CommonSecurityLog
Esta tabela destina-se à recolha de eventos no Formato de Evento Comum, que são enviados mais frequentemente a partir de diferentes aplicações de segurança, como Check Point, Palo Alto e muito mais.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorias | Segurança |
| Soluções | Segurança, SecurityInsights |
| Registo básico | No |
| Transformação do tempo de ingestão | Yes |
| Consultas de Exemplo | Sim |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| Atividade | string | Uma cadeia que representa uma descrição legível por humanos e compreensível do evento. |
| Extensões Adicionais | string | Um marcador de posição para campos adicionais. Os campos são registados como pares chave-valor. |
| ApplicationProtocol | string | O protocolo utilizado na aplicação, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, entre outros. |
| _BilledSize | real | O tamanho do registo em bytes |
| CollectorHostName | string | O nome do anfitrião do computador recoletor que está a executar o agente. |
| CommunicationDirection | string | Qualquer informação sobre a direção que a comunicação observada tomou. Valores válidos: 0 = Entrada, 1 = Saída. |
| Computador | string | Anfitrião, do Syslog. |
| DestinationDnsDomain | string | A parte DNS do nome de domínio completamente qualificado (FQDN). |
| DestinationHostName | string | O destino a que o evento se refere numa rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó está disponível. Por exemplo: host.domain.com ou anfitrião. |
| DestinationIP | string | O endereço IpV4 de destino a que o evento se refere numa rede IP. |
| DestinationMACAddress | string | O endereço MAC de destino (FQDN). |
| DestinationNTDomain | string | O nome de domínio do Windows do endereço de destino. |
| DestinationPort | int | Porta de destino. Valores válidos: 0 - 65535. |
| DestinationProcessId | int | O ID do processo de destino associado ao evento. |
| DestinationProcessName | string | O nome do processo de destino do evento, como telnetd ou sshd. |
| DestinationServiceName | string | O serviço visado pelo evento. Por exemplo: sshd. |
| DestinationTranslatedAddress | string | Identifica o destino traduzido referido pelo evento numa rede IP, como um endereço IP IPv4. |
| DestinationTranslatedPort | int | Porta após tradução, como uma firewall Números de porta válidos: 0 - 65535. |
| DestinationUserID | string | Identifica o utilizador de destino por ID. Por exemplo: no Unix, o utilizador raiz está geralmente associado ao ID de utilizador 0. |
| DestinationUserName | string | Identifica o utilizador de destino por nome. |
| DestinationUserPrivileges | string | Define os privilégios da utilização de destino. Valores válidos: Admninistrator, Utilizador, Convidado. |
| DeviceAction | string | A ação mencionada no evento. |
| DeviceAddress | string | O endereço IPv4 do dispositivo que está a gerar o evento. |
| DeviceCustomDate1 | string | Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| DeviceCustomDate1Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomDate2 | string | Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| DeviceCustomDate2Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomFloatingPoint1 | real | Um dos quatro campos de vírgula flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint1Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomFloatingPoint2 | real | Um dos quatro campos de vírgula flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint2Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomFloatingPoint3 | real | Um dos quatro campos de vírgula flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint3Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomFloatingPoint4 | real | Um dos quatro campos de vírgula flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint4Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomIPv6Address1 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address1Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomIPv6Address2 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address2Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomIPv6Address3 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address3Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomIPv6Address4 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address4Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomNumber1 | int | Em breve será um campo preterido. Será substituído por FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomNumber2 | int | Em breve será um campo preterido. Será substituído por FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomNumber3 | int | Em breve será um campo preterido. Será substituído por FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomString1 | string | Uma das seis cadeias disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| DeviceCustomString1Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomString2 | string | Uma das seis cadeias disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| DeviceCustomString2Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomString3 | string | Uma das seis cadeias disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| DeviceCustomString3Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomString4 | string | Uma das seis cadeias disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| DeviceCustomString4Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomString5 | string | Uma das seis cadeias disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| DeviceCustomString5Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceCustomString6 | string | Uma das seis cadeias disponíveis para mapear campos que não se aplicam a nenhuma outra neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| DeviceCustomString6Label | string | Todos os campos personalizados têm um campo de etiqueta correspondente. Cada um destes campos é uma cadeia e descreve o objetivo do campo personalizado. |
| DeviceDnsDomain | string | A parte do domínio DNS do nome de domínio completamente qualificado (FQDN). |
| DeviceEventCategory | string | Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos utilizam frequentemente o seu próprio esquema de categorização para classificar o evento. Exemplo: "/Monitor/Disco/Leitura". |
| DeviceEventClassID | string | Cadeia ou número inteiro que serve como um identificador exclusivo por tipo de evento. |
| DeviceExternalID | string | Um nome que identifica exclusivamente o dispositivo que está a gerar o evento. |
| DeviceFacility | string | A instalação que está a gerar o evento. Por exemplo: autenticação ou local1. |
| DeviceInboundInterface | string | A interface na qual o pacote ou os dados entraram no dispositivo. Por exemplo: ethernet1/2. |
| DeviceMacAddress | string | O endereço MAC do dispositivo que está a gerar o evento. |
| DeviceName | string | O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo: host.domain.com ou anfitrião. |
| DeviceNtDomain | string | O domínio do Windows do endereço do dispositivo. |
| DeviceOutboundInterface | string | Interface na qual o pacote ou os dados deixaram o dispositivo. |
| DevicePayloadId | string | Identificador exclusivo do payload associado ao evento. |
| DeviceProduct | string | Cadeia que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| DeviceTimeZone | string | Fuso horário do dispositivo que está a gerar o evento. |
| DeviceTranslatedAddress | string | Identifica o endereço de dispositivo traduzido a que o evento se refere, numa rede IP. O formato é um endereço Ipv4. |
| DeviceVendor | string | Cadeia que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| DeviceVersion | string | Cadeia que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| EndTime | datetime | O momento em que a atividade relacionada com o evento terminou. |
| EventCount | int | Uma contagem associada ao evento, que mostra o número de vezes que o mesmo evento foi observado. |
| EventOutcome | string | Apresenta o resultado, normalmente como "êxito" ou "falha". |
| EventType | int | Tipo de evento. Os valores dos valores incluem: 0: evento base, 1: agregado, 2: evento de correlação, 3: evento de ação. Nota: este evento pode ser omitido para eventos de base. |
| ExternalID | int | Em breve será um campo preterido. Será substituído pelo ExtID. |
| ExtID | string | Um ID utilizado pelo dispositivo de origem (substituirá o ExternalID legado). Normalmente, estes valores têm valores crescentes que estão associados a um evento. |
| FieldDeviceCustomNumber1 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber1 legado). Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| FieldDeviceCustomNumber2 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber2 legado). Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| FieldDeviceCustomNumber3 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber3 legado). Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. |
| FileCreateTime | string | Hora em que o ficheiro foi criado. |
| FileHash | string | Hash de um ficheiro. |
| FileID | string | Um ID associado a um ficheiro, como o inode. |
| FileModificationTime | string | Hora da última modificação do ficheiro. |
| Nomedo Ficheiro | string | O nome do ficheiro, sem o caminho. |
| FilePath | string | Caminho completo para o ficheiro, incluindo o nome do ficheiro. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| FilePermission | string | As permissões do ficheiro. Por exemplo: "2,1,1". |
| Tamanho do Ficheiro | int | O tamanho do ficheiro em bytes. |
| Tipo de Ficheiro | string | Tipo de ficheiro, como pipe, socket, etc. |
| FlexDate1 | string | Um campo de carimbo de data/hora disponível para mapear um carimbo de data/hora que não se aplica a nenhum outro campo de carimbo de data/hora definido neste dicionário. Utilize todos os campos flex com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. Normalmente, estes campos são reservados para utilização pelo cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexDate1Label | string | O campo de etiqueta é uma cadeia e descreve a finalidade do campo flex. |
| FlexNumber1 | int | Campos numéricos disponíveis para mapear dados int que não se aplicam a qualquer outro campo neste dicionário. |
| FlexNumber1Label | string | A etiqueta que descreve o valor em FlexNumber1 |
| FlexNumber2 | int | Campos numéricos disponíveis para mapear dados int que não se aplicam a qualquer outro campo neste dicionário. |
| FlexNumber2Label | string | A etiqueta que descreve o valor em FlexNumber2 |
| FlexString1 | string | Um dos quatro campos de vírgula flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. Normalmente, estes campos são reservados para utilização pelo cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexString1Label | string | O campo de etiqueta é uma cadeia e descreve a finalidade do campo flex. |
| FlexString2 | string | Um dos quatro campos de vírgula flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Utilize com moderação e procure um campo fornecido de dicionário mais específico sempre que possível. Normalmente, estes campos são reservados para utilização pelo cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexString2Label | string | O campo de etiqueta é uma cadeia e descreve o objetivo do campo flex. |
| IndicatorThreatType | string | O tipo de ameaça do MaliciousIP de acordo com o nosso feed TI. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| LogSeverity | string | Uma cadeia ou número inteiro que descreva a importância do evento. Valores de cadeia válidos: Desconhecido, Baixo, Médio, Alto, Very-High Valores inteiros válidos são: 0-3 = Baixo, 4-6 = Médio, 7-8 = Alto, 9-10 = Muito Alto. |
| MaliciousIP | string | Se um dos IP na mensagem estiver correlacionado com o feed TI atual que temos, este será apresentado aqui. |
| MaliciousIPCountry | string | O país do MaliciousIP de acordo com as informações GEO no momento da ingestão de registos. |
| MaliciousIPLatitude | real | A Latitude do MaliciousIP de acordo com as informações GEO no momento da ingestão de registos. |
| MaliciousIPLongitude | real | A Longitude do MaliciousIP de acordo com as informações GEO no momento da ingestão de registos. |
| Mensagem | string | Uma mensagem que fornece mais detalhes sobre o evento. |
| OldFileCreateTime | string | Hora em que o ficheiro antigo foi criado. |
| OldFileHash | string | Hash do ficheiro antigo. |
| OldFileID | string | E ID associado ao ficheiro antigo, como o inode. |
| OldFileModificationTime | string | Hora em que o ficheiro antigo foi modificado pela última vez. |
| OldFileName | string | Nome do ficheiro antigo. |
| OldFilePath | string | Caminho completo para o ficheiro antigo, incluindo o nome do ficheiro. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| OldFilePermission | string | Permissões do ficheiro antigo. Por exemplo: "2,1,1". |
| OldFileSize | int | O tamanho do ficheiro antigo em bytes. |
| OldFileType | string | Tipo de ficheiro do ficheiro antigo, como um pipe, socket e assim sucessivamente. |
| OriginalLogSeverity | string | Uma versão não mapeada do LogSeverity. Por exemplo: Aviso/Crítico/Informações em vez do Nível Baixo/Médio/Alto normalizado no Campo LogSeverity |
| ProcessID | int | Define o ID do processo no dispositivo que está a gerar o evento. |
| ProcessName | string | Nome do processo associado ao evento. Por exemplo: no UNIX, o processo que gera a entrada syslog. |
| Protocolo | string | Protocolo de transporte que identifica o protocolo Layer-4 utilizado. Os valores possíveis incluem nomes de protocolos, como TCP ou UDP. |
| Razão | string | O motivo pelo qual foi gerado um evento de auditoria. Por exemplo, "palavra-passe incorreta" ou "utilizador desconhecido". Também pode ser um erro ou um código de retorno. Exemplo: "0x1234". |
| ReceiptTime | string | O momento em que o evento relacionado com a atividade foi recebido. Diferente, em seguida, o campo "Timegenerated", que é quando o evento foi recebido no computador recoletor de registos. |
| ReceivedBytes | long | Número de bytes transferidos de entrada. |
| RemoteIP | string | O endereço IP remoto, derivado do valor de direção do evento, se possível. |
| RemotePort | string | A porta remota, derivada do valor de direção do evento, se possível. |
| ReportReferenceLink | string | Ligação para o relatório do feed TI. |
| RequestClientApplication | string | O agente de utilizador associado ao pedido. |
| RequestContext | string | Descreve o conteúdo a partir do qual o pedido teve origem, como o Referenciador HTTP. |
| RequestCookies | string | Cookies associados ao pedido. |
| RequestMethod | string | O método utilizado para aceder a um URL. Os valores válidos incluem métodos como POST, GET, etc. |
| RequestURL | string | O URL acedido para um pedido HTTP, incluindo o protocolo. Por exemplo: http://www/secure.com. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
| SentBytes | long | Número de bytes transferidos de saída. |
| SimplifiedDeviceAction | string | Uma versão mapeada de DeviceAction, como Negação Negada > . |
| SourceDnsDomain | string | A parte do domínio DNS do FQDN completo. |
| SourceHostName | string | Identifica a origem a que o evento se refere numa rede IP. O formato deve ser um nome de domínio completamente qualificado (DQDN) associado ao nó de origem, quando um nó está disponível. Por exemplo: anfitrião ou host.domain.com. |
| SourceIP | string | A origem a que um evento se refere numa rede IP, como um endereço IPv4. |
| SourceMACAddress | string | Endereço MAC de origem. |
| SourceNTDomain | string | O nome de domínio do Windows para o endereço de origem. |
| SourcePort | int | O número da porta de origem. Os números de porta válidos são 0 - 65535. |
| SourceProcessId | int | O ID do processo de origem associado ao evento. |
| SourceProcessName | string | O nome do processo de origem do evento. |
| SourceServiceName | string | O serviço responsável por gerar o evento. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| SourceTranslatedAddress | string | Identifica a origem traduzida a que o evento se refere numa rede IP. |
| SourceTranslatedPort | int | Porta de origem após a tradução, como uma firewall. Os números de porta válidos são 0 - 65535. |
| SourceUserID | string | Identifica o utilizador de origem por ID. |
| SourceUserName | string | Identifica o utilizador de origem por nome. Email endereços também são mapeados para os campos Nome de Utilizador. O remetente é um candidato a colocar neste campo. |
| SourceUserPrivileges | string | Os privilégios do utilizador de origem. Os valores válidos incluem: Administrador, Utilizador, Convidado. |
| StartTime | datetime | A hora em que a atividade a que o evento se refere foi iniciada. |
| _SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| ThreatConfidence | string | A confiança da ameaça do MaliciousIP de acordo com o nosso feed ti. |
| ThreatDescription | string | A descrição da ameaça do MaliciousIP de acordo com o nosso feed ti. |
| ThreatSeverity | int | A gravidade da ameaça do MaliciousIP de acordo com o nosso feed ti no momento da ingestão de registos. |
| TimeGenerated | datetime | Tempo de recolha de eventos em UTC. |
| Tipo | string | O nome da tabela |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários