下表用於收集 Common Event Format 中的事件,這些事件最常從不同的安全性設備傳送,例如 Check Point、Palo Alto 等等。
數據表屬性
| 屬性 | 價值 |
|---|---|
| 資源類型 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines、 microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines、 microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 類別 | 安全性 |
| 方案 | Security、SecurityInsights |
| 基本記錄 | 是的 |
| 擷取時間轉換 | 是的 |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | 描述 |
|---|---|---|
| 活動 | 字串 | 字串,表示人類可讀且可理解的事件描述。 |
| 附加擴充功能 | 字串 | 其他欄位的預留位置。 欄位會記錄為索引鍵/值組。 |
| 應用程式協定 | 字串 | 應用程式中所使用的通訊協定,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。 |
| _BilledSize(帳單大小) | 真實 | 以位元組為單位的記錄大小 |
| CollectorHostName | 字串 | 執行代理程式之收集器計算機的主機名。 |
| 溝通方向 | 字串 | 所觀察到通訊已採用的方向的任何相關資訊。 有效值:0 = 輸入,1 = 輸出。 |
| 電腦 | 字串 | 來自 Syslog 中的主機。 |
| 目標DNS網域 | 字串 | 完整網域名稱 (FQDN) 的 DNS 部分。 |
| 目標主機名稱 | 字串 | 在IP網路中事件所指定的目的地。 當節點可用時,格式應該是與目的地節點相關聯的 FQDN。 例如:host.domain.com 或主機。 |
| 目標IP地址 | 字串 | 事件在IP網路中所指的目的地IPv4位址。 |
| 目標MAC位址 | 字串 | 目的地 MAC 位址 (FQDN)。 |
| DestinationNTDomain | 字串 | 目的地位址的 Windows 網域名稱。 |
| 目的港口 | 整數 (int) | 目的地連接埠。 有效值:0 - 65535。 |
| DestinationProcessId | 整數 (int) | 事件相關聯目的地程序的識別碼。 |
| DestinationProcessName | 字串 | 事件目的地進程的名稱,例如 telnetd 或 sshd。 |
| 目的地服務名稱 | 字串 | 事件所針對的服務。 例如:sshd。 |
| 目的地翻譯地址 | 字串 | 將IP網路中事件所參考的已轉譯目的地識別為IPv4IP位址。 |
| 目的地翻譯埠 | 整數 (int) | 轉譯后的埠,例如防火牆有效的埠號碼:0 - 65535。 |
| 目標用戶ID | 字串 | 依標識碼識別目的地使用者。 例如:在 Unix 中,根使用者通常會與使用者標識碼 0 相關聯。 |
| DestinationUserName(目標使用者名稱) | 字串 | 依名稱識別目的地使用者。 |
| 目標使用者權限 | 字串 | 定義目的地使用的許可權。 有效值:Admninistrator、User、Guest。 |
| DeviceAction | 字串 | 事件中所提及的動作。 |
| 裝置地址 | 字串 | 產生事件的裝置 IPv4 位址。 |
| 設備自訂日期1 | 字串 | 可供使用的兩個時間戳記欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| 裝置自訂日期1標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomDate2 | 字串 | 可供使用的兩個時間戳記欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| 自訂裝置日期標籤2 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomFloatingPoint1 | 真實 | 可供使用的四個浮動點欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 |
| DeviceCustomFloatingPoint1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| 設備自訂浮點數2 | 真實 | 可供使用的四個浮動點欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 |
| DeviceCustomFloatingPoint2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| 裝置自定義浮點數3 | 真實 | 可供使用的四個浮動點欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 |
| 自訂裝置浮點數3標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| 裝置自定義浮點數4 | 真實 | 可供使用的四個浮動點欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 |
| 設備自定義浮點數4標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomIPv6Address1 | 字串 | 可供使用的四個 IPv6 位址欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 |
| 裝置自訂IPv6地址1標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| 設備自訂IPv6位址2 | 字串 | 可供使用的四個 IPv6 位址欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 |
| 裝置自訂 IPv6 位址2標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomIPv6Address3 | 字串 | 可供使用的四個 IPv6 位址欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 |
| 裝置自訂IPv6地址3標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| Device自訂IPv6地址4 | 字串 | 可供使用的四個 IPv6 位址欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 |
| 設備自定IPv6地址4標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomNumber1 | 整數 (int) | 即將成為已棄用的欄位。 將會由 FieldDeviceCustomNumber1 取代。 |
| 裝置自訂數字1標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| 设备自定义号码2 | 整數 (int) | 即將成為已棄用的欄位。 將會取代為 FieldDeviceCustomNumber2。 |
| 裝置自訂數字2標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| 設備自訂號碼3 | 整數 (int) | 即將成為已棄用的欄位。 將會由 FieldDeviceCustomNumber3 取代。 |
| 設備自訂數字3標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString1 (裝置自訂字串1) | 字串 | 可供使用的六個字串之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| 裝置自訂字串1標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString2 | 字串 | 可供使用的六個字串之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| 設備自訂字串2標籤 | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString3 | 字串 | 可供使用的六個字串之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString4 | 字串 | 可供使用的六個字串之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString4Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString5 | 字串 | 可供使用的六個字串之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString5Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString6 | 字串 | 可供使用的六個字串之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString6Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| 裝置DNS域 | 字串 | 完整網域名稱 (FQDN) 的 DNS 網域部分。 |
| 裝置事件類別 | 字串 | 表示原始裝置指派的類別。 裝置通常會使用自己的分類架構來分類事件。 範例:『Monitor/Disk/Read』。 |
| DeviceEventClassID | 字串 | 做為每個事件類型唯一標識碼的字串或整數。 |
| 裝置外部識別碼 | 字串 | 可唯一識別產生事件的裝置名稱。 |
| 設備設施 | 字串 | 產生事件的設施。 例如:auth 或 local1。 |
| 設備入站介面 | 字串 | 封包或數據進入裝置的介面。 例如:乙太網路1/2。 |
| 裝置MAC位址 | 字串 | 產生事件的裝置 MAC 位址。 |
| 設備名稱 | 字串 | 當節點可用時,與裝置節點相關聯的 FQDN。 例如:host.domain.com 或主機。 |
| DeviceNtDomain | 字串 | 裝置位址的 Windows 網域。 |
| 裝置出站介面 | 字串 | 封包或數據離開裝置的介面。 |
| DevicePayloadId | 字串 | 事件相關聯承載的唯一識別碼。 |
| 裝置產品 | 字串 | 搭配裝置產品和版本定義的字串,可唯一識別傳送裝置的類型。 |
| 裝置時區 | 字串 | 產生事件的裝置時區。 |
| 設備翻譯地址 | 字串 | 識別IP網路中事件所參考的已翻譯裝置位址。 格式為 Ipv4 位址。 |
| 設備供應商 | 字串 | 搭配裝置產品和版本定義的字串,可唯一識別傳送裝置的類型。 |
| 裝置版本 | 字串 | 搭配裝置產品和版本定義的字串,可唯一識別傳送裝置的類型。 |
| 結束時間 | Datetime | 與事件相關的活動結束時間。 |
| 事件數量 | 整數 (int) | 與事件相關聯的計數,顯示觀察到相同事件的次數。 |
| 事件結果 | 字串 | 顯示結果,通常是「成功」或「失敗」。 |
| 事件類型 | 整數 (int) | 事件類型。 值包括:0:基底事件、1:匯總、2:相互關聯事件、3:動作事件。 注意:基本事件可以省略此事件。 |
| 外部識別碼 | 整數 (int) | 即將成為已棄用的欄位。 將會取代為 ExtID。 |
| ExtID | 字串 | 原始裝置所使用的標識碼(將會取代舊版 ExternalID)。 這些值通常會有遞增的值,每個值都與事件相關聯。 |
| FieldDeviceCustomNumber1 | 長 | 可供使用的三個數字欄位之一,可用來對應此字典中任何其他不適用的欄位 (將取代舊版 DeviceCustomNumber1)。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| 場設備自定義編號2 | 長 | 可供使用的三個數字欄位之一,可用來對應此字典中任何其他不適用的欄位 (將取代舊版 DeviceCustomNumber2)。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| 字段裝置自定義號碼3 | 長 | 可供使用的三個數字欄位之一,可用來對應此字典中任何其他不適用的欄位 (將取代舊版 DeviceCustomNumber3)。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 |
| 檔案建立時間 | 字串 | 建立檔案的時間。 |
| FileHash | 字串 | 檔案的哈希。 |
| FileID | 字串 | 與檔案相關聯的標識碼,例如 inode。 |
| 檔案修改時間 | 字串 | 上次修改檔案的時間。 |
| 檔案名稱 | 字串 | 檔名,不含路徑。 |
| FilePath | 字串 | 檔案的完整路徑,包括檔名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
| FilePermission(文件權限) | 字串 | 檔案的許可權。 例如:『2,1,1』。 |
| 檔案大小 | 整數 (int) | 檔案的大小 (以位元組為單位)。 |
| 檔案類型 | 字串 | 檔案類型,例如管道、套接字等等。 |
| FlexDate1 | 字串 | 可供使用的時間戳記欄位,可用來對應不適用於此字典中任何其他已定義時間戳記欄位的時間戳記。 盡可能謹慎地使用所有彈性欄位,並搜尋更具體的字典提供欄位。 這些欄位通常保留給客戶使用,除非必要,否則不應由廠商設定。 |
| FlexDate1Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
| FlexNumber1 | 整數 (int) | 可供使用的數字欄位,可用來對應不適用於此字典中任何其他欄位的 Int 資料。 |
| FlexNumber1Label | 字串 | 描述 FlexNumber1 中值的標籤 |
| FlexNumber2 | 整數 (int) | 可供使用的數字欄位,可用來對應不適用於此字典中任何其他欄位的 Int 資料。 |
| 彈性編號2標籤 (FlexNumber2Label) | 字串 | 描述 FlexNumber2 中值的標籤 |
| FlexString1 | 字串 | 可供使用的四個浮動點欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 這些欄位通常保留給客戶使用,除非必要,否則不應由廠商設定。 |
| FlexString1Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
| FlexString2 | 字串 | 可供使用的四個浮動點欄位之一,可用來對應不適用於字典中其他任何欄位的欄位。 盡可能謹慎地使用,並搜尋更具體的字典提供欄位。 這些欄位通常保留給客戶使用,除非必要,否則不應由廠商設定。 |
| FlexString2Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
| 指標威脅類型 | 字串 | MaliciousIP 的威脅類型 (根據我們的 TI 摘要)。 |
| _IsBillable // 是否可計費 | 字串 | 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| LogSeverity | 字串 | 描述事件重要性的字串或整數。 有效的字串值:未知、低、中、高、高有效整數值包括:0-3 = Low、4-6 = 中、7-8 = High、9-10 = High。 |
| 惡意IP地址 | 字串 | 如果訊息中的某個IP與我們當前的TI數據來源相關聯,則會在此顯示。 |
| 惡意IP國家 | 字串 | 根據記錄輸入時的 GEO 資訊,惡意 IP 所屬的國家/地區。 |
| MaliciousIPLatitude | 真實 | MaliciousIP 的緯度 (根據記錄擷取時的 GEO 資訊)。 |
| 惡意IP經度 | 真實 | MaliciousIP 的經度 (根據記錄擷取時的 GEO 資訊)。 |
| 訊息 | 字串 | 訊息,提供事件的詳細數據。 |
| 舊檔案建立時間 | 字串 | 建立舊檔案的時間。 |
| OldFileHash | 字串 | 舊檔案的哈希。 |
| 舊檔案ID | 字串 | 與舊檔案 (例如 inode) 相關聯的識別碼。 |
| 舊文件修改時間 | 字串 | 上次修改舊檔案的時間。 |
| OldFileName | 字串 | 舊檔案的名稱。 |
| OldFilePath | 字串 | 舊檔案的完整路徑,包括檔名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
| 舊檔案權限 | 字串 | 舊檔案的權限。 例如:『2,1,1』。 |
| 舊檔案大小 | 整數 (int) | 舊檔案的大小,以位元組為單位。 |
| 舊文件類型 | 字串 | 舊檔案的檔類型,例如管道、套接字等等。 |
| OriginalLogSeverity | 字串 | LogSeverity 的非對應版本。 例如:LogSeverity 欄位中的 [警告/重大/資訊],而不是標準化的 [低/中/高] |
| 程序識別碼 (ProcessID) | 整數 (int) | 定義裝置上產生事件的處理程式標識碼。 |
| ProcessName | 字串 | 與事件相關聯的進程名稱。 例如:在 UNIX 中,產生 syslog 項目的程式。 |
| 通訊協定 | 字串 | 用於識別第 4 層協定的傳輸協定。 可能的值包括通訊協定名稱,例如 TCP 或 UDP。 |
| 原因 | 字串 | 產生稽核事件的原因。 例如「不正確的密碼」或「未知的使用者」。 這可能是錯誤或回傳碼。 範例:『0x1234』。 |
| 收件時間 | 字串 | 收到活動相關事件的時間。 不同於 [Timegenerated] 欄位,也就是在記錄收集器機器中收到事件時。 |
| 接收位元組 | 長 | 傳入的位元組數。 |
| 遠端IP | 字串 | 可能的話,衍生自事件方向值的遠端 IP 位址。 |
| RemotePort | 字串 | 可能的話,衍生自事件方向值的遠端連接埠。 |
| 報告參考連結 | 字串 | TI 摘要報告的連結。 |
| RequestClientApplication | 字串 | 與要求相關聯的使用者代理程式。 |
| 請求上下文 (RequestContext) | 字串 | 描述要求的來源內容,例如 HTTP 查閱者。 |
| RequestCookies | 字串 | 與要求相關聯的Cookie。 |
| 請求方法 | 字串 | 用來存取 URL 的方法。 有效值包括 POST、GET 等方法。 |
| 請求URL | 字串 | HTTP 請求中訪問的 URL,包括其協定。 例如:http://www/secure.com. |
| _ResourceId(資源識別碼) | 字串 | 記錄相關資源的唯一識別碼 |
| SentBytes | 長 | 傳出的位元組數。 |
| 簡化設備操作 | 字串 | DeviceAction 的對應版本,例如已拒絕 > 拒絕。 |
| 來源DNS域 (SourceDnsDomain) | 字串 | 完整 FQDN 的 DNS 網域部分。 |
| SourceHostName | 字串 | 識別事件在IP網路中參考的來源。 當節點可用時,格式應該是與來源節點相關聯的完整網域名稱 (FQDN)。 例如:主機或 host.domain.com。 |
| 來源IP | 字串 | 事件在 IP 網路中參考的來源,格式為 IPv4 位址。 |
| 來源MAC地址 | 字串 | 來源 MAC 位址。 |
| SourceNTDomain | 字串 | 來源位址的 Windows 網域名稱。 |
| SourcePort | 整數 (int) | 來源埠號碼。 有效的埠號碼為 0 - 65535。 |
| 來源進程識別碼 | 整數 (int) | 與事件相關聯的來源進程標識碼。 |
| 來源處理程序名稱 | 字串 | 事件來源進程的名稱。 |
| 來源服務名稱 | 字串 | 負責產生事件的服務。 |
| SourceSystem | 字串 | 收集事件的代理程式類型。 例如,OpsManager 用於 Windows 代理程式,直接連線或 Operations Manager、Linux 用於所有 Linux 代理程式,或 Azure 用於 Azure 診斷 |
| 原地址翻譯來源 | 字串 | 識別事件在IP網路中參考的已翻譯來源。 |
| SourceTranslatedPort | 整數 (int) | 轉譯后的來源埠,例如防火牆。 有效的埠號碼為 0 - 65535。 |
| SourceUserID | 字串 | 依標識碼識別來源使用者。 |
| SourceUserName | 字串 | 依名稱識別來源使用者。 電子郵件地址也會對應到使用者名稱欄位。 寄件者是要放入此欄位的候選項目。 |
| SourceUserPrivileges | 字串 | 來源用戶的權限。 有效值包括:系統管理員、使用者、來賓。 |
| 開始時間 | Datetime | 事件所參考之活動開始的時間。 |
| _SubscriptionId(訂閱識別碼) | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
| 租戶識別碼 | 字串 | Log Analytics 工作區識別碼 |
| 威脅可信度 | 字串 | MaliciousIP 的威脅信心 (根據我們的 TI 摘要)。 |
| 威脅描述 | 字串 | MaliciousIP 的威脅描述 (根據我們的 TI 摘要)。 |
| 威脅嚴重性 | 整數 (int) | MaliciousIP 威脅嚴重性 (根據記錄擷取時的 TI 摘要)。 |
| TimeGenerated | Datetime | UTC 的事件收集時間。 |
| 類型 | 字串 | 資料表的名稱 |