ASimFileEventLogs
Asim-filhändelsenormaliseringsschemat (Advanced Security Information Model) beskriver filaktivitet som att skapa, ändra eller ta bort filer eller dokument.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/asimtables |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| ActingProcessCommandLine | sträng | Kommandoraden som används för att köra agerarprocessen. |
| ActingProcessGuid | sträng | En genererad unik identifierare (GUID) för den tillförordnade processen. |
| ActingProcessId | sträng | Process-ID (PID) för den tillförordnade processen. |
| ActingProcessName | sträng | Namnet på den tillförordnade processen. |
| ActorOriginalUserType | sträng | Den ursprungliga aktörsanvändartypen som tillhandahålls av rapporteringsenheten. |
| ActorScope | sträng | Omfånget, till exempel Azure AD klientorganisation, där ActorUserId och ActorUsername definieras. |
| ActorScopeId | sträng | Omfångs-ID, till exempel Azure AD Katalog-ID, där ActorUserId och ActorUsername definieras. |
| ActorSessionId | sträng | Det unika ID:t för aktörens inloggningssession. |
| ActorUserAadId | sträng | Aktörens Azure Active Directory-ID. |
| ActorUserId | sträng | En maskinläsbar, alfanumerisk och unik representation av aktören. |
| ActorUserIdType | sträng | Typen av ID som lagras i fältet ActorUserId. |
| ActorUsername | sträng | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
| ActorUsernameType | sträng | Anger typen av användarnamn som lagras i fältet ActorUsername. |
| ActorUserSid | sträng | Windows användar-ID (SID) för aktören. |
| ActorUserType | sträng | Typ av aktör. |
| AdditionalFields | dynamisk | Ytterligare information som representeras med nyckel/värde-par som tillhandahålls av källan och som inte mappas till ASim. |
| _BilledSize | real | Poststorleken i byte |
| DvcAction | sträng | Den åtgärd som vidtagits på webbsessionen. |
| DvcDescription | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. Giltiga värden är "Windows" och "FQDN". |
| DvcFQDN | sträng | Värdnamnet för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Unikt ID för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerationsnamn på Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| EventCount | int | Det här värdet används när källan stöder aggregering och en enda post kan representera flera händelser. |
| EventEndTime | datetime | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte anges av källposten kan det här fältet ange fältet TimeGenerated som alias. |
| EventMessage | sträng | Ett allmänt meddelande eller en beskrivning. |
| EventOriginalResultDetails | sträng | Den ursprungliga resultatinformationen från källan. Det här värdet används för att härleda EventResultDetails, som endast ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| EventOriginalSubType | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra den ursprungliga Windows-inloggningstypen. Det här värdet används för att härleda EventSubType, som endast ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalType | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
| EventOwner | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
| EventReportUrl | sträng | En URL som anges i händelsen för en resurs som innehåller mer information om händelsen. |
| EventResult | sträng | Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte anges direkt av källorna, i så fall härleds det från andra händelsefält, till exempel fältet EventResultDetails. |
| EventResultDetails | sträng | HTTP-statuskoden. |
| EventSchema | sträng | Schemat som händelsen normaliseras till. Varje schema dokumenterar sitt schemanamn. |
| EventSchemaVersion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| EventStartTime | datetime | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte anges av källposten kan det här fältet ange fältet TimeGenerated som alias. |
| EventSubType | sträng | Ytterligare beskrivning av händelsetypen, om tillämpligt. |
| Eventtype | sträng | Åtgärden som rapporterats av posten. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| HashType | sträng | Den typ av hash som lagras i fältet Hash-alias. |
| HttpUserAgent | sträng | När åtgärden initieras med HTTP eller HTTPS, http-användaragentens huvud. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| NetworkApplicationProtocol | sträng | När åtgärden initieras av ett fjärrsystem används det protokoll på programnivå som används av anslutningen eller sessionen. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| RuleName | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
| RuleNumber | int | Numret på regeln som är associerad med inspektionsresultatet. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcDescription | sträng | En beskrivande text som är associerad med enheten. |
| SrcDeviceType | sträng | Typ av källenhet. |
| SrcDomain | sträng | Källenhetens domän. |
| SrcDomainType | sträng | Typen av SrcDomain. |
| SrcDvcId | sträng | Källenhetens ID. |
| SrcDvcIdType | sträng | Typen av SrcDvcId. |
| SrcDvcScope | sträng | Molnplattformsomfånget som enheten tillhör. |
| SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. |
| SrcFileCreationTime | datetime | Tidpunkten då källfilen skapades. |
| SrcFileDirectory | sträng | Källfilens mapp eller plats. |
| SrcFileExtension | sträng | Källfilstillägget. |
| SrcFileMD5 | sträng | MD5-hashen för källfilen. |
| SrcFileMimeType | sträng | Mime- eller Media-typen för källfilen. |
| SrcFileName | sträng | Namnet på källfilen, utan sökväg eller plats, men med ett tillägg om det är relevant. |
| SrcFilePath | sträng | Den fullständiga, normaliserade sökvägen till källfilen, inklusive mappen eller platsen, filnamnet och tillägget. |
| SrcFilePathType | sträng | Typen av SrcFilePath. |
| SrcFileSHA1 | sträng | SHA-1-hashen för källfilen. |
| SrcFileSHA256 | sträng | SHA-256-hashen för källfilen. |
| SrcFileSHA512 | sträng | SHA-512-hashen för källfilen. |
| SrcFileSize | long | Storleken på källfilen i byte. |
| SrcFQDN | sträng | Källenhetens värdnamn, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Orten som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | real | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude | real | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
| SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. |
| SrcIpAddr | sträng | När åtgärden initieras av ett fjärrsystem, ip-adressen för det här systemet. |
| SrcMacAddr | sträng | MAC-adressen för källenheten. |
| SrcOriginalRiskLevel | sträng | Den risknivå som är associerad med källan. Som rapporterats av rapporteringsenheten eller berikad. |
| SrcPortNumber | int | När åtgärden initieras av ett fjärrsystem, portnumret som anslutningen initierades från. |
| SrcRiskLevel | int | Den risknivå som är associerad med källan. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| TargetAppId | sträng | ID:t för målprogrammet enligt rapporteringsenhetens rapporteringsenhet. |
| TargetAppName | sträng | Namnet på målprogrammet. |
| TargetAppType | sträng | Typ av målprogram. |
| TargetFileCreationTime | datetime | Tiden då målfilen skapades. |
| TargetFileDirectory | sträng | Målfilmappen eller platsen. |
| TargetFileExtension | sträng | Målfiltillägget. |
| TargetFileMD5 | sträng | MD5-hashen för målfilen. |
| TargetFileMimeType | sträng | Mime- eller Media-typen för målfilen. |
| TargetFileName | sträng | Namnet på målfilen, utan sökväg eller plats, men med ett tillägg om det är relevant. |
| TargetFilePath | sträng | Den fullständiga, normaliserade sökvägen för målfilen, inklusive mappen eller platsen, filnamnet och tillägget. |
| TargetFilePathType | sträng | Typ av TargetFilePath. |
| TargetFileSHA1 | sträng | SHA-1-hashen för målfilen. |
| TargetFileSHA256 | sträng | SHA-256-hashen för målfilen. |
| TargetFileSHA512 | sträng | SHA-512-hashen för källfilen. |
| TargetFileSize | long | Målfilens storlek i byte. |
| TargetOriginalAppType | sträng | Målprogramtypen som rapporteras av rapporteringsenheten. |
| TargetUrl | sträng | När åtgärden initieras med HTTP eller HTTPS används URL:en. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| ThreatCategory | sträng | Kategorin för det hot eller den skadliga kod som identifieras i filaktiviteten. |
| ThreatConfidence | int | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Det fält som ett hot identifierades för. Värdet är antingen SrcFilePath eller DstFilePath. |
| ThreatFilePath | sträng | En filsökväg som ett hot har identifierats för. Fältet ThreatField innehåller namnet på fältet ThreatFilePath representerar. |
| ThreatFirstReportedTime | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i filaktiviteten. |
| ThreatIsActive | boolesk | Sant ID som det identifierade hotet betraktas som ett aktivt hot. |
| ThreatLastReportedTime | datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifieras i filaktiviteten. |
| ThreatOriginalConfidence | sträng | Den ursprungliga konfidensnivån för det hot som identifierats, enligt rapporteringsenhetens rapportering. |
| ThreatOriginalRiskLevel | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| ThreatRiskLevel | int | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| TimeGenerated | datetime | Tidsstämpeln som återspeglar tiden då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för