ASimAuditEventLogs
Tabela de eventos de auditoria normalizada do Microsoft Sentinel. Armazena eventos associados ao registo de auditoria de sistemas de informações e registos de auditoria de atividades de configuração do sistema e alterações de políticas. Estas alterações são frequentemente efetuadas por administradores de sistema, mas também podem ser efetuadas pelos utilizadores ao configurar as definições das suas próprias aplicações.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/auditeventnormalized |
Categorias | Segurança |
Soluções | SecurityInsights |
Registo básico | No |
Transformação do tempo de ingestão | Yes |
Consultas de Exemplo | - |
Colunas
Coluna | Tipo | Description |
---|---|---|
ActingAppId | string | O ID da aplicação que iniciou a atividade reportada, incluindo um processo, browser ou serviço. |
ActingAppName | string | O nome da aplicação que iniciou a atividade reportada, incluindo um serviço, um URL ou uma aplicação SaaS. |
ActingAppType | string | O tipo de aplicação em ação. |
ActingOriginalAppType | string | O tipo de aplicação em exercício, conforme comunicado pelo dispositivo de relatórios. |
ActorOriginalUserType | string | O tipo de utilizador, conforme comunicado pelo dispositivo de relatórios. |
ActorScope | string | O âmbito, como Azure AD inquilino, no qual ActorUserId e ActorUsername são definidos. |
ActorScopeId | string | O ID de âmbito, como Azure AD ID do inquilino, no qual o ActorUserId e o ActorUsername são definidos. |
ActorSessionId | string | O ID exclusivo da sessão de início de sessão do Ator. |
ActorUserAadId | string | O ID do Azure Active Directory do ator. |
ActorUserId | string | Uma representação única, alfanumérica e legível pelo computador do ator. |
ActorUserIdType | string | O tipo de ID armazenado no campo ActorUserId. |
ActorUsername | string | O nome de utilizador do Ator, incluindo informações de domínio quando disponível. |
ActorUsernameType | string | O tipo de nome de utilizador do Ator especificado no campo ActionUsername |
ActorUserSid | string | O ID de utilizador do Windows (SIDs) do ator. |
ActorUserType | string | O tipo do Actor. |
Campos Adicionais | dynamic | Informações adicionais, representadas através de pares chave/valor fornecidos pela origem que não mapeiam para o ASim. |
_BilledSize | real | O tamanho do registo em bytes |
DvcAction | string | Para comunicar sistemas de segurança, a ação tomada pelo sistema. |
DvcDescription | string | Um texto descritivo associado ao dispositivo. |
DvcDomain | string | O domínio do dispositivo que reporta o evento. |
DvcDomainType | string | O tipo de DvcDomain. |
DvcFQDN | string | O nome do anfitrião do dispositivo no qual ocorreu o evento ou que reportou o evento. |
DvcHostname | string | O nome do anfitrião do dispositivo que reporta o evento. |
DvcId | string | O ID exclusivo do dispositivo no qual ocorreu o evento ou que reportou o evento. |
DvcIdType | string | O tipo de DvcId. |
DvcInterface | string | A interface de rede na qual os dados foram capturados. |
DvcIpAddr | string | O Endereço IP do dispositivo que reporta o evento. |
DvcMacAddr | string | O endereço MAC do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
DvcOriginalAction | string | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
DvcOs | string | O sistema operativo em execução no dispositivo no qual ocorreu o evento ou que comunicou o evento. |
DvcOsVersion | string | A versão do sistema operativo no dispositivo em que ocorreu o evento ou que comunicou o evento. |
DvcScope | string | O âmbito da plataforma na cloud ao qual o dispositivo pertence. DvcScope mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
DvcScopeId | string | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
DvcZone | string | A rede na qual ocorreu o evento ou que comunicou o evento. |
EventCount | int | O número de eventos descritos pelo registo. |
EventEndTime | datetime | A hora (UTC) em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
EventMessage | string | Uma mensagem ou descrição geral. |
EventOriginalResultDetails | string | Os detalhes do resultado original fornecidos pela origem. |
EventOriginalSeverity | string | A gravidade original, conforme fornecido pelo dispositivo de relatório. |
EventOriginalSubType | string | O subtipo ou ID do evento original, se fornecido pela origem. |
EventOriginalType | string | O tipo ou ID de evento original, se for fornecido pela origem. |
EventOriginalUid | string | Um ID exclusivo do registo original, se for fornecido pela origem. |
EventOwner | string | O proprietário do evento, que é normalmente o departamento ou subsidiária em que foi gerado. |
EventProduct | string | O produto que está a gerar o evento. |
EventProductVersion | string | A versão do produto que está a gerar o evento. |
EventReportUrl | string | Um URL fornecido no evento para um recurso que fornece mais informações sobre o evento. |
EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor não pode ser fornecido diretamente pelas origens, caso em que é derivado de outros campos de eventos, por exemplo, o campo EventResultDetails. |
EventResultDetails | string | Motivo ou detalhes do resultado comunicado no campo EventResult. |
EventSchemaVersion | string | A versão do esquema. |
EventSeverity | string | A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
EventStartTime | datetime | A hora (UTC) em que o evento foi iniciado. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
EventSubType | string | Descreve uma subdivisão da operação reportada no campo EventType. |
EventType | string | Descreve a operação comunicada pelo registo |
EventVendor | string | O fornecedor do produto que está a gerar o evento. |
HttpUserAgent | string | Quando a autenticação é efetuada através de HTTP ou HTTPS, o valor deste campo é o cabeçalho HTTP user_agent fornecido pela aplicação em exercício ao efetuar a autenticação. |
_IsBillable | string | Especifica se a ingestão de dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
NewValue | string | O novo valor do Objeto após a operação ter sido executada. |
Objeto | string | O nome do objeto no qual a operação identificada pelo EventType é efetuada. |
ObjectId | string | O nome do objeto no qual a operação identificada pelo EventType é efetuada. |
ObjectType | string | O tipo de Objeto. |
OldValue | string | O valor antigo do Objeto antes da operação. |
Operação | string | A operação foi auditada conforme comunicado pelo dispositivo de relatórios. |
OriginalObjectType | string | O tipo de objeto, conforme comunicado pelo dispositivo de relatórios. |
_ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
RuleName | string | O nome ou ID da regra associada aos resultados da inspeção. |
RuleNumber | int | O número da regra associada aos resultados da inspeção. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
SrcDescription | string | Um texto descritivo associado ao dispositivo de origem. |
SrcDeviceType | string | O tipo do dispositivo de origem. |
SrcDomain | string | O domínio do dispositivo de origem. |
SrcDomainType | string | O tipo de SrcDomain. |
SrcDvcId | string | O ID do dispositivo de origem. |
SrcDvcIdType | string | O tipo de SrcDvcId. |
SrcDvcScope | string | O âmbito da plataforma cloud ao qual o dispositivo de origem pertence. O SrcDvcScope mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
SrcDvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo de origem pertence. O SrcDvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
SrcFQDN | string | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio quando disponível. |
SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
SrcGeoCountry | string | O país associado ao endereço IP de origem. |
SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoRegion | string | A região num país associado ao endereço IP de origem. |
SrcHostname | string | O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. |
SrcIpAddr | string | O endereço IP de origem a partir do qual a ligação ou sessão teve origem. |
SrcOriginalRiskLevel | string | O nível de risco associado à Origem identificada, conforme comunicado pelo dispositivo de relatório. |
SrcPortNumber | int | A porta IP de Origem a partir da qual a ligação teve origem. |
SrcRiskLevel | int | O nível de risco associado à Origem identificada. |
_SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
TargetAppId | string | O ID da aplicação a que o evento se aplica, incluindo um processo, browser ou serviço. |
TargetAppName | string | O nome da aplicação a que se aplica o evento, incluindo um serviço, um URL ou uma aplicação SaaS. |
TargetAppType | string | O tipo de aplicação que autoriza em nome do Ator. |
TargetDescription | string | Um texto descritivo associado ao dispositivo de destino. |
TargetDeviceType | string | O tipo do dispositivo de destino. |
TargetDomain | string | O domínio do dispositivo de destino. |
TargetDomainType | string | O tipo de TargetDomain. |
TargetDvcId | string | O ID do dispositivo de destino. |
TargetDvcIdType | string | O tipo de TargetDvcId. |
TargetDvcOs | string | O SO do dispositivo de destino. |
TargetDvcScope | string | O âmbito da plataforma na cloud ao qual o dispositivo de destino pertence. TargetDvcScope mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
TargetDvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo de destino pertence. TargetDvcScopeId mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
TargetFQDN | string | O nome do anfitrião do dispositivo de destino, incluindo informações de domínio quando disponível. |
TargetGeoCity | string | A cidade associada ao endereço IP de destino. |
TargetGeoCountry | string | O país associado ao endereço IP de destino. |
TargetGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de destino. |
TargetGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de destino. |
TargetGeoRegion | string | A região num país associado ao endereço IP de destino. |
TargetHostname | string | O nome do anfitrião do dispositivo de destino, excluindo as informações de domínio. |
TargetIpAddr | string | O endereço IP de destino a partir do qual a ligação ou sessão teve origem. |
TargetOriginalAppType | string | O tipo de aplicação de destino, conforme comunicado pelo dispositivo de relatórios. |
TargetOriginalRiskLevel | string | O nível de risco associado ao destino, conforme comunicado pelo dispositivo de relatório. |
TargetPortNumber | int | A porta IP de destino a partir da qual a ligação teve origem. |
TargetRiskLevel | int | O nível de risco associado ao destino. |
TargetUrl | string | Um URL associado à aplicação de destino. |
TenantId | string | O ID da área de trabalho do Log Analytics |
ThreatCategory | string | A categoria da ameaça ou software maligno identificado na atividade de auditoria. |
ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatField | string | O campo para o qual foi identificada uma ameaça. |
ThreatFirstReportedTime | datetime | A primeira vez que o endereço IP ou o domínio foram identificados como uma ameaça. |
ThreatId | string | O ID da ameaça ou software maligno identificado na atividade de auditoria. |
ThreatIpAddr | string | Um endereço IP ou Domínio para o qual foi identificada uma ameaça. |
ThreatIsActive | bool | Verdadeiro se a ameaça identificada for considerada uma ameaça ativa. |
ThreatLastReportedTime | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatName | string | O nome da ameaça ou software maligno identificado na atividade de auditoria. |
ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel | string | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
ThreatRiskLevel | int | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
TimeGenerated | datetime | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
Tipo | string | O nome da tabela |
ValueType | string | O tipo de valores antigos e novos. |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários