ASimRegistryEventLogs
Het ASim-register gebeurtenisschema vertegenwoordigt De Windows-activiteit voor het maken, wijzigen of verwijderen van Windows-registerentiteiten. Registergebeurtenissen zijn specifiek voor Windows-systemen, maar worden gerapporteerd door verschillende systemen die Windows bewaken, zoals EDR-systemen (End Point Detection and Response), Sysmon of Windows zelf.
Tabelkenmerken
| Kenmerk | Waarde |
|---|---|
| Resourcetypen | microsoft.securityinsights/asimtables |
| Categorieën | Beveiliging |
| Oplossingen | SecurityInsights |
| Basic-logboek | No |
| Opnametijdtransformatie | Yes |
| Voorbeeldquery's | - |
Kolommen
| Kolom | Type | Description |
|---|---|---|
| ActingProcessCommandLine | tekenreeks | De opdrachtregel die wordt gebruikt om het proces uit te voeren. |
| ActingProcessGuid | tekenreeks | Een gegenereerde unieke id van het actieve proces. |
| ActingProcessId | tekenreeks | De proces-id van het actieve proces. |
| ActingProcessName | tekenreeks | De bestandsnaam van het afbeeldingsbestand van het actieve proces. |
| ActorOriginalUserType | tekenreeks | Het oorspronkelijke actorgebruikerstype, indien opgegeven door de bron. |
| ActorScope | tekenreeks | Het bereik, zoals Azure AD tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. |
| ActorScopeId | tekenreeks | De bereik-id, zoals Azure AD tenant-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. |
| ActorSessionId | tekenreeks | De unieke id van de aanmeldingssessie van de Actor. |
| ActorUserAadId | tekenreeks | De Azure Active Directory-id van de actor. |
| ActorUserId | tekenreeks | Een unieke id van de actor. |
| ActorUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld ActorUserId. |
| ActorUsername | tekenreeks | De gebruikersnaam van de gebruiker die de gebeurtenis heeft gestart. |
| ActorUsernameType | tekenreeks | Hiermee geeft u het type van de gebruikersnaam op dat is opgeslagen in het veld ActorUsername. |
| ActorUserSid | tekenreeks | De Windows-gebruikers-id (SID's) van de actor. |
| ActorUserType | tekenreeks | Het type Actor. |
| AdditionalFields | dynamisch | Aanvullende informatie, weergegeven met behulp van sleutel-waardeparen die door de bron worden verstrekt en die niet aan ASim worden toegewezen. |
| _BilledSize | werkelijk | De recordgrootte in bytes |
| DvcAction | tekenreeks | Voor rapportagebeveiligingssystemen, de actie die door het systeem wordt uitgevoerd. |
| DvcDescription | tekenreeks | Een beschrijvende tekst die aan het apparaat is gekoppeld. |
| DvcDomain | tekenreeks | Het domein van het apparaat dat de gebeurtenis rapporteert. |
| DvcDomainType | tekenreeks | Het type DvcDomain. |
| DvcFQDN | tekenreeks | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcHostname | tekenreeks | De hostnaam van het apparaat dat de gebeurtenis rapporteert. |
| DvcId | tekenreeks | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcIdType | tekenreeks | Het type DvcId. |
| DvcInterface | tekenreeks | De netwerkinterface waarop gegevens zijn vastgelegd. |
| DvcIpAddr | tekenreeks | Het IP-adres van het apparaat dat de gebeurtenis rapporteert. |
| DvcMacAddr | tekenreeks | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcOriginalAction | tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
| DvcO's | tekenreeks | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcOsVersion | tekenreeks | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. |
| DvcScope | tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnementsnaam in Azure en aan een account-id op AWS. |
| DvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| DvcZone | tekenreeks | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| EventCount | int | Het aantal gebeurtenissen dat door de record wordt beschreven. |
| EventEndTime | datum/tijd | De tijd waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
| EventMessage | tekenreeks | Een algemeen bericht of beschrijving. |
| EventOriginalResultDetails | tekenreeks | De oorspronkelijke resultaatdetails die door de bron zijn opgegeven. |
| EventOriginalSeverity | tekenreeks | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. |
| EventOriginalSubType | tekenreeks | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron. |
| EventOriginalType | tekenreeks | Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. |
| EventOriginalUid | tekenreeks | . |
| EventOwner | tekenreeks | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
| EventProduct | tekenreeks | Het product dat de gebeurtenis genereert. |
| EventProductVersion | tekenreeks | De versie van het product dat de gebeurtenis genereert. |
| EventReportUrl | tekenreeks | Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
| EventResult | tekenreeks | Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Fout, NB (Niet van toepassing). De waarde wordt mogelijk niet rechtstreeks door de bronnen opgegeven. In dat geval is deze afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails. |
| EventResultDetails | tekenreeks | Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult. |
| EventSchema | tekenreeks | De naam van het schema. |
| EventSchemaVersion | tekenreeks | De versie van het schema. |
| EventSeverity | tekenreeks | De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog. |
| EventStartTime | datum/tijd | De tijd waarin de gebeurtenis is begonnen. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, is het tijdstip waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
| EventSubType | tekenreeks | Beschrijft een onderverdeling van de bewerking die is gerapporteerd in het veld EventType. |
| EventType | tekenreeks | Beschrijft de bewerking die door de record wordt gerapporteerd. |
| EventVendor | tekenreeks | De leverancier van het product dat de gebeurtenis genereert. |
| _IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable opname niet wordt false gefactureerd voor uw Azure-account |
| ParentProcessCommandLine | tekenreeks | De opdrachtregel die wordt gebruikt om het proces uit te voeren. |
| ParentProcessGuid | tekenreeks | Een gegenereerde unieke id van het bovenliggende proces. |
| ParentProcessId | tekenreeks | De proces-id van het bovenliggende proces. |
| ParentProcessName | tekenreeks | De bestandsnaam van het bovenliggende procesafbeeldingsbestand. |
| RegistryKey | tekenreeks | De registersleutel die is gekoppeld aan de bewerking, genormaliseerd naar standaard naamconventies voor basissleutels. |
| RegistryPreviousKey | tekenreeks | Voor bewerkingen die het register wijzigen, wordt de oorspronkelijke registersleutel genormaliseerd naar de standaardnaamgeving van de basissleutel. |
| RegistryPreviousValue | tekenreeks | Voor bewerkingen die het register wijzigen, wordt het oorspronkelijke waardetype genormaliseerd naar het standaardformulier. |
| RegistryPreviousValueData | tekenreeks | De oorspronkelijke registergegevens voor bewerkingen die het register wijzigen. |
| RegistryPreviousValueType | tekenreeks | Voor bewerkingen die het register wijzigen, wordt het oorspronkelijke waardetype gebruikt. |
| RegistryValue | tekenreeks | De registerwaarde die aan de bewerking is gekoppeld. |
| RegistryValueData | tekenreeks | De gegevens die zijn opgeslagen in de registerwaarde. |
| RegistryValueType | tekenreeks | Het type registerwaarde, genormaliseerd naar standaardvorm. |
| _Resourceid | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
| RuleName | tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RuleNumber | int | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| SourceSystem | tekenreeks | Het type agent waarvan de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| _SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
| TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
| ThreatCategory | tekenreeks | De categorie van de bedreiging of malware die in de activiteit is geïdentificeerd. |
| ThreatConfidence | int | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
| Bedreigingsveld | tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. |
| ThreatFirstReportedTime | datum/tijd | De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging. |
| ThreatId | tekenreeks | De id van de bedreiging of malware die in de activiteit is geïdentificeerd. |
| ThreatIsActive | booleaans | True ID de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatLastReportedTime | datum/tijd | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatName | tekenreeks | De naam van de bedreiging of malware die in de activiteit is geïdentificeerd. |
| ThreatOriginalConfidence | tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatOriginalRiskLevel | tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatRiskLevel | int | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. |
| TimeGenerated | datum/tijd | De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd. |
| Type | tekenreeks | De naam van de tabel |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor