ASimRegistryEventLogs
ASim-registrets händelseschema representerar Windows-aktivitet för att skapa, ändra eller ta bort Windows Registry-entiteter. Registerhändelser är specifika för Windows-system, men rapporteras av olika system som övervakar Windows, till exempel EDR-system (End Point Detection and Response), Sysmon eller Själva Windows.
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | microsoft.securityinsights/asimtables |
Kategorier | Säkerhet |
Lösningar | SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | - |
Kolumner
Kolumn | Typ | Description |
---|---|---|
ActingProcessCommandLine | sträng | Kommandoraden som används för att köra processen. |
ActingProcessGuid | sträng | En genererad unik identifierare för agerarprocessen. |
ActingProcessId | sträng | Process-ID för agerarprocessen. |
ActingProcessName | sträng | Filnamnet på den verkande processbildfilen. |
ActorOriginalUserType | sträng | Den ursprungliga aktörens användartyp, om den tillhandahålls av källan. |
ActorScope | sträng | Omfånget, till exempel Azure AD klientorganisation, där ActorUserId och ActorUsername definieras. |
ActorScopeId | sträng | Omfångs-ID:t, till exempel Azure AD klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
ActorSessionId | sträng | Det unika ID:t för inloggningssessionen för aktören. |
ActorUserAadId | sträng | Aktörens Azure Active Directory-ID. |
ActorUserId | sträng | Ett unikt ID för skådespelaren. |
ActorUserIdType | sträng | Typen av ID som lagras i fältet ActorUserId. |
ActorUsername | sträng | Användarnamnet för den användare som initierade händelsen. |
ActorUsernameType | sträng | Anger typen av användarnamn som lagras i fältet ActorUsername. |
ActorUserSid | sträng | Windows-användar-ID (SID) för aktören. |
ActorUserType | sträng | Typen av aktör. |
AdditionalFields | dynamisk | Ytterligare information som representeras med nyckel/värde-par som tillhandahålls av källan som inte mappar till ASim. |
_BilledSize | real | Poststorleken i byte |
DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtagits av systemet. |
DvcDescription | sträng | En beskrivande text som är associerad med enheten. |
DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
DvcDomainType | sträng | Typ av DvcDomain. |
DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
DvcId | sträng | Det unika ID:t för den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcIdType | sträng | Typ av DvcId. |
DvcInterface | sträng | Nätverksgränssnittet där data hämtades. |
DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerationsnamn på Azure och till ett konto-ID på AWS. |
DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
EventCount | int | Antalet händelser som beskrivs av posten. |
EventEndTime | datetime | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten kan det här fältet vara alias för fältet TimeGenerated. |
EventMessage | sträng | Ett allmänt meddelande eller en beskrivning. |
EventOriginalResultDetails | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. |
EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
EventOriginalSubType | sträng | Den ursprungliga händelseundertypen eller ID:t om den tillhandahålls av källan. |
EventOriginalType | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
EventOriginalUid | sträng | . |
EventOwner | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
EventProduct | sträng | Den produkt som genererar händelsen. |
EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
EventReportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
EventResult | sträng | Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte tillhandahålls direkt av källorna, i så fall härleds det från andra händelsefält, till exempel fältet EventResultDetails. |
EventResultDetails | sträng | Orsak eller information om resultatet som rapporterats i fältet EventResult. |
EventSchema | sträng | Namnet på schemat. |
EventSchemaVersion | sträng | Versionen av schemat. |
EventSeverity | sträng | Allvarlighetsgraden för händelsen. Giltiga värden är: Informational, Låg, Medel eller Hög. |
EventStartTime | datetime | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten kan det här fältet vara alias för fältet TimeGenerated. |
EventSubType | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
Eventtype | sträng | Beskriver den åtgärd som rapporterats av posten. |
EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
ParentProcessCommandLine | sträng | Kommandoraden som används för att köra processen. |
ParentProcessGuid | sträng | En genererad unik identifierare för den överordnade processen. |
ParentProcessId | sträng | Process-ID för den överordnade processen. |
ParentProcessName | sträng | Filnamnet på den överordnade processbildfilen. |
RegistryKey | sträng | Registernyckeln som är associerad med åtgärden, normaliserad till vanliga namngivningskonventioner för rotnycklar. |
RegistryPreviousKey | sträng | För åtgärder som ändrar registret normaliseras den ursprungliga registernyckeln till standardnamngivning av rotnycklar. |
RegistryPreviousValue | sträng | För åtgärder som ändrar registret normaliseras den ursprungliga värdetypen till standardformuläret. |
RegistryPreviousValueData | sträng | De ursprungliga registerdata för åtgärder som ändrar registret. |
RegistryPreviousValueType | sträng | För åtgärder som ändrar registret, den ursprungliga värdetypen. |
RegistryValue | sträng | Registervärdet som är associerat med åtgärden. |
RegistryValueData | sträng | Data som lagras i registervärdet. |
RegistryValueType | sträng | Typ av registervärde, normaliserat till standardformulär. |
_ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
RuleName | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
RuleNumber | int | Numret på regeln som är associerad med inspektionsresultatet. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
_SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
TenantId | sträng | Log Analytics-arbetsytans ID |
ThreatCategory | sträng | Kategorin för det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatConfidence | int | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
ThreatField | sträng | Fältet för vilket ett hot identifierades. |
ThreatFirstReportedTime | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
ThreatId | sträng | ID för det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatIsActive | boolesk | Sant ID som det identifierade hotet anses vara ett aktivt hot. |
ThreatLastReportedTime | datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatOriginalConfidence | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapportering. |
ThreatOriginalRiskLevel | sträng | Risknivån som rapporteras av rapporteringsenheten. |
ThreatRiskLevel | int | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
TimeGenerated | datetime | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
Typ | sträng | Namnet på tabellen |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för