ASimUserManagementActivityLogs
Schéma ASim User Management představuje aktivity správy uživatelů, jako je vytvoření uživatele nebo skupiny, změna atributu uživatele nebo přidání uživatele do skupiny. Takové události jsou hlášeny například operačními systémy, adresářovými službami, systémy pro správu identit a všemi dalšími systémy, které hlásí aktivitu místní správy uživatelů.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/asimtables |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| ActingAppId | řetězec | ID aplikace, kterou aktér používá k provedení aktivity, včetně procesu, prohlížeče nebo služby. |
| ActingAppName | řetězec | Název aplikace, kterou aktér používá k provedení aktivity, včetně procesu, prohlížeče nebo služby. |
| ActingAppType | řetězec | Typ fungující aplikace. |
| ActingOriginalAppType | řetězec | Jedná se o typ aplikace nahlášený zařízením pro vytváření sestav. |
| ActorOriginalUserType | řetězec | Původní typ uživatele objektu actor, pokud je poskytnutý zdrojem. |
| ActorScope | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorScopeId | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID přihlašovací relace objektu Actor. |
| ActorUserAadId | řetězec | ID Azure Active Directory objektu actor. |
| ActorUserId | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu actor. |
| ActorUserIdType | řetězec | Typ ID uloženého v poli ActorUserId. |
| ActorUsername | řetězec | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. |
| ActorUsernameType | řetězec | Určuje typ uživatelského jména uloženého v poli ActorUsername. |
| ActorUserSid | řetězec | ID uživatele systému Windows (SID) objektu actor. |
| ActorUserType | řetězec | Typ objektu Actor. |
| Další pole | dynamic | Další informace reprezentované pomocí párů klíč/hodnota poskytovaných zdrojem, které se nemapují na ASim. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DvcAction | řetězec | Pro systémy zabezpečení generování sestav akce, kterou systém provedl. |
| Popis dvcDescription | řetězec | Popisný text přidružený k zařízení. |
| DvcDomain | řetězec | Doména zařízení, které událost hlásí. |
| DvcDomainType | řetězec | Typ DvcDomain. |
| DvcFQDN | řetězec | Název hostitele zařízení, na kterém došlo k události nebo které událost nahlásilo. |
| Název hostitele dvc | řetězec | Název hostitele zařízení, které událost hlásí. |
| DvcId | řetězec | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcIdType | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém byla data zachycena. |
| DvcIpAddr | řetězec | IP adresa zařízení, které událost hlásí. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Akce dvcOriginalAction | řetězec | Původní DvcAction poskytovaná zařízením pro generování sestav. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| Verze dvcOs | řetězec | Verze operačního systému v zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. Mapování DvcScope na název předplatného v Azure a na ID účtu v AWS |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síť, ve které k události došlo nebo která událost nahlásila. |
| Počet událostí | int | Počet událostí popsaných záznamem |
| EventEndTime | datetime | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, označuje čas vygenerování poslední události. Pokud ho zdrojový záznam nezadá, bude toto pole aliasovat pole TimeGenerated. |
| EventMessage | řetězec | Obecná zpráva nebo popis |
| EventOriginalResultDetails | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. |
| EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro generování sestav. |
| EventOriginalSubType | řetězec | Původní podtyp události nebo ID, pokud je zadaný zdrojem. |
| EventOriginalType | řetězec | Původní typ události nebo ID, pokud je zadaný zdrojem. |
| Identifikátor událostiOriginalUid | řetězec | Jedinečné ID původního záznamu, pokud je zadaný zdrojem. |
| Vlastník události | řetězec | Vlastník události, což je obvykle oddělení nebo pobočka, ve které se událost vygenerovala. |
| Produkt události | řetězec | Produkt generující událost. |
| EventProductVersion | řetězec | Verze produktu, který generuje událost. |
| EventReportUrl | řetězec | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
| EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Úspěch, Částečné selhání, Selhání, NE (Nejde použít). Hodnotu nelze zadat přímo ze zdrojů. V takovém případě je odvozena z jiných polí události, například pole EventResultDetails. |
| EventResultDetails | řetězec | Důvod nebo podrobnosti o výsledku hlášeného v poli EventResult |
| EventSchema | řetězec | Název schématu |
| EventSchemaVersion | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| EventStartTime | datetime | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, jedná se o čas, kdy byla vygenerována první událost. Pokud ho zdrojový záznam nezadá, bude toto pole aliasovat pole TimeGenerated. |
| Typ podsítě události | řetězec | Popisuje dílčí dělení operace hlášené v poli EventType. |
| Typ události | řetězec | Popisuje operaci hlášenou záznamem. |
| EventVendor | řetězec | Dodavatel produktu, který generuje událost. |
| GroupId | řetězec | Strojově čitelná alfanumerická jedinečná reprezentace skupiny pro aktivity zahrnující skupinu. |
| Typ Id skupiny | řetězec | Typ ID uloženého v poli GroupId. |
| Groupname | řetězec | Název skupiny, včetně informací o doméně, pokud jsou k dispozici, pro aktivity zahrnující skupinu. |
| Typ názvu skupiny | řetězec | Určuje typ názvu skupiny uloženého v poli GroupName. |
| GroupOriginalType | řetězec | Původní typ skupiny, pokud je zadaný zdrojem. |
| Typ skupiny | řetězec | Typ skupiny pro aktivity zahrnující skupinu. |
| Agent httpuseragent | řetězec | Když se ověřování provádí přes PROTOKOL HTTP nebo HTTPS, hodnota tohoto pole je user_agent hlavička HTTP poskytnutá fungující aplikací při provádění ověřování. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
| NewPropertyValue | řetězec | Nová hodnota uložená v zadané vlastnosti. |
| PreviousPropertyValue | řetězec | Předchozí hodnota, která byla uložena v zadané vlastnosti. |
| _Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Název pravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| RuleNumber | int | Číslo pravidla přidruženého k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| Popis SrcDescription | řetězec | Popisný text přidružený ke zdrojovému zařízení. |
| SrcDeviceType | řetězec | Typ zdrojového zařízení. |
| SrcDomain | řetězec | Doména zdrojového zařízení. |
| Typ domény SrcDomainType | řetězec | Typ SrcDomain. |
| SrcDvcId | řetězec | ID zdrojového zařízení uvedené v záznamu. |
| SrcDvcIdType | řetězec | Typ SrcDvcId. |
| SrcDvcScope | řetězec | Obor cloudové platformy, do které zdrojové zařízení patří. Mapování SrcDvcScope na název předplatného v Azure a na ID účtu v AWS. |
| SrcDvcScopeId | řetězec | ID oboru cloudové platformy, do které zdrojové zařízení patří. SrcDvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcFQDN | řetězec | Název hostitele zdrojového zařízení, včetně informací o doméně, pokud jsou k dispozici. |
| SrcGeoCity | řetězec | Město přidružené ke zdrojové IP adrese. |
| SrcGeoCountry | řetězec | Země přidružená ke zdrojové IP adrese. |
| SrcGeoLatitude | real | Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoLongitude | real | Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| Oblast SrcGeo | řetězec | Oblast v rámci země přidružené ke zdrojové IP adrese. |
| Název_hostitele_hostitele | řetězec | Název hostitele zdrojového zařízení s výjimkou informací o doméně. |
| SrcIpAddr | řetězec | IP adresa zdrojového zařízení. |
| SrcMacAddr | řetězec | Adresa MAC zdrojového zařízení. |
| SrcOriginalRiskLevel | řetězec | Úroveň rizika přidružená k identifikovanému zdroji hlášenému zařízením pro hlášení. |
| SrcPortNumber | int | Port zdrojové IP adresy, ze kterého připojení pochází. |
| SrcRiskLevel | int | Úroveň rizika přidružená k identifikovanému zdroji. |
| _SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| TargetOriginalUserType | řetězec | Typ původního cílového uživatele, pokud je zadaný zdrojem. |
| TargetUserId | řetězec | Strojově čitelná, alfanumerická, jedinečná reprezentace cílového uživatele. |
| TargetUserIdType | řetězec | Typ ID uloženého v poli TargetUserId |
| TargetUsername | řetězec | Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. |
| TargetUsernameType | řetězec | Určuje typ uživatelského jména uloženého v poli TargetUsername. |
| TargetUserScope | řetězec | Obor, například Azure AD název tenanta, ve kterém jsou definovány TargetUserId a TargetUsername. |
| TargetUserScopeId | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definovány TargetUserId a TargetUsername. |
| TargetUserSessionId | řetězec | Jedinečné ID přihlašovací relace uživatele. |
| TargetUserType | řetězec | Typ cílového uživatele. |
| TargetUserUid | řetězec | ID uživatele systému Unix nebo Linux. |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| ThreatCategory | řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě |
| ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatField | řetězec | Pole, pro které byla identifikována hrozba. |
| ThreatFirstReportedTime | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
| Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě |
| ThreatIsActive | bool | True ID identifikované hrozby se považuje za aktivní hrozbu. |
| ThreatLastReportedTime | datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
| ThreatName | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě. |
| ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby nahlášená zařízením pro hlášení. |
| ThreatOriginalRiskLevel | řetězec | Úroveň rizika hlášená zařízením pro hlášení. |
| ThreatRiskLevel | int | Úroveň rizika spojená se identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. |
| TimeGenerated | datetime | Časové razítko (UTC) odrážející čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro