CommonSecurityLog
Cette table permet de collecter des événements au format d’événement commun, qui sont le plus souvent envoyés à partir d’appliances de sécurité différentes telles que Check Point, Palo Alto, etc.
Attributs de table
Attribut | Valeur |
---|---|
Types de ressource | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Catégories | Sécurité |
Solutions | Sécurité, SecurityInsights |
Journal de base | No |
Transformation au moment de l’ingestion | Yes |
Exemples de requêtes | Oui |
Colonnes
Colonne | Type | Description |
---|---|---|
Activité | string | Chaîne qui représente une description explicite et compréhensible de l’événement. |
AdditionalExtensions | string | Espace réservé pour les champs supplémentaires. Les champs sont enregistrés sous forme de paires clé-valeur. |
ApplicationProtocol | string | Protocole utilisé dans l’application, tel que HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAP, etc. |
_BilledSize | real | Taille de l’enregistrement en octets |
CollectorHostName | string | Nom d’hôte de l’ordinateur collecteur exécutant l’agent. |
CommunicationDirection | string | Toutes les informations sur le sens de la communication observée. Valeurs valides : 0 = Entrant, 1 = Sortant. |
Computer | string | Hôte, à partir de Syslog. |
DestinationDnsDomain | string | Partie DNS du nom de domaine complet (FQDN). |
DestinationHostName | string | Destination à laquelle l’événement fait référence dans un réseau IP. Le format doit être un nom de domaine complet associé au nœud de destination, lorsqu’un nœud est disponible. Par exemple : host.domain.com ou hôte. |
DestinationIP | string | L’adresse IpV4 de destination à laquelle l’événement fait référence dans un réseau IP. |
DestinationMACAddress | string | Adresse MAC de destination (FQDN). |
DestinationNTDomain | string | Nom de domaine Windows de l’adresse de destination. |
DestinationPort | int | Port de destination. Valeurs valides : 0 - 65535. |
DestinationProcessId | int | L’ID du processus de destination associé à l’événement. |
DestinationProcessName | string | Nom du processus de destination de l’événement, tel que telnetd ou sshd. |
DestinationServiceName | string | Le service ciblé par l’événement. Par exemple : sshd. |
DestinationTranslatedAddress | string | Identifie la destination traduite référencée par l’événement dans un réseau IP, sous la forme d’une adresse IP IPv4. |
DestinationTranslatedPort | int | Port après la traduction, tel qu’un pare-feu Numéros de port valides : 0 - 65535. |
DestinationUserID | string | Identifie l’utilisateur de destination par son ID. Par exemple : dans Unix, l’utilisateur racine est généralement associé à l’ID utilisateur 0. |
DestinationUserName | string | Identifie l’utilisateur de destination par son nom. |
DestinationUserPrivileges | string | Définit les privilèges de l’utilisation de la destination. Valeurs valides : Admninistrator, User, Guest. |
DeviceAction | string | L’action mentionnée dans l’événement. |
DeviceAddress | string | Adresse IPv4 de l’appareil générant l’événement. |
DeviceCustomDate1 | string | Un des deux champs d’horodatage disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
DeviceCustomDate1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomDate2 | string | Un des deux champs d’horodatage disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
DeviceCustomDate2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomFloatingPoint1 | real | L’un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. |
DeviceCustomFloatingPoint1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomFloatingPoint2 | real | L’un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. |
DeviceCustomFloatingPoint2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomFloatingPoint3 | real | L’un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. |
DeviceCustomFloatingPoint3Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomFloatingPoint4 | real | L’un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. |
DeviceCustomFloatingPoint4Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomIPv6Address1 | string | Un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. |
DeviceCustomIPv6Address1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomIPv6Address2 | string | Un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. |
DeviceCustomIPv6Address2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomIPv6Address3 | string | Un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. |
DeviceCustomIPv6Address3Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomIPv6Address4 | string | Un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. |
DeviceCustomIPv6Address4Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomNumber1 | int | Bientôt un champ déprécié. Sera remplacé par FieldDeviceCustomNumber1. |
DeviceCustomNumber1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomNumber2 | int | Bientôt un champ déprécié. Sera remplacé par FieldDeviceCustomNumber2. |
DeviceCustomNumber2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomNumber3 | int | Bientôt un champ déprécié. Sera remplacé par FieldDeviceCustomNumber3. |
DeviceCustomNumber3Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomString1 | string | L’une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
DeviceCustomString1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomString2 | string | L’une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
DeviceCustomString2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomString3 | string | L’une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
DeviceCustomString3Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomString4 | string | L’une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
DeviceCustomString4Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomString5 | string | L’une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
DeviceCustomString5Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceCustomString6 | string | L’une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
DeviceCustomString6Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
DeviceDnsDomain | string | Partie domaine DNS du nom de domaine complet (FQDN). |
DeviceEventCategory | string | Représente la catégorie affectée par l’appareil d’origine. Les appareils utilisent souvent leur propre schéma de catégorisation pour classifier un événement. Exemple : « /Monitor/Disk/Read ». |
DeviceEventClassID | string | Chaîne ou entier qui sert d’identificateur unique par type d’événement. |
DeviceExternalID | string | Nom qui identifie de façon unique l’appareil générant l’événement. |
DeviceFacility | string | La structure générant l’événement. Par exemple : authentification ou local1. |
DeviceInboundInterface | string | Interface sur laquelle le paquet ou les données sont entrés sur l’appareil. Par exemple : ethernet1/2. |
DeviceMacAddress | string | Adresse MAC de l’appareil générant l’événement. |
DeviceName | string | Nom de domaine complet associé au nœud de l’appareil, lorsqu’un nœud est disponible. Par exemple : host.domain.com ou hôte. |
DeviceNtDomain | string | Domaine Windows de l’adresse de l’appareil. |
DeviceOutboundInterface | string | Interface sur laquelle le paquet ou les données ont quitté l’appareil. |
DevicePayloadId | string | Identificateur unique de la charge utile associée à l’événement. |
DeviceProduct | string | Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi. |
DeviceTimeZone | string | Fuseau horaire de l’appareil générant l’événement. |
DeviceTranslatedAddress | string | Identifie l’adresse de l’appareil traduit à laquelle l’événement fait référence, sur un réseau IP. Le format est une adresse Ipv4. |
DeviceVendor | string | Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi. |
DeviceVersion | string | Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi. |
EndTime | DATETIME | Heure à laquelle l’activité associée à l’événement s’est terminée. |
EventCount | int | Nombre associé à l’événement, qui indique le nombre de fois que le même événement a été observé. |
EventOutcome | string | Affiche le résultat, généralement « réussite » ou « échec ». |
Type d’événement | int | Type d'événement. Les valeurs de valeur incluent : 0 : événement de base, 1 : agrégé, 2 : événement de corrélation, 3 : événement d’action. Remarque : cet événement peut être omis pour les événements de base. |
ExternalID | int | Bientôt un champ déprécié. Sera remplacé par ExtID. |
ExtID | string | ID utilisé par l’appareil d’origine (remplace externalID hérité). En règle générale, ces valeurs ont des valeurs de plus en plus associées à un événement. |
FieldDeviceCustomNumber1 | long | L’un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire (remplace DeviceCustomNumber1 hérité). Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
FieldDeviceCustomNumber2 | long | L’un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire (remplace DeviceCustomNumber2 hérité). Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
FieldDeviceCustomNumber3 | long | L’un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire (remplace DeviceCustomNumber3 hérité). Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. |
FileCreateTime | string | Heure de création du fichier. |
FileHash | string | Hachage d’un fichier. |
FileID | string | Un ID associé à un fichier, tel que l’inode. |
FileModificationTime | string | Heure à laquelle le fichier a été modifié pour la dernière fois. |
FileName | string | Nom du fichier, sans le chemin d’accès. |
FilePath | string | Chemin complet d'accès du fichier, y compris le nom de fichier. Par exemple : C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
FilePermission | string | Les autorisations du fichier. Par exemple : « 2,1,1 ». |
FileSize | int | Taille du fichier en octets. |
FileType | string | Type de fichier (par exemple, canal, Socket, etc.). |
FlexDate1 | string | Champ d’horodatage disponible pour mapper un horodatage qui ne s’applique à aucun autre champ d’horodatage défini dans ce dictionnaire. Utilisez tous les champs flexibles avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation par le client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire. |
FlexDate1Label | string | Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex. |
FlexNumber1 | int | Champs numériques disponibles pour mapper les données Int qui ne s’appliquent à aucun autre champ de ce dictionnaire. |
FlexNumber1Label | string | Étiquette qui décrit la valeur dans FlexNumber1 |
FlexNumber2 | int | Champs numériques disponibles pour mapper les données Int qui ne s’appliquent à aucun autre champ de ce dictionnaire. |
FlexNumber2Label | string | Étiquette qui décrit la valeur dans FlexNumber2 |
FlexString1 | string | L’un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation par le client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire. |
FlexString1Label | string | Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex. |
FlexString2 | string | L’un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ plus spécifique fourni par le dictionnaire lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation par le client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire. |
FlexString2Label | string | Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex. |
IndicatorThreatType | string | Type de menace du MaliciousIP en fonction de notre flux TI. |
_IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
LogSeverity | string | Chaîne ou entier qui décrit l’importance de l’événement. Valeurs de chaîne valides : Inconnu, Faible, Moyen, Élevé Very-High Valeurs entières valides : 0-3 = Faible, 4-6 = Moyen, 7-8 = Élevé, 9-10 = Très-Élevé. |
MaliciousIP | string | Si l’une des adresses IP du message était en corrélation avec le flux TI actuel, nous l’avons ici. |
MaliciousIPCountry | string | Pays du MaliciousIP selon les informations GEO au moment de l’ingestion de l’enregistrement. |
MaliciousIPLatitude | real | Latitude de MaliciousIP en fonction des informations GEO au moment de l’ingestion de l’enregistrement. |
MaliciousIPLongitude | real | Longitude de MaliciousIP en fonction des informations GEO au moment de l’ingestion de l’enregistrement. |
Message | string | Message qui donne plus de détails sur l’événement. |
OldFileCreateTime | string | Heure de création de l’ancien fichier. |
OldFileHash | string | Hachage de l’ancien fichier. |
OldFileID | string | Et l’ID associé à l’ancien fichier, tel que l’inode. |
OldFileModificationTime | string | Heure à laquelle l’ancien fichier a été modifié pour la dernière fois. |
OldFileName | string | Nom de l’ancien fichier. |
OldFilePath | string | Chemin complet d'accès à l’ancien fichier, y compris le nom de fichier. Par exemple : C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
OldFilePermission | string | Autorisations de l’ancien fichier. Par exemple : « 2,1,1 ». |
OldFileSize | int | Taille de l’ancien fichier en octets. |
OldFileType | string | Type de fichier de l’ancien fichier, tel qu’un canal, un socket, etc. |
OriginalLogSeverity | string | Version non mappée de LogSeverity. Par exemple : Warning/Critical/Info au lieu de la norme Low/Medium/High dans le champ LogSeverity |
ProcessID | int | Définit l’ID du processus sur l’appareil générant l’événement. |
ProcessName | string | Nom du processus associé à l'événement. Par exemple : dans UNIX, processus qui génère l’entrée syslog. |
Protocol | string | Protocole de transport qui identifie le protocole de couche 4 utilisé. Les valeurs possibles incluent des noms de protocole, tels que TCP ou UDP. |
Motif | string | Raison pour laquelle un événement d’audit a été généré. Par exemple « mot de passe incorrect » ou « utilisateur inconnu ». Il peut également s’agir d’un code d’erreur ou de retour. Exemple : « 0x1234 ». |
ReceiptTime | string | Heure à laquelle l’événement associé à l’activité a été reçu. Différent du champ « Timegenerated », qui correspond au moment où l’événement a été reçu dans l’ordinateur collecteur de journaux. |
ReceivedBytes | long | Nombre d’octets transférés entrants. |
RemoteIP | string | Adresse IP distante, dérivée de la valeur de direction de l’événement, si possible. |
RemotePort | string | Port distant, dérivé de la valeur de direction de l’événement, si possible. |
ReportReferenceLink | string | Lien vers le rapport du flux TI. |
RequestClientApplication | string | L'agent utilisateur associé à la requête. |
RequestContext | string | Décrit le contenu d’où provient la requête, tel que le référent HTTP. |
RequestCookies | string | Cookies associés à la requête. |
RequestMethod | string | Méthode utilisée pour accéder à une URL. Les valeurs valides incluent des méthodes telles que POST, GET, etc. |
RequestURL | string | URL accessible pour une requête HTTP, y compris le protocole. Par exemple : http://www/secure.com. |
_ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
SentBytes | long | Nombre d’octets transférés sortants. |
SimplifiedDeviceAction | string | Version mappée de DeviceAction, telle que Refus refusé > . |
SourceDnsDomain | string | Partie du domaine DNS du FQDN complet. |
SourceHostName | string | Identifie la source à laquelle l’événement fait référence dans un réseau IP. Le format doit être un nom de domaine complet (FQDN) associé au nœud source, lorsqu’un nœud est disponible. Par exemple : hôte ou host.domain.com. |
SourceIP | string | Source à laquelle un événement fait référence dans un réseau IP, comme une adresse IPv4. |
SourceMACAddress | string | Adresse MAC source. |
SourceNTDomain | string | Nom de domaine Windows pour l’adresse source. |
SourcePort | int | Numéro de port source. Les numéros de port valides sont de 0 à 65535. |
SourceProcessId | int | L’ID du processus de source associé à l’événement. |
SourceProcessName | string | Nom du processus source de l’événement. |
SourceServiceName | string | Service responsable de la génération de l’événement. |
SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
SourceTranslatedAddress | string | Identifie la source traduite à laquelle l’événement fait référence dans un réseau IP. |
SourceTranslatedPort | int | Port source après traduction, tel qu’un pare-feu. Les numéros de port valides sont de 0 à 65535. |
SourceUserID | string | Identifie l’utilisateur source par ID. |
SourceUserName | string | Identifie l’utilisateur source par nom. Email adresses sont également mappées dans les champs UserName. L’expéditeur est un candidat à placer dans ce champ. |
SourceUserPrivileges | string | Privilèges de l’utilisateur source. Les valeurs valides sont les suivantes : Administrateur, Utilisateur, Invité. |
StartTime | DATETIME | Heure de début de l’activité à laquelle l’événement fait référence. |
_SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
TenantId | string | ID de l’espace de travail Log Analytics |
ThreatConfidence | string | La confiance de la menace du MaliciousIP selon notre flux TI. |
ThreatDescription | string | Description de la menace de MaliciousIP en fonction de notre flux TI. |
ThreatSeverity | int | Gravité de la menace de MaliciousIP selon notre flux TI au moment de l’ingestion de l’enregistrement. |
TimeGenerated | DATETIME | Heure de collecte des événements en UTC. |
Type | string | Le nom de la table |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour