ASimAuthenticationEventLogs
Таблица событий нормализованной проверки подлинности Microsoft Sentinel. Хранит события, связанные, например, с проверкой подлинности пользователя, входом и выходом.
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | microsoft.securityinsights/authenticationevent |
Категории | Безопасность |
Решения | SecurityInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | - |
Столбцы
Столбец | Type | Описание |
---|---|---|
ActingAppId | строка | Идентификатор приложения, выполняющего авторизацию от имени Actor, включая процесс, браузер или службу. |
ActingAppName | строка | Имя приложения, выполняющего авторизацию от имени Actor, включая процесс, браузер или службу. |
ActingAppType | строка | Тип действующего приложения. |
ActingOriginalAppType | строка | Тип действующего приложения, сообщаемый устройством отчетов. |
ActorOriginalUserType | строка | Тип пользователя, сообщаемый устройством отчетов. |
ActorScope | строка | Область, например клиент Azure AD, в котором определены ActorUserId и ActorUsername. |
ActorScopeId | строка | Идентификатор область, например идентификатор клиента Azure AD, в котором определены ActorUserId и ActorUsername. |
ActorSessionId | строка | Уникальный идентификатор сеанса входа Actor. |
ActorUserId | строка | Машиночитаемое, буквенно-цифровое, уникальное представление субъекта. |
ActorUserIdType | строка | Тип идентификатора, который хранится в поле ActorUserId. |
ActorUsername | строка | Имя пользователя субъекта, включая сведения о домене, если они доступны. |
ActorUsernameType | строка | Определяет тип имени пользователя, которое хранится в поле ActorUsername. |
ActorUserType | строка | Тип Actor. |
AdditionalFields | Динамический | Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставленных источником, которые не сопоставлены с ASim. |
_BilledSize | real | Размер записи в байтах |
DvcAction | строка | Для систем безопасности отчетов — действия, выполняемые системой. |
DvcDescription | строка | Текст описания, связанный с устройством. |
DvcDomain | строка | Домен устройства, сообщающего о событии. |
DvcDomainType | строка | Тип DvcDomain. |
DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
DvcHostname | строка | Имя узла устройства, сообщающего о событии. |
DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
DvcIdType | строка | Тип DvcId. |
DvcInterface | строка | Сетевой интерфейс, в котором были фиксируются данные. |
DvcIpAddr | строка | IP-адрес устройства, сообщающего о событии. |
DvcMacAddr | строка | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. |
DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
DvcOs | строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
DvcOsVersion | строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
DvcScope | строка | Облачная платформа область принадлежит устройству. DvcScope сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
DvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
DvcZone | строка | Сеть, в которой произошло событие или которая сообщила о событии. |
EventCount | INT | Количество событий, описываемых записью. |
EventEndTime | DATETIME | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
EventMessage | строка | Общее сообщение или описание. |
EventOriginalResultDetails | строка | Исходные сведения о результатах, предоставленные источником. |
EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная передающим устройством. |
EventOriginalSubType | строка | Исходный идентификатор или подтип события, если предоставлен источником. |
EventOriginalType | строка | Исходный идентификатор или тип события, если он указан источником. |
EventOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
EventOwner | строка | Владелец события, которое обычно является отделом или дочерним подразделением, в котором оно было создано. |
EventProduct | строка | Продукт, создающий событие. |
EventProductVersion | строка | Версия продукта, создающего событие. |
EventReportUrl | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
EventResult | строка | Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (not applicable). Значение может быть не предоставлено напрямую источниками. В этом случае оно является производным от других полей событий, например поля EventResultDetails. |
EventResultDetails | строка | Сведения, связанные с результатом события. Это поле обычно заполняется, когда результатом является сбой. |
EventSchemaVersion | строка | Номер версии схемы. |
EventSeverity | строка | Серьезность события. Допустимые значения: Информационный, Низкий, Средний или Высокий. |
EventStartTime | DATETIME | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
EventSubType | строка | Тип входа, например System, Interactive, RemoteInteractive, Service, RemoteService, Remote Или AssumeRole. |
EventType | строка | Описывает операцию, сообщаемую записью |
EventVendor | строка | Поставщик продукта, создающего событие. |
HttpUserAgent | строка | Если проверка подлинности выполняется по протоколу HTTP или HTTPS, значение этого поля содержит заголовок HTTP user_agent, предоставленный действующим приложением при выполнении проверки подлинности. |
_IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
LogonMethod | строка | Этот метод используется для проверки подлинности. |
LogonProtocol | строка | Протокол, используемый для проверки подлинности. |
_ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
RuleName | строка | Имя или идентификатор правила, связанного с результатами проверки. |
RuleNumber | INT | Номер правила, связанного с результатами проверки. |
SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
SrcDescription | строка | Описательный текст, связанный с исходным устройством. |
SrcDeviceType | строка | Тип исходного устройства. |
SrcDomain | строка | Домен исходного устройства. |
SrcDomainType | строка | Тип SrcDomain. |
SrcDvcId | строка | Идентификатор исходного устройства. |
SrcDvcIdType | строка | Тип SrcDvcId. |
SrcDvcOs | строка | ОС исходного устройства. |
SrcDvcScope | строка | Облачная платформа, область принадлежит исходное устройство. SrcDvcScope сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
SrcDvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит исходное устройство. SrcDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
SrcFQDN | строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. |
SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
SrcGeoCountry | строка | Страна, связанная с исходным IP-адресом. |
SrcGeoLatitude | real | Географическая широта, связанная с исходным IP-адресом. |
SrcGeoLongitude | real | Географическая долгота, связанная с исходным IP-адресом. |
SrcGeoRegion | строка | Регион в стране, связанный с исходным IP-адресом. |
SrcHostname | строка | Имя узла исходного устройства, включая сведения о домене. |
SrcIpAddr | строка | IP-адрес исходного устройства. |
SrcIsp | строка | Поставщик служб Интернета, используемый исходным устройством для подключения к Интернету. |
SrcOriginalRiskLevel | строка | Уровень риска, ассоциируемый с идентифицированным источником, как сообщается устройством отчетности. |
SrcPortNumber | INT | Порт IP-адреса, с которого было создано подключение. |
SrcRiskLevel | INT | Уровень риска, связанный с идентифицированным источником. |
_SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
TargetAppId | строка | Идентификатор приложения, к которому выполняется попытка доступа, обычно присваивается устройством, передающим сведения. |
TargetAppName | строка | Имя приложения, к которому осуществляется попытка доступа, включая службу, URL-адрес или приложение SaaS. |
TargetAppType | строка | Тип приложения, которое выполняет проверку подлинности от имени Actor. |
Описание целевого объекта | строка | Описательный текст, связанный с целевым устройством. |
TargetDeviceType | строка | Тип целевого устройства. |
TargetDomain | строка | Домен целевого устройства. |
TargetDomainType | строка | Тип TargetDomain. |
TargetDvcId | строка | Идентификатор целевого устройства. |
TargetDvcIdType | строка | Тип TargetDvcId. |
TargetDvcOs | строка | ОС целевого устройства. |
TargetDvcScope | строка | Облачная платформа область, к которой принадлежит целевое устройство. TargetDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
TargetDvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит целевое устройство. TargetDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
TargetFQDN | строка | Имя узла целевого устройства, включая сведения о домене, если они доступны. |
TargetGeoCity | строка | Город, связанный с целевым IP-адресом. |
TargetGeoCountry | строка | Страна, связанная с целевым IP-адресом. |
TargetGeoLatitude | real | Широта географической координаты, связанной с целевым IP-адресом. |
TargetGeoLongitude | real | Долгота географической координаты, связанной с целевым IP-адресом. |
TargetGeoRegion | строка | Регион в стране, связанной с целевым IP-адресом. |
TargetHostname | строка | Имя узла исходного устройства, за исключением сведений о домене. |
TargetIpAddr | строка | IP-адрес целевого устройства. |
TargetOriginalAppType | строка | Тип целевого приложения, сообщаемый устройством отчетов. |
TargetOriginalRiskLevel | строка | Уровень риска, связанный с целевым объектом, как сообщается устройством отчетности. |
TargetOriginalUserType | строка | Тип пользователя, сообщаемый устройством отчетов. |
TargetPortNumber | INT | Порт на целевом устройстве. |
TargetRiskLevel | INT | Уровень риска, связанный с целевым объектом. |
TargetSessionId | строка | Уникальный идентификатор сеанса входа целевого субъекта. |
TargetUrl | строка | URL-адрес, связанный с целевым приложением. |
TargetUserId | строка | Машиночитаемое, буквенно-цифровое, уникальное представление субъекта. |
TargetUserIdType | строка | Тип идентификатора, хранимый в поле TargetUserId. |
TargetUsername | строка | Имя пользователя целевого субъекта, включая сведения о домене, если они доступны. |
TargetUsernameType | строка | Тип имени пользователя целевого субъекта, указанный в поле TargetUsername. |
TargetUserScope | строка | Область, например клиент Azure AD, в котором определены TargetUserId и TargetUsername. |
TargetUserScopeId | строка | Идентификатор область, например идентификатор Azure AD клиента, в котором определены TargetUserId и TargetUsername. |
TargetUserType | строка | Тип целевого субъекта. |
TenantId | строка | Идентификатор рабочей области Log Analytics |
ThreatCategory | строка | Категория угрозы или вредоносного ПО, обнаруженная в действии аудита. |
ThreatConfidence | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
ThreatField | строка | Поле, для которого была обнаружена угроза. |
ThreatFirstReportedTime | DATETIME | Время первого обнаружения угрозы для этого IP-адреса или домена. |
ThreatId | строка | Идентификатор угрозы или вредоносной программы, обнаруженной в действии аудита. |
ThreatIpAddr | строка | IP-адрес, для которого была обнаружена угроза. |
ThreatIsActive | bool | Значение true, если обнаруженная угроза считается активной угрозой. |
ThreatLastReportedTime | DATETIME | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
ThreatName | строка | Имя угрозы или вредоносной программы, обнаруженной в действии аудита. |
ThreatOriginalConfidence | строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
ThreatOriginalRiskLevel | строка | Уровень риска, сообщаемый устройством отчетов. |
ThreatRiskLevel | INT | Уровень риска, связанный с обнаруженной угрозой. Уровень должен быть числом от 0 до 100. |
TimeGenerated | DATETIME | Метка времени (UTC), отражающая время создания события. |
Тип | строка | Имя таблицы. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по