ASimAuditEventLogs
Microsoft Sentinel 標準化稽核事件數據表。 儲存與資訊系統稽核線索相關聯的事件,以及稽核記錄系統設定活動和原則變更。 這類變更通常是由系統管理員執行,但也可以在設定自己的應用程式設定時由用戶執行。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | microsoft.securityinsights/auditeventnormalized |
| 類別 | 安全性 |
| 方案 | SecurityInsights |
| 基本記錄檔 | No |
| 擷取時間轉換 | Yes |
| 範例查詢 | - |
資料行
| 資料行 | 類型 | Description |
|---|---|---|
| ActingAppId | 字串 | 起始所報告活動的應用程式識別碼,包括進程、瀏覽器或服務。 |
| ActingAppName | 字串 | 起始活動的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 |
| ActingAppType | 字串 | 執行中的應用程式類型。 |
| ActingOriginalAppType | 字串 | 報告裝置所回報的動作應用程式類型。 |
| ActorOriginalUserType | 字串 | 報告裝置所報告的用戶類型。 |
| ActorScope | 字串 | 定義 ActorUserId 和 ActorUsername 的 Azure AD 租使用者等範圍。 |
| ActorScopeId | 字串 | 定義 ActorUserId 和 ActorUsername 的範圍識別碼,例如 Azure AD 租使用者識別碼。 |
| ActorSessionId | 字串 | 執行者登入工作階段的唯一識別碼。 |
| ActorUserAadId | 字串 | 動作專案的 Azure Active Directory 識別碼。 |
| ActorUserId | 字串 | 機器可讀取、英數位元、動作專案的唯一表示法。 |
| ActorUserIdType | 字串 | 儲存在 [ActorUserId] 欄位中的識別碼類型。 |
| ActorUsername | 字串 | 動作項目的用戶名稱,包括可用時的網域資訊。 |
| ActorUsernameType | 字串 | ActionUsername 欄位中所指定的動作項目使用者名稱類型 |
| ActorUserSid | 字串 | 動作專案的 Windows 用戶識別碼 (SID) 。 |
| ActorUserType | 字串 | 執行者的類型。 |
| AdditionalFields | 動態 | 其他資訊,以未對應至 ASim 的來源所提供的索引鍵/值組表示。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| DvcAction | 字串 | 針對報告安全性系統,系統所採取的動作。 |
| DvcDescription | 字串 | 與裝置相關聯的描述性文字。 |
| DvcDomain | 字串 | 報告事件的裝置網域。 |
| DvcDomainType | 字串 | DvcDomain 的類型。 |
| DvcFQDN | 字串 | 發生事件的裝置主機名,或報告事件的裝置主機名。 |
| DvcHostname | 字串 | 報告事件的裝置主機名。 |
| DvcId | 字串 | 發生事件或報告事件之裝置的唯一標識符。 |
| DvcIdType | 字串 | DvcId 的類型。 |
| DvcInterface | 字串 | 擷取資料的網路介面。 |
| DvcIpAddr | 字串 | 報告事件的裝置IP位址。 |
| DvcMacAddr | 字串 | 發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 |
| DvcOriginalAction | 字串 | 報告裝置所提供原始的 DvcAction。 |
| DvcOs | 字串 | 在發生事件或報告事件裝置的作業系統執行。 |
| DvcOsVersion | 字串 | 在發生事件或報告事件裝置的作業系統版本。 |
| DvcScope | 字串 | 裝置所屬的雲端平台範圍。 DvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| DvcScopeId | 字串 | 裝置所屬的雲端平臺範圍標識碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| DvcZone | 字串 | 發生事件或報告事件的網路。 |
| EventCount | int | 記錄所描述的事件數目。 |
| EventEndTime | datetime | 事件結束的時間 (UTC) 。 如果來源支援彙總,而記錄代表多個事件,則會產生最後一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
| EventMessage | 字串 | 一般訊息或描述。 |
| EventOriginalResultDetails | 字串 | 來源所提供的原始結果詳細資料。 |
| EventOriginalSeverity | 字串 | 報告裝置所提供的原始嚴重性。 |
| EventOriginalSubType | 字串 | 如果由來源提供,則為原始事件子類型或識別碼。 |
| EventOriginalType | 字串 | 如果由來源提供,則為原始事件類型或識別碼。 |
| EventOriginalUid | 字串 | 如果由來源提供,則為原始資料列的唯一識別碼。 |
| EventOwner | 字串 | 事件的擁有者,通常是產生事件的部門或子公司。 |
| EventProduct | 字串 | 產生事件的產品。 |
| EventProductVersion | 字串 | 產生事件的產品版本。 |
| EventReportUrl | 字串 | 事件中所提供的 URL,提供該事件的詳細資訊。 |
| EventResult | 字串 | 事件的結果,以下列其中一個值表示:成功、部分、失敗、NA (不適用) 。 值可能不會由來源直接提供,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。 |
| EventResultDetails | 字串 | EventResult 欄位中所報告的原因或詳細資訊結果。 |
| EventSchemaVersion | 字串 | 結構描述的版本。 |
| EventSeverity | 字串 | 該事件的嚴重性。 有效值為:資訊、低、中或高。 |
| EventStartTime | datetime | 事件開始的時間 (UTC) 。 如果來源支援彙總,而記錄代表多個事件,則會產生第一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
| EventSubType | 字串 | 描述 EventType 欄位中所報告的作業細分。 |
| EventType | 字串 | 描述記錄所報告的作業 |
| EventVendor | 字串 | 產生事件的產品廠商。 |
| HttpUserAgent | 字串 | 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由執行中應用程式提供的 user_agent HTTP 標頭。 |
| _IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
| NewValue | 字串 | 執行作業之後的 Object 新值。 |
| Object | 字串 | 執行 EventType 所識別之作業的物件名稱。 |
| ObjectId | 字串 | 執行 EventType 所識別之作業的物件名稱。 |
| ObjectType | 字串 | Object 的類型。 |
| OldValue | 字串 | 作業之前 Object 的舊值。 |
| 作業 | 字串 | 報告裝置所報告的作業稽核。 |
| OriginalObjectType | 字串 | 報告裝置所報告的物件類型。 |
| _ResourceId | 字串 | 記錄相關資源的唯一識別碼。 |
| RuleName | 字串 | 與檢查結果相關聯的規則名稱或標識碼。 |
| RuleNumber | int | 與檢查結果相關聯的規則數目。 |
| SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| SrcDescription | 字串 | 與來源裝置相關聯的描述性文字。 |
| SrcDeviceType | 字串 | 來源裝置的類型。 |
| SrcDomain | 字串 | 來源裝置的網域。 |
| SrcDomainType | 字串 | SrcDomain 的類型。 |
| SrcDvcId | 字串 | 來源裝置的識別碼。 |
| SrcDvcIdType | 字串 | SrcDvcId 的類型。 |
| SrcDvcScope | 字串 | 來源裝置所屬的雲端平台範圍。 SrcDvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcDvcScopeId | 字串 | 來源裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| SrcFQDN | 字串 | 來源裝置主機名稱,包括網域資訊 (如果可用)。 |
| SrcGeoCity | 字串 | 與來源 IP 位址相關聯的城市。 |
| SrcGeoCountry | 字串 | 與來源 IP 位址相關聯的國家/地區。 |
| SrcGeoLatitude | real | 與來源 IP 位址相關聯的地理座標緯度。 |
| SrcGeoLongitude | real | 與來源 IP 位址相關聯的地理座標經度。 |
| SrcGeoRegion | 字串 | 與來源 IP 位址相關聯的國家/地區內的區域。 |
| SrcHostname | 字串 | 來源裝置主機名稱,不包括網域資訊。 |
| SrcIpAddr | 字串 | 線上或會話的來源IP位址。 |
| SrcOriginalRiskLevel | 字串 | 以報告裝置所報告之已識別來源的風險等級 associaeted。 |
| SrcPortNumber | int | 線上來源 IP 連接埠。 |
| SrcRiskLevel | int | 與識別的來源相關聯的風險層級。 |
| _SubscriptionId | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
| TargetAppId | 字串 | 套用事件的應用程式識別碼,包括進程、瀏覽器或服務。 |
| TargetAppName | 字串 | 要套用事件的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 |
| TargetAppType | 字串 | 代表執行者授權的應用程式類型。 |
| TargetDescription | 字串 | 與目標裝置相關聯的描述性文字。 |
| TargetDeviceType | 字串 | 目標裝置的類型。 |
| TargetDomain | 字串 | 目標裝置的網域。 |
| TargetDomainType | 字串 | TargetDomain 的類型。 |
| TargetDvcId | 字串 | 目標裝置的識別碼。 |
| TargetDvcIdType | 字串 | TargetDvcId 的類型。 |
| TargetDvcOs | 字串 | 目標裝置的 OS。 |
| TargetDvcScope | 字串 | 目標裝置所屬的雲端平台範圍。 TargetDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| TargetDvcScopeId | 字串 | 目標裝置所屬的雲端平臺範圍標識碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| TargetFQDN | 字串 | 目標裝置主機名稱,包括網域資訊 (如果可用)。 |
| TargetGeoCity | 字串 | 與目標IP位址相關聯的城市。 |
| TargetGeoCountry | 字串 | 與目標IP位址相關聯的國家/地區。 |
| TargetGeoLatitude | real | 與目標IP位址相關聯的地理座標緯度。 |
| TargetGeoLongitude | real | 與目標IP位址相關聯的地理座標經度。 |
| TargetGeoRegion | 字串 | 與目標IP位址相關聯的國家/地區。 |
| TargetHostname | 字串 | 目標裝置主機名稱,不包括網域資訊。 |
| TargetIpAddr | 字串 | 聯機或會話的來源目標IP位址。 |
| TargetOriginalAppType | 字串 | 報告裝置所報告的目標應用程式類型。 |
| TargetOriginalRiskLevel | 字串 | 與目標相關聯的風險層級,如報告裝置所報告。 |
| TargetPortNumber | int | 線上來源目標IP埠。 |
| TargetRiskLevel | int | 與目標相關聯的風險層級。 |
| TargetUrl | 字串 | 與目標應用程式相關聯的URL。 |
| TenantId | 字串 | Log Analytics 工作區標識符 |
| ThreatCategory | 字串 | 稽核活動中識別的威脅或惡意代碼類別。 |
| ThreatConfidence | int | 已識別威脅的信賴等級,標準化為 0 到 100 之間的值。 |
| ThreatField | 字串 | 已識別威脅的欄位。 |
| ThreatFirstReportedTime | Datetime | 第一次 IP 位址或網域被識別為威脅的時間。 |
| ThreatId | 字串 | 稽核活動中識別的威脅或惡意代碼標識碼。 |
| ThreatIpAddr | 字串 | 識別威脅的IP位址或網域。 |
| ThreatIsActive | bool | 如果識別的威脅被視為作用中威脅,則為 True。 |
| ThreatLastReportedTime | Datetime | 上次 IP 位址或網域被視為威脅的時間。 |
| ThreatName | 字串 | 稽核活動中所識別的威脅或惡意代碼名稱。 |
| ThreatOriginalConfidence | 字串 | 已識別威脅的原始信賴等級,如報告裝置中所回報。 |
| ThreatOriginalRiskLevel | 字串 | 報告裝置所報告的風險層級。 |
| ThreatRiskLevel | int | 與所識別威脅相關聯的風險層級。 層級應該為 0 與 100 之間的數字。 |
| TimeGenerated | Datetime | 時間戳 (UTC) 反映產生事件的時間。 |
| 類型 | 字串 | 資料表的名稱 |
| ValueType | 字串 | 舊值和新值的型別。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應