternalID). Dessa värden har vanligtvis ökande värden som var och en är associerade med en händelse. |
FieldDeviceCustomNumber1 | long | Ett av tre nummerfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan (ersätter äldre DeviceCustomNumber1). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
FieldDeviceCustomNumber2 | long | Ett av tre nummerfält som är tillgängliga för mappning av fält som inte gäller för någon annan i den här ordlistan (ersätter äldre DeviceCustomNumber2). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
FieldDeviceCustomNumber3 | long | Ett av tre nummerfält som är tillgängliga för mappning av fält som inte gäller för någon annan i den här ordlistan (ersätter äldre DeviceCustomNumber3). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
FileCreateTime | sträng | Tidpunkt då filen skapades. |
FileHash | sträng | Hash för en fil. |
Fileid | sträng | Ett ID som är associerat med en fil, till exempel innoden. |
FileModificationTime | sträng | Tidpunkt då filen senast ändrades. |
Filnamn | sträng | Filens namn, utan sökvägen. |
Filepath | sträng | Fullständig sökväg till filen, inklusive filnamnet. Exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip. |
FilePermission | sträng | Filens behörigheter. Exempel: "2,1,1". |
Filstorlek | int | Filens storlek i bitar. |
Filtyp | sträng | Filtyp, till exempel pipe, socket och så vidare. |
FlexDate1 | sträng | Ett tidsstämpelfält som är tillgängligt för att mappa en tidsstämpel som inte gäller för något annat definierat tidsstämpelfält i den här ordlistan. Använd alla flexfält sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte anges av leverantörer om det inte behövs. |
FlexDate1Label | sträng | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
FlexNumber1 | int | Antal fält som är tillgängliga för mappning av Int-data som inte gäller för något annat fält i den här ordlistan. |
FlexNumber1Label | sträng | Etiketten som beskriver värdet i FlexNumber1 |
FlexNumber2 | int | Antal fält som är tillgängliga för mappning av Int-data som inte gäller för något annat fält i den här ordlistan. |
FlexNumber2Label | sträng | Etiketten som beskriver värdet i FlexNumber2 |
FlexString1 | sträng | Ett av fyra flyttalfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte anges av leverantörer om det inte behövs. |
FlexString1Label | sträng | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
FlexString2 | sträng | Ett av fyra flyttalfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte anges av leverantörer om det inte behövs. |
FlexString2Label | sträng | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
IndicatorThreatType | sträng | Hottypen för MaliciousIP enligt vår TI-feed. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
LogSeverity | sträng | En sträng eller ett heltal som beskriver händelsens betydelse. Giltiga strängvärden: Okänt, Lågt, Medel, Hög, Very-High Giltiga heltalsvärden är: 0-3 = Låg, 4-6 = Medel, 7-8 = Hög, 9-10 = Mycket hög. |
MaliciousIP | sträng | Om en av IP-adresserna i meddelandet korrelerar med den aktuella TI-feeden visas den här. |
MaliciousIPCountry | sträng | Landet för MaliciousIP enligt GEO-informationen vid tidpunkten för postinmatningen. |
MaliciousIPLatitude | real | Latituden för MaliciousIP enligt GEO-informationen vid tidpunkten för postinmatningen. |
MaliciousIPLongitude | real | Longitud för MaliciousIP enligt GEO-informationen vid tidpunkten för postinmatningen. |
Meddelande | sträng | Ett meddelande som ger mer information om händelsen. |
OldFileCreateTime | sträng | Tidpunkt då den gamla filen skapades. |
OldFileHash | sträng | Hash för den gamla filen. |
OldFileID | sträng | Och ID som är associerat med den gamla filen, till exempel inode. |
OldFileModificationTime | sträng | Tidpunkt då den gamla filen senast ändrades. |
OldFileName | sträng | Namnet på den gamla filen. |
OldFilePath | sträng | Fullständig sökväg till den gamla filen, inklusive filnamnet. Exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip. |
OldFilePermission | sträng | Behörigheter för den gamla filen. Exempel: "2,1,1". |
OldFileSize | int | Storleken på den gamla filen i byte. |
OldFileType | sträng | Filtyp för den gamla filen, till exempel en pipe, socket och så vidare. |
OriginalLogSeverity | sträng | En icke-mappad version av LogSeverity. Exempel: Varning/kritisk/information i stället för den normiliserade låg/medel/hög i fältet LogSeverity |
ProcessID | int | Definierar ID för processen på enheten som genererar händelsen. |
ProcessName | sträng | Processnamn som är associerat med händelsen. Till exempel: i UNIX genererar processen syslog-posten. |
Protokoll | sträng | Transportprotokoll som identifierar det Layer-4-protokoll som används. Möjliga värden är protokollnamn, till exempel TCP eller UDP. |
Anledning | sträng | Anledningen till att en granskningshändelse genererades. Till exempel "felaktigt lösenord" eller "okänd användare". Det kan också vara ett fel eller en returkod. Exempel: "0x1234". |
ReceiptTime | sträng | Den tidpunkt då händelsen som var relaterad till aktiviteten togs emot. Annorlunda än fältet "Timegenererad", vilket är när händelsen togs emot i logginsamlardatorn. |
ReceivedBytes | long | Antal byte som överförts inkommande. |
RemoteIP | sträng | Fjärr-IP-adressen, som härleds från händelsens riktningsvärde, om möjligt. |
RemotePort | sträng | Fjärrporten, som härleds från händelsens riktningsvärde, om möjligt. |
ReportReferenceLink | sträng | Länk till rapporten för TI-feeden. |
RequestClientApplication | sträng | Användaragenten som är associerad med begäran. |
RequestContext | sträng | Beskriver innehållet som begäran kommer från, till exempel HTTP-referensen. |
RequestCookies | sträng | Cookies som är associerade med begäran. |
RequestMethod | sträng | Den metod som används för att komma åt en URL. Giltiga värden omfattar metoder som POST, GET och så vidare. |
RequestURL | sträng | Url:en som används för en HTTP-begäran, inklusive protokollet. Exempelvis: http://www/secure.com. |
_ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
SentBytes | long | Antal byte som överförts utgående. |
SimplifiedDeviceAction | sträng | En mappad version av DeviceAction, till exempel Nekad neka.> |
SourceDnsDomain | sträng | DNS-domändelen av det fullständiga fullständiga fullständiga domännamnet. |
SourceHostName | sträng | Identifierar källan som händelsen refererar till i ett IP-nätverk. Formatet ska vara ett fullständigt kvalificerat domännamn (DQDN) som är associerat med källnoden när en nod är tillgänglig. Exempel: värd eller host.domain.com. |
SourceIP | sträng | Källan som en händelse refererar till i ett IP-nätverk, som en IPv4-adress. |
KällaMACAdress | sträng | Mac-källadress. |
SourceNTDomain | sträng | Windows-domännamnet för källadressen. |
SourcePort | int | Källportnumret. Giltiga portnummer är 0–65535. |
SourceProcessId | int | ID för källprocessen som är associerad med händelsen. |
SourceProcessName | sträng | Namnet på händelsens källprocess. |
SourceServiceName | sträng | Tjänsten som ansvarar för att generera händelsen. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
SourceTranslatedAddress | sträng | Identifierar den översatta källa som händelsen refererar till i ett IP-nätverk. |
SourceTranslatedPort | int | Källport efter översättning, till exempel en brandvägg. Giltiga portnummer är 0–65535. |
SourceUserID | sträng | Identifierar källanvändaren efter ID. |
SourceUserName | sträng | Identifierar källanvändaren efter namn. Email adresser mappas också till fälten Användarnamn. Avsändaren är en kandidat att placera i det här fältet. |
SourceUserPrivileges | sträng | Källanvändarens behörigheter. Giltiga värden är: Administratör, Användare, Gäst. |
StartTime | datetime | Den tid då aktiviteten som händelsen refererar till startade. |
_SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
TenantId | sträng | Log Analytics-arbetsytans ID |
ThreatConfidence | sträng | SkadligIP:ens hotförtroende enligt vårt TI-flöde. |
ThreatDescription | sträng | Hotbeskrivningen för MaliciousIP enligt vår TI-feed. |
ThreatSeverity | int | Allvarlighetsgraden för SkadligIP enligt vårt TI-flöde vid tidpunkten för postinmatningen. |
TimeGenerated | datetime | Tid för insamling av händelser i UTC. |
Typ | sträng | Namnet på tabellen |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för