ASimFileEventLogs
Gelişmiş Güvenlik Bilgileri Modeli (ASIM) Dosya Olayı normalleştirme şeması, dosya veya belge oluşturma, değiştirme veya silme gibi dosya etkinliğini açıklar.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | microsoft.securityinsights/asimtables |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Veri alımı-zaman dönüşümü | Yes |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| ActingProcessCommandLine | string | Eylem işlemini çalıştırmak için kullanılan komut satırı. |
| ActingProcessGuid | string | Eylem işleminin oluşturulan benzersiz tanımlayıcısı (GUID). |
| ActingProcessId | string | Eylem işleminin işlem kimliği (PID). |
| ActingProcessName | string | İşlem işleminin adı. |
| ActorOriginalUserType | string | Raporlama cihazı tarafından sağlanan özgün aktör kullanıcı türü. |
| ActorScope | string | ActorUserId ve ActorUsername'in tanımlandığı Azure AD kiracı gibi kapsam. |
| ActorScopeId | string | ActorUserId ve ActorUsername'in tanımlandığı Azure AD Dizin Kimliği gibi kapsam kimliği. |
| ActorSessionId | string | Aktörün oturum açma oturumunun benzersiz kimliği. |
| ActorUserAadId | string | Aktörün Azure Active Directory kimliği. |
| ActorUserId | string | Aktörün makine tarafından okunabilir, alfasayısal, benzersiz bir gösterimi. |
| ActorUserIdType | string | ActorUserId alanında depolanan kimliğin türü. |
| ActorUsername | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere Aktör kullanıcı adı. |
| ActorUsernameType | string | ActorUsername alanında depolanan kullanıcı adının türünü belirtir. |
| ActorUserSid | string | Aktörün Windows kullanıcı kimliği (SID' ler). |
| ActorUserType | string | Aktör türü. |
| EkAlanlar | dynamic | Kaynak tarafından sağlanan ve ASim ile eşlenmemiş anahtar/değer çiftleri kullanılarak temsil edilen ek bilgiler. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DvcAction | string | Web oturumunda gerçekleştirilen eylem. |
| DvcDescription | string | Cihazla ilişkilendirilmiş açıklayıcı bir metin. |
| DvcDomain | string | Olayı bildiren cihazın etki alanı. |
| DvcDomainType | string | DvcDomain türü. Geçerli değerler arasında 'Windows' ve 'FQDN' bulunur. |
| DvcFQDN | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. |
| DvcHostname | string | Olayı bildiren cihazın ana bilgisayar adı. |
| DvcId | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz kimliği. |
| DvcIdType | string | DvcId türü. |
| DvcInterface | string | Raporlama cihazı tarafından sağlanan özgün DvcAction. |
| DvcIpAddr | string | Olayı bildiren cihazın IP adresi. |
| DvcMacAddr | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. |
| DvcOriginalAction | string | Raporlama cihazı tarafından sağlanan özgün DvcAction. |
| DvcO'lar | string | Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi. |
| DvcOsVersion | string | Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü. |
| DvcScope | string | Cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir abonelik adıyla ve AWS'de hesap kimliğiyle eşler. |
| DvcScopeId | string | Cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
| DvcZone | string | Şemaya bağlı olarak olayın gerçekleştiği veya olayı bildirdiği ağ. |
| EventCount | int | Bu değer, kaynak toplamayı desteklediğinde kullanılır ve tek bir kayıt birden çok olayı temsil edebilir. |
| EventEndTime | datetime | Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmadıysa, bu alan TimeGenerated alanının diğer adını alır. |
| EventMessage | string | Genel bir ileti veya açıklama. |
| EventOriginalResultDetails | string | Kaynak tarafından sağlanan özgün sonuç ayrıntıları. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventResultDetails'i türetmek için kullanılır. |
| EventOriginalSeverity | string | Raporlama cihazı tarafından sağlanan özgün önem derecesi. Bu değer EventSeverity'yi türetmek için kullanılır. |
| EventOriginalSubType | string | Kaynak tarafından sağlanmışsa özgün olay alt türü veya kimliği. Örneğin, bu alan özgün Windows oturum açma türünü depolamak için kullanılır. Bu değer, her şema için belgelenen değerlerden yalnızca birine sahip olması gereken EventSubType'ı türetmek için kullanılır. |
| EventOriginalType | string | Kaynak tarafından sağlanmışsa özgün olay türü veya kimliği. |
| EventOriginalUid | string | Kaynak tarafından sağlanıyorsa özgün kaydın benzersiz kimliği. |
| EventOwner | string | Genellikle oluşturulduğu departman veya yan kuruluş olan etkinliğin sahibi. |
| EventProduct | string | Olayı oluşturan ürün. |
| EventProductVersion | string | Olayı oluşturan ürünün sürümü. |
| EventReportUrl | string | Olay hakkında daha fazla bilgi sağlayan bir kaynak için olayda sağlanan URL. |
| EventResult | string | Şu değerlerden biriyle gösterilen olayın sonucu: Success, Partial, Failure, NA (Uygulanamaz). Değer doğrudan kaynaklar tarafından sağlanmayabilir; bu durumda, eventResultDetails alanı gibi diğer olay alanlarından türetilir. |
| EventResultDetails | string | HTTP durum kodu. |
| EventSchema | string | Olayın normalleştirildiği şema. Her şema, şema adını belgeler. |
| EventSchemaVersion | string | Şema sürümü. |
| EventSeverity | string | Olayın önem derecesi. Geçerli değerler şunlardır: Bilgilendirsel, Düşük, Orta veya Yüksek. |
| EventStartTime | datetime | Olayın başlatıldığı saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu saat. Kaynak kayıt tarafından sağlanmadıysa, bu alan TimeGenerated alanının diğer adını alır. |
| EventSubType | string | Varsa olay türünün ek açıklaması. |
| Olay türü | string | Kayıt tarafından bildirilen işlem. |
| EventVendor | string | Olayı oluşturan ürünün satıcısı. |
| HashType | string | Karma diğer ad alanında depolanan karma türü. |
| HttpUserAgent | string | İşlem HTTP veya HTTPS kullanılarak başlatıldığında, HTTP kullanıcı aracısı üst bilgisi. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| NetworkApplicationProtocol | string | İşlem uzak bir sistem tarafından başlatıldığında, bağlantı veya oturum tarafından kullanılan uygulama katmanı protokolü. |
| _Resourceıd | string | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
| Rulename | string | İnceleme sonuçlarıyla ilişkili kuralın adı veya kimliği. |
| Kural Numarası | int | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| SrcDescription | string | Cihazla ilişkilendirilmiş açıklayıcı bir metin. |
| SrcDeviceType | string | Kaynak cihazın türü. |
| SrcDomain | string | Kaynak cihazın etki alanı. |
| SrcDomainType | string | SrcDomain türü. |
| SrcDvcId | string | Kaynak cihazın kimliği. |
| SrcDvcIdType | string | SrcDvcId türü. |
| SrcDvcScope | string | Cihazın ait olduğu bulut platformu kapsamı. |
| SrcDvcScopeId | string | Cihazın ait olduğu bulut platformu kapsam kimliği. |
| SrcFileCreationTime | datetime | Kaynak dosyanın oluşturulduğu saat. |
| SrcFileDirectory | string | Kaynak dosya klasörü veya konumu. |
| SrcFileExtension | string | Kaynak dosya uzantısı. |
| SrcFileMD5 | string | Kaynak dosyanın MD5 karması. |
| SrcFileMimeType | string | Kaynak dosyanın Mime veya Medya türü. |
| SrcFileName | string | Kaynak dosyanın adı; yol veya konum olmadan, ancak ilgiliyse bir uzantıyla. |
| SrcFilePath | string | Klasör veya konum, dosya adı ve uzantı dahil olmak üzere kaynak dosyanın tam, normalleştirilmiş yolu. |
| SrcFilePathType | string | SrcFilePath türü. |
| SrcFileSHA1 | string | Kaynak dosyanın SHA-1 karması. |
| SrcFileSHA256 | string | Kaynak dosyanın SHA-256 karması. |
| SrcFileSHA512 | string | Kaynak dosyanın SHA-512 karması. |
| SrcFileSize | long | Kaynak dosyanın bayt cinsinden boyutu. |
| SrcFQDN | string | Kullanılabilir olduğunda etki alanı bilgileri de dahil olmak üzere kaynak cihaz ana bilgisayar adı. |
| SrcGeoCity | string | Kaynak IP adresiyle ilişkili şehir. |
| SrcGeoCountry | string | Kaynak IP adresiyle ilişkili ülke. |
| SrcGeoLatitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın enlemi. |
| SrcGeoLongitude | real | Kaynak IP adresiyle ilişkili coğrafi koordinatın boylamı. |
| SrcGeoRegion | string | Kaynak IP adresiyle ilişkilendirilmiş bir ülkenin içindeki bölge. |
| SrcHostname | string | Etki alanı bilgileri hariç kaynak cihaz ana bilgisayar adı. Kullanılabilir cihaz adı yoksa, ilgili IP adresini bu alanda depolayın. |
| SrcIpAddr | string | İşlem uzak bir sistem tarafından başlatıldığında, bu sistemin IP adresi. |
| SrcMacAddr | string | Kaynak cihazın MAC adresi. |
| SrcOriginalRiskLevel | string | Kaynakla ilişkili risk düzeyi. Raporlama cihazı tarafından bildirildiği veya zenginleştirildiği gibi. |
| SrcPortNumber | int | İşlem uzak bir sistem tarafından başlatıldığında, bağlantının başlatıldığı bağlantı noktası numarası. |
| SrcRiskLevel | int | Kaynakla ilişkili risk düzeyi. |
| _SubscriptionId | string | Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı |
| TargetAppId | string | Raporlama cihazı tarafından bildirilen hedef uygulamanın kimliği. |
| TargetAppName | string | Hedef uygulamanın adı. |
| TargetAppType | string | Hedef uygulamanın türü. |
| TargetFileCreationTime | datetime | Hedef dosyanın oluşturulduğu saat. |
| TargetFileDirectory | string | Hedef dosya klasörü veya konumu. |
| TargetFileExtension | string | Hedef dosya uzantısı. |
| TargetFileMD5 | string | Hedef dosyanın MD5 karması. |
| TargetFileMimeType | string | Hedef dosyanın Mime veya Medya türü. |
| TargetFileName | string | Hedef dosyanın adı, yol veya konum olmadan, ancak ilgiliyse bir uzantıyla. |
| TargetFilePath | string | Hedef dosyanın klasör veya konum, dosya adı ve uzantı dahil olmak üzere tam, normalleştirilmiş yolu. |
| TargetFilePathType | string | TargetFilePath türü. |
| TargetFileSHA1 | string | Hedef dosyanın SHA-1 karması. |
| TargetFileSHA256 | string | Hedef dosyanın SHA-256 karması. |
| TargetFileSHA512 | string | Kaynak dosyanın SHA-512 karması. |
| TargetFileSize | long | Hedef dosyanın bayt cinsinden boyutu. |
| TargetOriginalAppType | string | Raporlama cihazı tarafından bildirilen hedef uygulama türü. |
| TargetUrl | string | İşlem HTTP veya HTTPS kullanılarak başlatıldığında kullanılan URL. |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| ThreatCategory | string | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
| ThreatConfidence | int | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
| ThreatField | string | Bir tehdidin tanımlandığı alan. Değer SrcFilePath veya DstFilePath'tir. |
| ThreatFilePath | string | Bir tehdidin tanımlandığı dosya yolu. ThreatField alanı, ThreatFilePath'in temsil ettiği alanın adını içerir. |
| ThreatFirstReportedTime | datetime | IP adresi veya etki alanı ilk kez tehdit olarak tanımlandı. |
| ThreatId | string | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın kimliği. |
| ThreatIsActive | bool | Tanımlanan tehdidin gerçek kimliği etkin bir tehdit olarak kabul edilir. |
| ThreatLastReportedTime | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
| ThreatName | string | Dosya etkinliğinde tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
| ThreatOriginalConfidence | string | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
| ThreatOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen risk düzeyi. |
| ThreatRiskLevel | int | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. |
| TimeGenerated | datetime | Olayın oluşturulduğu zamanı yansıtan zaman damgası. |
| Tür | string | Tablonun adı |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin