ASimFileEventLogs
O esquema de normalização do Evento de Ficheiros do Modelo de Informação de Segurança Avançada (ASIM) descreve a atividade de ficheiros, como criar, modificar ou eliminar ficheiros ou documentos.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/asimtables |
Categorias | Segurança |
Soluções | SecurityInsights |
Registo básico | No |
Transformação em tempo de ingestão | Yes |
Consultas de Exemplo | - |
Colunas
Coluna | Tipo | Description |
---|---|---|
ActingProcessCommandLine | string | A linha de comandos utilizada para executar o processo de ação. |
ActingProcessGuid | string | Um identificador exclusivo gerado (GUID) do processo de ação. |
ActingProcessId | string | O ID do processo (PID) do processo de ação. |
ActingProcessName | string | O nome do processo de representação. |
ActorOriginalUserType | string | O tipo de utilizador de ator original, conforme fornecido pelo dispositivo de relatório. |
ActorScope | string | O âmbito, como Azure AD inquilino, no qual ActorUserId e ActorUsername são definidos. |
ActorScopeId | string | O ID de âmbito, como Azure AD ID do Diretório, no qual ActorUserId e ActorUsername são definidos. |
ActorSessionId | string | O ID exclusivo da sessão de início de sessão do Ator. |
ActorUserAadId | string | O ID do Azure Active Directory do ator. |
ActorUserId | string | Uma representação única, alfanumérica e legível por computador do ator. |
ActorUserIdType | string | O tipo do ID armazenado no campo ActorUserId. |
ActorUsername | string | O nome de utilizador do Ator, incluindo informações de domínio quando disponíveis. |
ActorUsernameType | string | Especifica o tipo de nome de utilizador armazenado no campo ActorUsername. |
ActorUserSid | string | O ID de utilizador (SIDs) do Windows do ator. |
ActorUserType | string | O tipo de ator. |
Campos Adicionais | dynamic | Informações adicionais, representadas através de pares chave/valor fornecidos pela origem que não mapeiam para o ASim. |
_BilledSize | real | O tamanho do registo em bytes |
DvcAction | string | A ação tomada na sessão Web. |
DvcDescription | string | Um texto descritivo associado ao dispositivo. |
DvcDomain | string | O domínio do dispositivo que reporta o evento. |
DvcDomainType | string | O tipo de DvcDomain. Os valores válidos incluem "Windows" e "FQDN". |
DvcFQDN | string | O nome do anfitrião do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
DvcHostname | string | O nome do anfitrião do dispositivo que reporta o evento. |
DvcId | string | O ID exclusivo do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
DvcIdType | string | O tipo de DvcId. |
DvcInterface | string | O DvcAction original, conforme fornecido pelo dispositivo de relatórios. |
DvcIpAddr | string | O endereço IP do dispositivo que reporta o evento. |
DvcMacAddr | string | O endereço MAC do dispositivo no qual ocorreu o evento ou que reportou o evento. |
DvcOriginalAction | string | O DvcAction original, conforme fornecido pelo dispositivo de relatórios. |
DvcOs | string | O sistema operativo em execução no dispositivo no qual ocorreu o evento ou que reportou o evento. |
DvcOsVersion | string | A versão do sistema operativo no dispositivo no qual ocorreu o evento ou que reportou o evento. |
DvcScope | string | O âmbito da plataforma cloud a que o dispositivo pertence. O DvcScope mapeia para um nome de subscrição no Azure e para um ID de conta no AWS. |
DvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo pertence. O DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
DvcZone | string | A rede na qual ocorreu o evento ou que reportou o evento, dependendo do esquema. |
EventCount | int | Este valor é utilizado quando a origem suporta agregação e um único registo pode representar vários eventos. |
EventEndTime | datetime | A hora em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
EventMessage | string | Uma mensagem ou descrição geral. |
EventOriginalResultDetails | string | Os detalhes originais do resultado fornecidos pela origem. Este valor é utilizado para derivar EventResultDetails, que deve ter apenas um dos valores documentados para cada esquema. |
EventOriginalSeverity | string | A gravidade original, conforme fornecido pelo dispositivo de relatórios. Este valor é utilizado para derivar EventSeverity. |
EventOriginalSubType | string | O subtipo ou ID de evento original, se fornecido pela origem. Por exemplo, este campo será utilizado para armazenar o tipo de início de sessão original do Windows. Este valor é utilizado para derivar EventSubType, que deve ter apenas um dos valores documentados para cada esquema. |
EventOriginalType | string | O tipo de evento ou ID original, se fornecido pela origem. |
EventOriginalUid | string | Um ID exclusivo do registo original, se fornecido pela origem. |
EventOwner | string | O proprietário do evento, que é normalmente o departamento ou subsidiária em que foi gerado. |
EventProduct | string | O produto que está a gerar o evento. |
EventProductVersion | string | A versão do produto que está a gerar o evento. |
EventReportUrl | string | Um URL fornecido no evento para um recurso que fornece mais informações sobre o evento. |
EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas origens, caso em que é derivado de outros campos de eventos, por exemplo, o campo EventResultDetails. |
EventResultDetails | string | O código de estado HTTP. |
EventSchema | string | O esquema ao que o evento está normalizado. Cada esquema documenta o respetivo nome de esquema. |
EventSchemaVersion | string | A versão do esquema. |
EventSeverity | string | A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
EventStartTime | datetime | A hora em que o evento foi iniciado. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
EventSubType | string | Descrição adicional do tipo de evento, se aplicável. |
EventType | string | A operação comunicada pelo registo. |
EventVendor | string | O fornecedor do produto que está a gerar o evento. |
HashType | string | O tipo de hash armazenado no campo Alias hash. |
HttpUserAgent | string | Quando a operação é iniciada com HTTP ou HTTPS, o cabeçalho do agente de utilizador HTTP. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
NetworkApplicationProtocol | string | Quando a operação é iniciada por um sistema remoto, o protocolo de camada de aplicação utilizado pela ligação ou sessão. |
_ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
RuleName | string | O nome ou ID da regra associado aos resultados da inspeção. |
RuleNumber | int | O número da regra associada aos resultados da inspeção. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
SrcDescription | string | Um texto descritivo associado ao dispositivo. |
SrcDeviceType | string | O tipo do dispositivo de origem. |
SrcDomain | string | O domínio do dispositivo de origem. |
SrcDomainType | string | O tipo de SrcDomain. |
SrcDvcId | string | O ID do dispositivo de origem. |
SrcDvcIdType | string | O tipo de SrcDvcId. |
SrcDvcScope | string | O âmbito da plataforma cloud a que o dispositivo pertence. |
SrcDvcScopeId | string | O ID de âmbito da plataforma cloud ao qual o dispositivo pertence. |
SrcFileCreationTime | datetime | O momento em que o ficheiro de origem foi criado. |
SrcFileDirectory | string | A pasta ou localização do ficheiro de origem. |
SrcFileExtension | string | A extensão do ficheiro de origem. |
SrcFileMD5 | string | O hash MD5 do ficheiro de origem. |
SrcFileMimeType | string | O tipo Mime ou Multimédia do ficheiro de origem. |
SrcFileName | string | O nome do ficheiro de origem, sem um caminho ou uma localização, mas com uma extensão, se relevante. |
SrcFilePath | string | O caminho completo e normalizado do ficheiro de origem, incluindo a pasta ou localização, o nome do ficheiro e a extensão. |
SrcFilePathType | string | O tipo de SrcFilePath. |
SrcFileSHA1 | string | O hash SHA-1 do ficheiro de origem. |
SrcFileSHA256 | string | O hash SHA-256 do ficheiro de origem. |
SrcFileSHA512 | string | O hash SHA-512 do ficheiro de origem. |
SrcFileSize | long | O tamanho do ficheiro de origem em bytes. |
SrcFQDN | string | O nome do anfitrião do dispositivo de origem, incluindo informações de domínio quando disponível. |
SrcGeoCity | string | A cidade associada ao endereço IP de origem. |
SrcGeoCountry | string | O país associado ao endereço IP de origem. |
SrcGeoLatitude | real | A latitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoLongitude | real | A longitude da coordenada geográfica associada ao endereço IP de origem. |
SrcGeoRegion | string | A região num país associado ao endereço IP de origem. |
SrcHostname | string | O nome do anfitrião do dispositivo de origem, excluindo as informações de domínio. Se não estiver disponível nenhum nome de dispositivo, armazene o endereço IP relevante neste campo. |
SrcIpAddr | string | Quando a operação é iniciada por um sistema remoto, o endereço IP deste sistema. |
SrcMacAddr | string | O endereço MAC do dispositivo de origem. |
SrcOriginalRiskLevel | string | O nível de risco associado à origem. Conforme comunicado pelo dispositivo de relatório ou melhorado. |
SrcPortNumber | int | Quando a operação é iniciada por um sistema remoto, o número de porta a partir do qual a ligação foi iniciada. |
SrcRiskLevel | int | O nível de risco associado à origem. |
_SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
TargetAppId | string | O ID da aplicação de destino, conforme comunicado pelo dispositivo de relatório. |
TargetAppName | string | O nome da aplicação de destino. |
TargetAppType | string | O tipo da aplicação de destino. |
TargetFileCreationTime | datetime | O momento em que o ficheiro de destino foi criado. |
TargetFileDirectory | string | A pasta ou localização do ficheiro de destino. |
TargetFileExtension | string | A extensão de ficheiro de destino. |
TargetFileMD5 | string | O hash MD5 do ficheiro de destino. |
TargetFileMimeType | string | O tipo Mime ou Multimédia do ficheiro de destino. |
TargetFileName | string | O nome do ficheiro de destino, sem um caminho ou uma localização, mas com uma extensão, se relevante. |
TargetFilePath | string | O caminho completo e normalizado do ficheiro de destino, incluindo a pasta ou localização, o nome do ficheiro e a extensão. |
TargetFilePathType | string | O tipo de TargetFilePath. |
TargetFileSHA1 | string | O hash SHA-1 do ficheiro de destino. |
TargetFileSHA256 | string | O hash SHA-256 do ficheiro de destino. |
TargetFileSHA512 | string | O hash SHA-512 do ficheiro de origem. |
TargetFileSize | long | O tamanho do ficheiro de destino em bytes. |
TargetOriginalAppType | string | O tipo de aplicação de destino, conforme comunicado pelo dispositivo de relatórios. |
TargetUrl | string | Quando a operação é iniciada com HTTP ou HTTPS, o URL utilizado. |
TenantId | string | O ID da área de trabalho do Log Analytics |
ThreatCategory | string | A categoria da ameaça ou software maligno identificado na atividade do ficheiro. |
ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatField | string | O campo para o qual foi identificada uma ameaça. O valor é SrcFilePath ou DstFilePath. |
ThreatFilePath | string | Um caminho de ficheiro para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatFilePath representa. |
ThreatFirstReportedTime | datetime | A primeira vez que o endereço IP ou o domínio foram identificados como uma ameaça. |
ThreatId | string | O ID da ameaça ou software maligno identificado na atividade do ficheiro. |
ThreatIsActive | bool | ID verdadeiro a ameaça identificada é considerada uma ameaça ativa. |
ThreatLastReportedTime | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatName | string | O nome da ameaça ou software maligno identificado na atividade do ficheiro. |
ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificado, conforme comunicado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel | string | O nível de risco, conforme comunicado pelo dispositivo de relatório. |
ThreatRiskLevel | int | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
TimeGenerated | datetime | O carimbo de data/hora que reflete a hora em que o evento foi gerado. |
Tipo | string | O nome da tabela |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários