ASimAuthenticationEventLogs
Tabell över normaliserade autentiseringshändelser i Microsoft Sentinel. Lagrar händelser som är kopplade till till exempel användarautentisering, inloggning och utloggning.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/authenticationevent |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| ActingAppId | sträng | ID:t för programmet som auktoriserar för aktörens räkning, inklusive en process, webbläsare eller tjänst. |
| ActingAppName | sträng | Namnet på programmet som auktoriseras för aktörens räkning, inklusive en process, webbläsare eller tjänst. |
| ActingAppType | sträng | Typ av verkande program. |
| ActingOriginalAppType | sträng | Den tillförordnade programtypen som rapporteras av rapporteringsenheten. |
| ActorOriginalUserType | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| ActorScope | sträng | Omfånget, till exempel Azure AD klientorganisation, där ActorUserId och ActorUsername definieras. |
| ActorScopeId | sträng | Omfångs-ID, till exempel Azure AD klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
| ActorSessionId | sträng | Det unika ID:t för aktörens inloggningssession. |
| ActorUserId | sträng | En maskinläsbar, alfanumerisk och unik representation av aktören. |
| ActorUserIdType | sträng | Typen av ID som lagras i fältet ActorUserId. |
| ActorUsername | sträng | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
| ActorUsernameType | sträng | Anger typen av användarnamn som lagras i fältet ActorUsername. |
| ActorUserType | sträng | Typen av aktör. |
| AdditionalFields | dynamisk | Ytterligare information som representeras med nyckel/värde-par som tillhandahålls av källan och som inte mappas till ASim. |
| _BilledSize | real | Poststorleken i byte |
| DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtagits av systemet. |
| DvcDescription | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. |
| DvcFQDN | sträng | Värdnamnet för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Unikt ID för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet där data hämtades. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
| EventCount | int | Antalet händelser som beskrivs av posten. |
| EventEndTime | datetime | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten kan det här fältet vara alias för fältet TimeGenerated. |
| EventMessage | sträng | Ett allmänt meddelande eller en beskrivning. |
| EventOriginalResultDetails | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
| EventOriginalSubType | sträng | Den ursprungliga händelseundertypen eller ID:t om den tillhandahålls av källan. |
| EventOriginalType | sträng | Den ursprungliga händelsetypen eller ID:t om den tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
| EventOwner | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Den produkt som genererar händelsen. |
| EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
| EventReportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| EventResult | sträng | Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte tillhandahålls direkt av källorna, i så fall härleds det från andra händelsefält, till exempel fältet EventResultDetails. |
| EventResultDetails | sträng | Informationen som är associerad med händelseresultatet. Det här fältet fylls vanligtvis i när resultatet är ett fel. |
| EventSchemaVersion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Allvarlighetsgraden för händelsen. Giltiga värden är: Informational, Låg, Medel eller Hög. |
| EventStartTime | datetime | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten kan det här fältet vara alias för fältet TimeGenerated. |
| EventSubType | sträng | Inloggningstypen till exempel System, Interaktiv, RemoteInteractive, Service, RemoteService, Remote eller AssumeRole. |
| Eventtype | sträng | Beskriver åtgärden som rapporterats av posten |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| HttpUserAgent | sträng | När autentiseringen utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvud som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| LogonMethod | sträng | Den metod som används för att utföra autentisering. |
| LogonProtocol | sträng | Det protokoll som används för att utföra autentisering. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| RuleName | sträng | Namnet eller ID:t för regeln som är associerad med inspektionsresultatet. |
| RuleNumber | int | Numret på regeln som är associerad med inspektionsresultatet. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcDescription | sträng | En beskrivande text som är associerad med källenheten. |
| SrcDeviceType | sträng | Typ av källenhet. |
| SrcDomain | sträng | Källenhetens domän. |
| SrcDomainType | sträng | Typen av SrcDomain. |
| SrcDvcId | sträng | Källenhetens ID. |
| SrcDvcIdType | sträng | Typen av SrcDvcId. |
| SrcDvcOs | sträng | Källenhetens operativsystem. |
| SrcDvcScope | sträng | Molnplattformsomfånget som källenheten tillhör. SrcDvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som källenheten tillhör. SrcDvcScopeId mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| SrcFQDN | sträng | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Orten som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
| SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. |
| SrcIpAddr | sträng | Källenhetens IP-adress. |
| SrcIsp | sträng | Internetleverantören (ISP) som används av källenheten för att ansluta till Internet. |
| SrcOriginalRiskLevel | sträng | Den risknivå som associeras med den identifierade källan enligt rapporteringsenheten. |
| SrcPortNumber | int | IP-porten som anslutningen kommer från. |
| SrcRiskLevel | int | Den risknivå som är associerad med den identifierade källan. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| TargetAppId | sträng | ID:t för det program som auktoriseringen krävs till, som ofta tilldelas av rapporteringsenheten. |
| TargetAppName | sträng | Namnet på det program som auktoriseringen krävs för, inklusive en tjänst, en URL eller ett SaaS-program. |
| TargetAppType | sträng | Den typ av program som auktoriseras för aktörens räkning. |
| TargetDescription | sträng | En beskrivande text som är associerad med målenheten. |
| TargetDeviceType | sträng | Målenhetens typ. |
| TargetDomain | sträng | Målenhetens domän. |
| TargetDomainType | sträng | Typ av TargetDomain. |
| TargetDvcId | sträng | Målenhetens ID. |
| TargetDvcIdType | sträng | Typ av TargetDvcId. |
| TargetDvcOs | sträng | Målenhetens operativsystem. |
| TargetDvcScope | sträng | Molnplattformsomfånget som målenheten tillhör. TargetDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetDvcScopeId | sträng | Molnplattformens omfångs-ID som målenheten tillhör. TargetDvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetFQDN | sträng | Målenhetens värdnamn, inklusive domäninformation när det är tillgängligt. |
| TargetGeoCity | sträng | Den stad som är associerad med mål-IP-adressen. |
| TargetGeoCountry | sträng | Det land som är associerat med mål-IP-adressen. |
| TargetGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med mål-IP-adressen. |
| TargetGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med målets IP-adress. |
| TargetGeoRegion | sträng | Regionen i ett land som är associerat med mål-IP-adressen. |
| TargetHostname | sträng | Målenhetens värdnamn, exklusive domäninformation. |
| TargetIpAddr | sträng | MÅLenhetens IP-adress. |
| TargetOriginalAppType | sträng | Målprogramtypen som rapporteras av rapporteringsenheten. |
| TargetOriginalRiskLevel | sträng | Den risknivå som är associerad med målet, enligt rapporteringsenhetens rapporter. |
| TargetOriginalUserType | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| TargetPortNumber | int | Målenhetens port. |
| TargetRiskLevel | int | Risknivån som är associerad med målet. |
| TargetSessionId | sträng | Det unika ID:t för inloggningssessionen för målskådespelaren. |
| TargetUrl | sträng | En URL som är associerad med målprogrammet. |
| TargetUserId | sträng | En maskinläsbar, alfanumerisk och unik representation av aktören. |
| TargetUserIdType | sträng | Typen av ID som lagras i fältet TargetUserId. |
| TargetUsername | sträng | Målskådespelarens användarnamn, inklusive domäninformation när det är tillgängligt. |
| TargetUsernameType | sträng | Typen av målskådespelarens användarnamn som anges i fältet TargetUsername |
| TargetUserScope | sträng | Omfånget, till exempel Azure AD klientorganisation, där TargetUserId och TargetUsername definieras. |
| TargetUserScopeId | sträng | Omfångs-ID:t, till exempel Azure AD klientorganisations-ID, där TargetUserId och TargetUsername definieras. |
| TargetUserType | sträng | Typen av målskådespelare. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| ThreatCategory | sträng | Kategorin för det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatConfidence | int | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Det fält som ett hot identifierades för. |
| ThreatFirstReportedTime | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatIpAddr | sträng | En IP-adress för vilken ett hot har identifierats. |
| ThreatIsActive | boolesk | Sant om det identifierade hotet anses vara ett aktivt hot. |
| ThreatLastReportedTime | datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatOriginalConfidence | sträng | Den ursprungliga konfidensnivån för det hot som identifierats, enligt rapporteringsenhetens rapportering. |
| ThreatOriginalRiskLevel | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatRiskLevel | int | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| TimeGenerated | datetime | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för