ASimAuditEventLogs
Microsoft Sentinel normalleştirilmiş denetim olayları tablosu. Bilgi sistemlerinin denetim kaydıyla ilişkili olayları depolar ve denetim izi günlükleri sistem yapılandırma etkinlikleri ve ilke değişiklikleri. Bu tür değişiklikler genellikle sistem yöneticileri tarafından gerçekleştirilir, ancak kullanıcılar kendi uygulamalarının ayarlarını yapılandırırken de gerçekleştirilebilir.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | microsoft.securityinsights/auditeventnormalized |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Veri alımı-zaman dönüşümü | Yes |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| ActingAppId | string | İşlem, tarayıcı veya hizmet dahil olmak üzere bildirilen etkinliği başlatan uygulamanın kimliği. |
| ActingAppName | string | Hizmet, URL veya SaaS uygulaması dahil olmak üzere bildirilen etkinliği başlatan uygulamanın adı. |
| ActingAppType | string | Eyleme geçen uygulamanın türü. |
| ActingOriginalAppType | string | Raporlama cihazı tarafından bildirilen eylem uygulama türü. |
| ActorOriginalUserType | string | Raporlama cihazı tarafından bildirilen kullanıcı türü. |
| ActorScope | string | ActorUserId ve ActorUsername'in tanımlandığı Azure AD kiracı gibi kapsam. |
| ActorScopeId | string | ActorUserId ve ActorUsername'in tanımlandığı Azure AD kiracı kimliği gibi kapsam kimliği. |
| ActorSessionId | string | Aktörün oturum açma oturumunun benzersiz kimliği. |
| ActorUserAadId | string | Aktörün Azure Active Directory kimliği. |
| ActorUserId | string | Aktörün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. |
| ActorUserIdType | string | ActorUserId alanında depolanan kimliğin türü. |
| ActorUsername | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktörün kullanıcı adı. |
| ActorUsernameType | string | ActionUsername alanında belirtilen Aktör kullanıcı adının türü |
| ActorUserSid | string | Aktörün Windows kullanıcı kimliği (SID' ler). |
| ActorUserType | string | Aktörün türü. |
| EkAlanlar | dynamic | Kaynak tarafından sağlanan ve ASim ile eşlenmemiş anahtar/değer çiftleri kullanılarak temsil edilen ek bilgiler. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DvcAction | string | Güvenlik sistemlerini raporlamak için, sistem tarafından gerçekleştirilen eylem. |
| DvcDescription | string | Cihazla ilişkilendirilmiş açıklayıcı bir metin. |
| DvcDomain | string | Olayı bildiren cihazın etki alanı. |
| DvcDomainType | string | DvcDomain türü. |
| DvcFQDN | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. |
| DvcHostname | string | Olayı bildiren cihazın ana bilgisayar adı. |
| DvcId | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz kimliği. |
| DvcIdType | string | DvcId türü. |
| DvcInterface | string | Verilerin yakalandığı ağ arabirimi. |
| DvcIpAddr | string | Olayı bildiren cihazın IP Adresi. |
| DvcMacAddr | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. |
| DvcOriginalAction | string | Raporlama cihazı tarafından sağlanan özgün DvcAction. |
| DvcO'lar | string | Olayın gerçekleştiği veya olayı bildirdiği cihazda çalışan işletim sistemi. |
| DvcOsVersion | string | Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü. |
| DvcScope | string | Cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DvcScopeId | string | Cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DvcZone | string | Olayın gerçekleştiği veya olayı bildirdiği ağ. |
| EventCount | int | Kayıt tarafından açıklanan olay sayısı. |
| EventEndTime | datetime | Olayın sona erdiği saat (UTC). Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer adlar ekler. |
| EventMessage | string | Genel bir ileti veya açıklama. |
| EventOriginalResultDetails | string | Kaynak tarafından sağlanan özgün sonuç ayrıntıları. |
| EventOriginalSeverity | string | Raporlama cihazı tarafından sağlanan özgün önem derecesi. |
| EventOriginalSubType | string | Kaynak tarafından sağlanmışsa özgün olay alt türü veya kimliği. |
| EventOriginalType | string | Kaynak tarafından sağlanmışsa özgün olay türü veya kimliği. |
| EventOriginalUid | string | Kaynak tarafından sağlanıyorsa özgün kaydın benzersiz kimliği. |
| EventOwner | string | Genellikle oluşturulduğu departman veya yan kuruluş olan etkinliğin sahibi. |
| EventProduct | string | Olayı oluşturan ürün. |
| EventProductVersion | string | Olayı oluşturan ürünün sürümü. |
| EventReportUrl | string | Olay hakkında daha fazla bilgi sağlayan bir kaynak için olayda sağlanan URL. |
| EventResult | string | Olayın sonucu, şu değerlerden biriyle gösterilir: Success, Partial, Failure, NA (Uygulanamaz). Değer doğrudan kaynaklar tarafından sağlanmayabilir; bu durumda, eventResultDetails alanı gibi diğer olay alanlarından türetilir. |
| EventResultDetails | string | EventResult alanında bildirilen sonucun nedeni veya ayrıntıları. |
| EventSchemaVersion | string | Şema sürümü. |
| EventSeverity | string | Olayın önem derecesi. Geçerli değerler şunlardır: Bilgilendirsel, Düşük, Orta veya Yüksek. |
| EventStartTime | datetime | Olayın başlatıldığı saat (UTC). Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmazsa, bu alan TimeGenerated alanına diğer adlar ekler. |
| EventSubType | string | EventType alanında bildirilen işlemin bir alt kısmını açıklar. |
| Olay türü | string | Kayıt tarafından bildirilen işlemi açıklar |
| EventVendor | string | Olayı oluşturan ürünün satıcısı. |
| HttpUserAgent | string | KIMLIK doğrulaması HTTP veya HTTPS üzerinden gerçekleştirildiğinde, bu alanın değeri kimlik doğrulamayı gerçekleştirirken eylem yapan uygulama tarafından sağlanan user_agent HTTP üst bilgisidir. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| Newvalue | string | İşlem gerçekleştirildikten sonra Object'in yeni değeri. |
| Nesne | string | EventType tarafından tanımlanan işlemin gerçekleştirildiği nesnenin adı. |
| ObjectId | string | EventType tarafından tanımlanan işlemin gerçekleştirildiği nesnenin adı. |
| ObjectType | string | Nesne türü. |
| Oldvalue | string | İşlemden önceki Object değerinin eski değeri. |
| İşlem | string | İşlem, raporlama cihazı tarafından bildirilen şekilde denetlendi. |
| OriginalObjectType | string | Raporlama cihazı tarafından bildirilen nesne türü. |
| _Resourceıd | string | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
| Rulename | string | İnceleme sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| Kural Numarası | int | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| SrcDescription | string | Kaynak cihazla ilişkilendirilmiş açıklayıcı bir metin. |
| SrcDeviceType | string | Kaynak cihazın türü. |
| SrcDomain | string | Kaynak cihazın etki alanı. |
| SrcDomainType | string | SrcDomain türü. |
| SrcDvcId | string | Kaynak cihazın kimliği. |
| SrcDvcIdType | string | SrcDvcId türü. |
| SrcDvcScope | string | Kaynak cihazın ait olduğu bulut platformu kapsamı. SrcDvcScope, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcDvcScopeId | string | Kaynak cihazın ait olduğu bulut platformu kapsam kimliği. SrcDvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| SrcFQDN | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. |
| SrcGeoCity | string | Kaynak IP adresiyle ilişkili şehir. |
| SrcGeoCountry | string | Kaynak IP adresiyle ilişkili ülke. |
| SrcGeoLatitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| SrcGeoLongitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| SrcGeoRegion | string | Kaynak IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge. |
| SrcHostname | string | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. |
| SrcIpAddr | string | Bağlantının veya oturumun kaynaklandığı Kaynak IP adresi. |
| SrcOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen tanımlanan Kaynakla ilişkilendirilen risk düzeyi. |
| SrcPortNumber | int | Bağlantının kaynaklandığı Kaynak IP bağlantı noktası. |
| SrcRiskLevel | int | Tanımlanan Kaynakla ilişkili risk düzeyi. |
| _SubscriptionId | string | Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı |
| TargetAppId | string | İşlem, tarayıcı veya hizmet dahil olmak üzere olayın geçerli olduğu uygulamanın kimliği. |
| TargetAppName | string | Hizmet, URL veya SaaS uygulaması dahil olmak üzere olayın geçerli olduğu uygulamanın adı. |
| TargetAppType | string | Aktör adına yetkilendirilen uygulamanın türü. |
| TargetDescription | string | Hedef cihazla ilişkilendirilmiş açıklayıcı bir metin. |
| TargetDeviceType | string | Hedef cihazın türü. |
| TargetDomain | string | Hedef cihazın etki alanı. |
| TargetDomainType | string | TargetDomain türü. |
| TargetDvcId | string | Hedef cihazın kimliği. |
| TargetDvcIdType | string | TargetDvcId türü. |
| TargetDvcOs | string | Hedef cihazın işletim sistemi. |
| TargetDvcScope | string | Hedef cihazın ait olduğu bulut platformu kapsamı. TargetDvcScope, Azure'da bir abonelik kimliğiyle ve AWS'de bir hesap kimliğiyle eşler. |
| TargetDvcScopeId | string | Hedef cihazın ait olduğu bulut platformu kapsam kimliği. TargetDvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de bir hesap kimliğiyle eşler. |
| TargetFQDN | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere hedef cihaz ana bilgisayar adı. |
| TargetGeoCity | string | Hedef IP adresiyle ilişkili şehir. |
| TargetGeoCountry | string | Hedef IP adresiyle ilişkili ülke. |
| TargetGeoLatitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| TargetGeoLongitude | real | Hedef IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| TargetGeoRegion | string | Hedef IP adresiyle ilişkili bir ülkenin içindeki bölge. |
| TargetHostname | string | Etki alanı bilgileri hariç hedef cihaz ana bilgisayar adı. |
| TargetIpAddr | string | Bağlantının veya oturumun kaynaklandığı Hedef IP adresi. |
| TargetOriginalAppType | string | Raporlama cihazı tarafından bildirilen hedef uygulama türü. |
| TargetOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen hedefle ilişkili risk düzeyi. |
| TargetPortNumber | int | Bağlantının kaynaklandığı Hedef IP bağlantı noktası. |
| TargetRiskLevel | int | Hedefle ilişkili risk düzeyi. |
| TargetUrl | string | Hedef uygulamayla ilişkilendirilmiş bir URL. |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| ThreatCategory | string | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
| ThreatConfidence | int | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatField | string | Bir tehdidin tanımlandığı alan. |
| ThreatFirstReportedTime | datetime | IP adresi veya etki alanı ilk kez tehdit olarak tanımlandı. |
| ThreatId | string | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| ThreatIpAddr | string | Tehdit tanımlanabilen bir IP adresi veya Etki alanı. |
| ThreatIsActive | bool | Tanımlanan tehdit etkin bir tehdit olarak kabul edilirse true. |
| ThreatLastReportedTime | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatName | string | Denetim etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
| ThreatOriginalConfidence | string | Raporlama cihazı tarafından bildirildiği gibi tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatRiskLevel | int | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. |
| TimeGenerated | datetime | Olayın oluşturulduğu zamanı yansıtan zaman damgası (UTC). |
| Tür | string | Tablonun adı |
| ValueType | string | Eski ve yeni değerlerin türü. |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin