Aracılığıyla paylaş


ASimAuthenticationEventLogs

Microsoft Sentinel normalleştirilmiş kimlik doğrulama olayları tablosu. Kullanıcı kimlik doğrulaması, oturum açma ve oturumu kapatma gibi ilişkili olayları depolar.

Tablo öznitelikleri

Öznitelik Değer
Kaynak türleri microsoft.securityinsights/authenticationevent
Kategoriler Güvenlik
Çözümler SecurityInsights
Temel günlük Hayır
Alma zamanı dönüşümü Yes
Örnek Sorgular -

Sütunlar

Sütun Türü Açıklama
ActingAppId Dize İşlem, tarayıcı veya hizmet dahil olmak üzere aktör adına yetkilendirilen uygulamanın kimliği.
ActingAppName Dize İşlem, tarayıcı veya hizmet dahil olmak üzere aktör adına yetkilendirilen uygulamanın adı.
ActingAppType Dize Eylem uygulama türü.
ActingOriginalAppType Dize Raporlama cihazı tarafından bildirilen eylem uygulama türü.
ActorOriginalUserType Dize Raporlama cihazı tarafından bildirilen kullanıcı türü.
ActorScope Dize ActorUserId ve ActorUsername'in tanımlandığı Azure AD kiracısı gibi kapsam.
ActorScopeId Dize ActorUserId ve ActorUsername'in tanımlandığı Azure AD kiracı kimliği gibi kapsam kimliği.
ActorSessionId Dize Aktör'ün oturum açma oturumunun benzersiz kimliği.
ActorUserId Dize Makine tarafından okunabilir, alfasayısal, aktörün benzersiz gösterimi.
ActorUserIdType Dize ActorUserId alanında depolanan kimliğin türü.
ActorUsername Dize Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktörün kullanıcı adı.
ActorUsernameType Dize ActorUsername alanında depolanan kullanıcı adının türünü belirtir.
ActorUserType Dize Aktör türü.
EkAlanlar dynamic Kaynak tarafından sağlanan ve ASim ile eşlenmemiş anahtar/değer çiftleri kullanılarak temsil edilen ek bilgiler.
_BilledSize real Bayt cinsinden kayıt boyutu
DvcAction Dize Raporlama güvenlik sistemleri için, sistem tarafından gerçekleştirilen eylem.
DvcDescription Dize Cihazla ilişkilendirilmiş açıklayıcı bir metin.
DvcDomain Dize Olayı bildiren cihazın etki alanı.
DvcDomainType Dize DvcDomain türü.
DvcFQDN Dize Olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı.
DvcHostname Dize Olayı bildiren cihazın ana bilgisayar adı.
DvcId Dize Olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz kimliği.
DvcIdType Dize DvcId türü.
DvcInterface Dize Verilerin yakalandığı ağ arabirimi.
DvcIpAddr Dize Olayı bildiren cihazın IP Adresi.
DvcMacAddr Dize Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi.
DvcOriginalAction Dize Raporlama cihazı tarafından sağlanan özgün DvcAction.
DvcOs Dize Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi.
DvcOsVersion Dize Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü.
DvcScope Dize Cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
DvcScopeId Dize Cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
DvcZone Dize Olayın gerçekleştiği veya olayı bildirdiği ağ.
EventCount int Kayıt tarafından açıklanan olay sayısı.
EventEndTime datetime Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer ad ekler.
EventMessage Dize Genel bir ileti veya açıklama.
EventOriginalResultDetails Dize Kaynak tarafından sağlanan özgün sonuç ayrıntıları.
EventOriginalSeverity Dize Raporlama cihazı tarafından sağlanan özgün önem derecesi.
EventOriginalSubType Dize Kaynak tarafından sağlanmışsa özgün olay alt türü veya kimliği.
EventOriginalType Dize Kaynak tarafından sağlanmışsa özgün olay türü veya kimliği.
EventOriginalUid Dize Kaynak tarafından sağlanıyorsa özgün kaydın benzersiz kimliği.
EventOwner Dize Genellikle oluşturulduğu bölüm veya yan kuruluş olan olayın sahibi.
EventProduct Dize Olayı oluşturan ürün.
EventProductVersion Dize Olayı oluşturan ürünün sürümü.
EventReportUrl Dize Olay hakkında daha fazla bilgi sağlayan bir kaynak için olayda sağlanan URL.
EventResult Dize Aşağıdaki değerlerden biriyle gösterilen olayın sonucu: Başarı, Kısmi, Hata, NA (Geçerli Değil). Değer doğrudan kaynaklar tarafından sağlanmayabilir; bu durumda, eventResultDetails alanı gibi diğer olay alanlarından türetilir.
EventResultDetails Dize Olay sonucuyla ilişkili ayrıntılar. Bu alan genellikle sonuç bir hata olduğunda doldurulur.
EventSchemaVersion Dize Şema sürümü.
EventSeverity Dize Olayın önem derecesi. Geçerli değerler şunlardır: Bilgili, Düşük, Orta veya Yüksek.
EventStartTime datetime Olayın başlatıldığı saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer ad ekler.
EventSubType Dize Sistem, Etkileşimli, RemoteInteractive, Hizmet, RemoteService, Remote veya AssumeRole gibi oturum açma türü.
EventType Dize Kayıt tarafından bildirilen işlemi açıklar
EventVendor Dize Olayı oluşturan ürünün satıcısı.
HttpUserAgent Dize Kimlik doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri, kimlik doğrulamasını gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir.
_IsBillable Dize Verilerin alınıp alınmayacağını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmadığında
LogonMethod Dize Kimlik doğrulaması gerçekleştirmek için kullanılan yöntem.
LogonProtocol Dize Kimlik doğrulaması gerçekleştirmek için kullanılan protokol.
_ResourceId Dize Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı
RuleName Dize İnceleme sonuçlarıyla ilişkili kuralın adı veya kimliği.
KuralSayısı int denetim sonuçlarıyla ilişkili kuralın sayısı.
SourceSystem Dize Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama
SrcDescription Dize Kaynak cihazla ilişkilendirilmiş açıklayıcı bir metin.
SrcDeviceType Dize Kaynak cihazın türü.
SrcDomain Dize Kaynak cihazın etki alanı.
SrcDomainType Dize SrcDomain türü.
SrcDvcId Dize Kaynak cihazın kimliği.
SrcDvcIdType Dize SrcDvcId türü.
SrcDvcOs Dize Kaynak cihazın işletim sistemi.
SrcDvcScope Dize Kaynak cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcDvcScopeId Dize Kaynak cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
SrcFQDN Dize Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı.
SrcGeoCity Dize Kaynak IP adresiyle ilişkili şehir.
SrcGeoCountry Dize Kaynak IP adresiyle ilişkili ülke.
SrcGeoLatitude real Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi.
SrcGeoLongitude real Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı.
SrcGeoRegion Dize Kaynak IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge.
SrcHostname Dize Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı.
SrcIpAddr Dize Kaynak cihazın IP adresi.
SrcIsp Dize Kaynak cihaz tarafından İnternet'e bağlanmak için kullanılan İnternet Hizmet Sağlayıcısı (ISS).
SrcOriginalRiskLevel Dize Raporlama cihazı tarafından bildirilen tanımlanan Kaynakla ilişkili risk düzeyi.
SrcPortNumber int Bağlantının kaynaklandığı IP bağlantı noktası.
SrcRiskLevel int Tanımlanan Kaynakla ilişkili risk düzeyi.
_SubscriptionId Dize Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı
TargetAppId Dize Yetkilendirmenin gerekli olduğu uygulamanın kimliği, genellikle raporlama cihazı tarafından atanır.
TargetAppName Dize Hizmet, URL veya SaaS uygulaması dahil olmak üzere yetkilendirmenin gerekli olduğu uygulamanın adı.
TargetAppType Dize Aktör adına yetkilendirilen uygulamanın türü.
TargetDescription Dize Hedef cihazla ilişkilendirilmiş açıklayıcı bir metin.
TargetDeviceType Dize Hedef cihazın türü.
TargetDomain Dize Hedef cihazın etki alanı.
TargetDomainType Dize TargetDomain türü.
TargetDvcId Dize Hedef cihazın kimliği.
TargetDvcIdType Dize TargetDvcId türü.
TargetDvcOs Dize Hedef cihazın işletim sistemi.
TargetDvcScope Dize Hedef cihazın ait olduğu bulut platformu kapsamı. TargetDvcScope, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
TargetDvcScopeId Dize Hedef cihazın ait olduğu bulut platformu kapsam kimliği. TargetDvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler.
TargetFQDN Dize Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı.
TargetGeoCity Dize Hedef IP adresiyle ilişkili şehir.
TargetGeoCountry Dize Hedef IP adresiyle ilişkili ülke.
TargetGeoLatitude real Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi.
TargetGeoLongitude real Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı.
TargetGeoRegion Dize Hedef IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge.
TargetHostname Dize Etki alanı bilgileri hariç hedef cihaz ana bilgisayar adı.
TargetIpAddr Dize Hedef cihazın IP adresi.
TargetOriginalAppType Dize Raporlama cihazı tarafından bildirilen hedef uygulama türü.
TargetOriginalRiskLevel Dize Raporlama cihazı tarafından bildirilen hedefle ilişkili risk düzeyi.
TargetOriginalUserType Dize Raporlama cihazı tarafından bildirilen kullanıcı türü.
TargetPortNumber int Hedef cihazın bağlantı noktası.
TargetRiskLevel int Hedefle ilişkili risk düzeyi.
TargetSessionId Dize Hedef aktörün oturum açma oturumunun benzersiz kimliği.
TargetUrl Dize Hedef uygulamayla ilişkilendirilmiş bir URL.
TargetUserId Dize Makine tarafından okunabilir, alfasayısal, aktörün benzersiz gösterimi.
TargetUserIdType Dize TargetUserId alanında depolanan kimliğin türü.
TargetUsername Dize Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Hedef aktörün kullanıcı adı.
TargetUsernameType Dize TargetUsername alanında belirtilen Hedef aktörün kullanıcı adının türü
TargetUserScope Dize TargetUserId ve TargetUsername'in tanımlandığı Azure AD kiracısı gibi kapsam.
TargetUserScopeId Dize TargetUserId ve TargetUsername'in tanımlandığı Azure AD kiracı kimliği gibi kapsam kimliği.
TargetUserType Dize Hedef aktörün türü.
TenantId Dize Log Analytics çalışma alanı kimliği
ThreatCategory Dize Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi.
ThreatConfidence int Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilir.
ThreatField Dize Bir tehdidin tanımlandığı alan.
ThreatFirstReportedTime datetime IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı.
ThreatId Dize Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği.
ThreatIpAddr Dize Bir tehdidin tanımlandığı IP adresi.
ThreatIsActive ikili Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true.
ThreatLastReportedTime datetime IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman.
ThreatName Dize Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı.
ThreatOriginalConfidence Dize Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi.
ThreatOriginalRiskLevel Dize Raporlama cihazı tarafından bildirilen risk düzeyi.
ThreatRiskLevel int Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır.
TimeGenerated datetime Olayın oluşturulduğu zamanı yansıtan zaman damgası (UTC).
Tür Dize Tablonun adı