ASimAuthenticationEventLogs
Tabulka normalizovaných událostí ověřování služby Microsoft Sentinel Ukládá události spojené například s ověřováním uživatelů, přihlášením a odhlášením.
Atributy tabulky
Atribut | Hodnota |
---|---|
Typy prostředků | microsoft.securityinsights/authenticationevent |
Kategorie | Zabezpečení |
Řešení | SecurityInsights |
Základní protokol | No |
Transformace doby příjmu dat | Yes |
Ukázkové dotazy | - |
Sloupce
Sloupec | Typ | Description |
---|---|---|
ActingAppId | řetězec | ID aplikace autorizující jménem objektu actor, včetně procesu, prohlížeče nebo služby. |
ActingAppName | řetězec | Název aplikace autorizující jménem objektu actor, včetně procesu, prohlížeče nebo služby. |
ActingAppType | řetězec | Typ fungující aplikace. |
ActingOriginalAppType | řetězec | Jedná se o typ aplikace hlášený zařízením pro generování sestav. |
ActorOriginalUserType | řetězec | Typ uživatele nahlášený zařízením pro generování sestav. |
ActorScope | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány ActorUserId a ActorUsername. |
Id objektu ActorScope | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definovány Id actorUserId a ActorUsername. |
ActorSessionId | řetězec | Jedinečné ID relace přihlášení objektu Actor. |
ActorUserId | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu actor. |
ActorUserIdType | řetězec | Typ ID uloženého v poli ActorUserId. |
ActorUsername | řetězec | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. |
ActorUsernameType | řetězec | Určuje typ uživatelského jména uloženého v poli ActorUsername. |
ActorUserType | řetězec | Typ objektu Actor. |
Další pole | dynamic | Další informace reprezentované pomocí párů klíč/hodnota od zdroje, které se nemapují na ASim. |
_BilledSize | real | Velikost záznamu v bajtech |
DvcAction | řetězec | U systémů zabezpečení generování sestav akce, kterou systém provedl. |
Popis dvcdescription | řetězec | Popisný text přidružený k zařízení. |
Doména DvcDomain | řetězec | Doména zařízení, které událost hlásí. |
DvcDomainType | řetězec | Typ DvcDomain. |
Plně kvalifikovaný název domény | řetězec | Název hostitele zařízení, na kterém k události došlo nebo které událost nahlásilo. |
Název hostitele dvc | řetězec | Název hostitele zařízení, které událost hlásí. |
Id dvc | řetězec | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo. |
Typ dvcId | řetězec | Typ DvcId. |
DvcInterface | řetězec | Síťové rozhraní, na kterém byla data zachycena. |
DvcIpAddr | řetězec | IP adresa zařízení, které událost hlásí. |
DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém k události došlo nebo které událost nahlásilo. |
DvcOriginalAction | řetězec | Původní akce DvcAction poskytovaná zařízením pro vytváření sestav. |
DvcO | řetězec | Operační systém spuštěný na zařízení, na kterém k události došlo nebo které událost nahlásilo. |
DvcOsVersion | řetězec | Verze operačního systému na zařízení, na kterém došlo k události nebo které událost nahlásilo. |
DvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. Mapování DvcScope na ID předplatného v Azure a na ID účtu v AWS. |
DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
DvcZone | řetězec | Síť, ve které k události došlo nebo která událost nahlásila. |
EventCount | int | Počet událostí popsaných záznamem |
EventEndTime | datetime | Čas, ve kterém událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
EventMessage | řetězec | Obecná zpráva nebo popis. |
EventOriginalResultDetails | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. |
EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro vytváření sestav. |
EventOriginalSubType | řetězec | Původní podtyp události nebo ID, pokud je zadaný zdrojem. |
EventOriginalType | řetězec | Původní typ události nebo ID, pokud je zadaný zdrojem. |
EventOriginalUid | řetězec | Jedinečné ID původního záznamu, pokud je zadaný zdrojem. |
Vlastník události | řetězec | Vlastníkem události, což je obvykle oddělení nebo dceřiná společnost, ve které se událost vygenerovala. |
EventProduct | řetězec | Produkt generující událost. |
EventProductVersion | řetězec | Verze produktu, který generuje událost. |
EventReportUrl | řetězec | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
EventResultDetails | řetězec | Podrobnosti přidružené k výsledku události. Toto pole se obvykle vyplní, když výsledkem je selhání. |
EventSchemaVersion | řetězec | Verze schématu. |
EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
EventStartTime | datetime | Čas, ve kterém událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
EventSubType | řetězec | Typ přihlášení, například Systém, Interactive, RemoteInteractive, Service, RemoteService, Remote Nebo AssumeRole. |
Typ události | řetězec | Popisuje operaci hlášenou záznamem. |
EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
HttpUserAgent | řetězec | Při ověřování přes PROTOKOL HTTP nebo HTTPS je hodnota tohoto pole user_agent hlavička HTTP, kterou při provádění ověřování poskytuje působící aplikace. |
_IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
Přihlašovací metoda | řetězec | Metoda použitá k ověřování. |
LogonProtocol | řetězec | Protokol použitý k ověření. |
_Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
Název pravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
RuleNumber | int | Číslo pravidla přidruženého k výsledkům kontroly. |
SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
Popis SrcDescription | řetězec | Popisný text přidružený ke zdrojovému zařízení. |
SrcDeviceType | řetězec | Typ zdrojového zařízení. |
SrcDomain | řetězec | Doména zdrojového zařízení. |
Typ domény SrcDomainType | řetězec | Typ SrcDomain. |
SrcDvcId | řetězec | ID zdrojového zařízení. |
SrcDvcIdType | řetězec | Typ SrcDvcId. |
SrcDvcOs | řetězec | Operační systém zdrojového zařízení. |
SrcDvcScope | řetězec | Obor cloudové platformy, do které zdrojové zařízení patří. Mapování SrcDvcScope na ID předplatného v Azure a na ID účtu v AWS. |
SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zdrojové zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
SrcGeoCity | řetězec | Město přidružené ke zdrojové IP adrese. |
SrcGeoCountry | řetězec | Země přidružená ke zdrojové IP adrese. |
SrcGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
SrcGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
Oblast SrcGeo | řetězec | Oblast v rámci země přidružené ke zdrojové IP adrese. |
Název_hostitele_hostitele | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. |
SrcIpAddr | řetězec | IP adresa zdrojového zařízení. |
SrcIsp | řetězec | Poskytovatel internetových služeb (ISP) používaný zdrojovým zařízením pro připojení k internetu. |
SrcOriginalRiskLevel | řetězec | Úroveň rizika přidružená k identifikovanému zdroji hlášenému zařízením pro hlášení. |
SrcPortNumber | int | Port IP, ze kterého připojení pochází. |
SrcRiskLevel | int | Úroveň rizika přidružená k identifikovanému zdroji. |
_SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
Id cílové aplikace | řetězec | ID aplikace, ke které se vyžaduje autorizace, často přiřazené zařízením pro generování sestav. |
Název cílové aplikace | řetězec | Název aplikace, pro kterou se vyžaduje autorizace, včetně služby, adresy URL nebo aplikace SaaS. |
Typ cílové aplikace | řetězec | Typ aplikace autorizující jménem objektu actor. |
Popis cíle | řetězec | Popisný text přidružený k cílovému zařízení. |
Typ zařízení cíle | řetězec | Typ cílového zařízení. |
Cílová doména | řetězec | Doména cílového zařízení. |
Typ cílové domény | řetězec | Typ TargetDomain. |
Id cílového objektu | řetězec | ID cílového zařízení. |
TargetDvcIdType | řetězec | Typ TargetDvcId. |
TargetDvcOs | řetězec | Operační systém cílového zařízení. |
TargetDvcScope | řetězec | Obor cloudové platformy, do které cílové zařízení patří. Mapování TargetDvcScope na ID předplatného v Azure a na ID účtu v AWS. |
TargetDvcScopeId | řetězec | ID oboru cloudové platformy, do které cílové zařízení patří. TargetDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
CílovýFQDN | řetězec | Název hostitele cílového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
TargetGeoCity | řetězec | Město přidružené k cílové IP adrese. |
TargetGeoCountry | řetězec | Země přidružená k cílové IP adrese. |
Cílovágeolatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. |
TargetGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. |
Cílová oblast | řetězec | Oblast v rámci země přidružené k cílové IP adrese. |
Název cílového hostitele | řetězec | Název hostitele cílového zařízení s výjimkou informací o doméně. |
Cílová adresaIpAddr | řetězec | IP adresa cílového zařízení. |
TargetOriginalAppType | řetězec | Typ cílové aplikace hlášený zařízením pro generování sestav. |
TargetOriginalRiskLevel | řetězec | Úroveň rizika přidružená k cíli hlášená zařízením pro generování sestav. |
TargetOriginalUserType | řetězec | Typ uživatele nahlášený zařízením pro generování sestav. |
TargetPortNumber | int | Port cílového zařízení. |
TargetRiskLevel | int | Úroveň rizika přidružená k cíli. |
TargetSessionId | řetězec | Jedinečné ID relace přihlášení cílového objektu actor. |
Cílová adresa URL | řetězec | Adresa URL přidružená k cílové aplikaci. |
Id cílového uživatele | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu actor. |
Typ cílového uživatele | řetězec | Typ ID uloženého v poli TargetUserId |
TargetUsername | řetězec | Uživatelské jméno cílového objektu actor, včetně informací o doméně, pokud jsou k dispozici. |
Typ cílového uživatele | řetězec | Typ uživatelského jména cílového aktéra zadaného v poli TargetUsername |
Cílovýuserscope | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány TargetUserId a TargetUsername. |
TargetUserScopeId | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definovány TargetUserId a TargetUsername. |
Typ cílového uživatele | řetězec | Typ cílového objektu actor. |
TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
ThreatCategory | řetězec | Kategorie hrozby nebo malwaru identifikované v aktivitě auditu |
ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
ThreatField | řetězec | Pole, pro které byla zjištěna hrozba. |
ThreatFirstReportedTime | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě auditu |
ThreatIpAddr | řetězec | IP adresa, pro kterou byla identifikována hrozba. |
ThreatIsActive | bool | Hodnota True, pokud je identifikovaná hrozba považována za aktivní hrozbu. |
ThreatLastReportedTime | datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
ThreatName | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě auditu |
ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby nahlášená zařízením pro hlášení. |
ThreatOriginalRiskLevel | řetězec | Úroveň rizika hlášená zařízením pro hlášení. |
ThreatRiskLevel | int | Úroveň rizika spojená se identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. |
TimeGenerated | datetime | Časové razítko (UTC) odrážející čas, ve kterém byla událost vygenerována. |
Typ | řetězec | Název tabulky |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro