ASimRegistryEventLogs
ASim Kayıt Defteri Olay şeması, Windows Kayıt Defteri varlıklarını oluşturma, değiştirme veya silme işleminin Windows etkinliğini temsil eder. Kayıt defteri olayları Windows sistemlerine özeldir, ancak EDR (Uç Nokta Algılama ve Yanıt) sistemleri, Sysmon veya Windows gibi Windows'u izleyen farklı sistemler tarafından bildirilir.
Tablo öznitelikleri
Öznitelik | Değer |
---|---|
Kaynak türleri | microsoft.securityinsights/asimtables |
Kategoriler | Güvenlik |
Çözümler | SecurityInsights |
Temel günlük | No |
Veri alımı-zaman dönüşümü | Yes |
Örnek Sorgular | - |
Sütunlar
Sütun | Tür | Description |
---|---|---|
ActingProcessCommandLine | string | İşlemi çalıştırmak için kullanılan komut satırı. |
ActingProcessGuid | string | İşlem işleminin oluşturulan benzersiz tanımlayıcısı. |
ActingProcessId | string | İşlem gerçekleştirme işleminin işlem kimliği. |
ActingProcessName | string | İşlem görüntüsü dosyasının dosya adı. |
ActorOriginalUserType | string | Kaynak tarafından sağlanıyorsa, özgün aktör kullanıcı türü. |
ActorScope | string | ActorUserId ve ActorUsername'in tanımlandığı Azure AD kiracı gibi kapsam. |
ActorScopeId | string | ActorUserId ve ActorUsername'in tanımlandığı Azure AD kiracı kimliği gibi kapsam kimliği. |
ActorSessionId | string | Aktörün oturum açma oturumunun benzersiz kimliği. |
ActorUserAadId | string | Aktörün Azure Active Directory kimliği. |
ActorUserId | string | Aktörün benzersiz kimliği. |
ActorUserIdType | string | ActorUserId alanında depolanan kimliğin türü. |
ActorUsername | string | Olayı başlatan kullanıcının kullanıcı adı. |
ActorUsernameType | string | ActorUsername alanında depolanan kullanıcı adının türünü belirtir. |
ActorUserSid | string | Aktörün Windows kullanıcı kimliği (SID' ler). |
ActorUserType | string | Aktörün türü. |
EkAlanlar | dynamic | Kaynak tarafından sağlanan ve ASim ile eşlenmemiş anahtar/değer çiftleri kullanılarak temsil edilen ek bilgiler. |
_BilledSize | real | Bayt cinsinden kayıt boyutu |
DvcAction | string | Güvenlik sistemlerini raporlamak için, sistem tarafından gerçekleştirilen eylem. |
DvcDescription | string | Cihazla ilişkilendirilmiş açıklayıcı bir metin. |
DvcDomain | string | Olayı bildiren cihazın etki alanı. |
DvcDomainType | string | DvcDomain türü. |
DvcFQDN | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın ana bilgisayar adı. |
DvcHostname | string | Olayı bildiren cihazın ana bilgisayar adı. |
DvcId | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın benzersiz kimliği. |
DvcIdType | string | DvcId türü. |
DvcInterface | string | Verilerin yakalandığı ağ arabirimi. |
DvcIpAddr | string | Olayı bildiren cihazın IP Adresi. |
DvcMacAddr | string | Olayın gerçekleştiği veya olayı bildirdiği cihazın MAC adresi. |
DvcOriginalAction | string | Raporlama cihazı tarafından sağlanan özgün DvcAction. |
DvcO'lar | string | Olayın oluştuğu veya olayı bildirdiği cihazda çalışan işletim sistemi. |
DvcOsVersion | string | Olayın gerçekleştiği veya olayı bildirdiği cihazdaki işletim sisteminin sürümü. |
DvcScope | string | Cihazın ait olduğu bulut platformu kapsamı. DvcScope, Azure'da bir abonelik adıyla ve AWS'de hesap kimliğiyle eşler. |
DvcScopeId | string | Cihazın ait olduğu bulut platformu kapsam kimliği. DvcScopeId, Azure'da bir abonelik kimliğiyle ve AWS'de hesap kimliğiyle eşler. |
DvcZone | string | Olayın gerçekleştiği veya olayı bildirdiği ağ. |
EventCount | int | Kayıt tarafından açıklanan olay sayısı. |
EventEndTime | datetime | Olayın sona erdiği saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, son olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmadıysa, bu alan TimeGenerated alanının diğer adını alır. |
EventMessage | string | Genel bir ileti veya açıklama. |
EventOriginalResultDetails | string | Kaynak tarafından sağlanan özgün sonuç ayrıntıları. |
EventOriginalSeverity | string | Raporlama cihazı tarafından sağlanan özgün önem derecesi. |
EventOriginalSubType | string | Kaynak tarafından sağlanmışsa özgün olay alt türü veya kimliği. |
EventOriginalType | string | Kaynak tarafından sağlanıyorsa özgün kaydın benzersiz kimliği. |
EventOriginalUid | string | . |
EventOwner | string | Genellikle oluşturulduğu departman veya yan kuruluş olan etkinliğin sahibi. |
EventProduct | string | Olayı oluşturan ürün. |
EventProductVersion | string | Olayı oluşturan ürünün sürümü. |
EventReportUrl | string | Olay hakkında daha fazla bilgi sağlayan bir kaynak için olayda sağlanan URL. |
EventResult | string | Şu değerlerden biriyle gösterilen olayın sonucu: Success, Partial, Failure, NA (Uygulanamaz). Değer doğrudan kaynaklar tarafından sağlanmayabilir; bu durumda, eventResultDetails alanı gibi diğer olay alanlarından türetilir. |
EventResultDetails | string | EventResult alanında bildirilen sonucun nedeni veya ayrıntıları. |
EventSchema | string | Şemanın adı. |
EventSchemaVersion | string | Şema sürümü. |
EventSeverity | string | Olayın önem derecesi. Geçerli değerler şunlardır: Bilgilendirsel, Düşük, Orta veya Yüksek. |
EventStartTime | datetime | Olayın başlatıldığı saat. Kaynak toplamayı destekliyorsa ve kayıt birden çok olayı temsil ediyorsa, ilk olayın oluşturulduğu zaman. Kaynak kayıt tarafından sağlanmadıysa, bu alan TimeGenerated alanının diğer adını alır. |
EventSubType | string | EventType alanında bildirilen işlemin bir alt kısmını açıklar. |
Olay türü | string | Kayıt tarafından bildirilen işlemi açıklar. |
EventVendor | string | Olayı oluşturan ürünün satıcısı. |
_IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
ParentProcessCommandLine | string | İşlemi çalıştırmak için kullanılan komut satırı. |
ParentProcessGuid | string | Üst işlemin oluşturulan benzersiz tanımlayıcısı. |
ParentProcessId | string | Üst işlemin işlem kimliği. |
ParentProcessName | string | Üst işlem görüntü dosyasının dosya adı. |
RegistryKey | string | İşlemle ilişkili kayıt defteri anahtarı, standart kök anahtar adlandırma kurallarına göre normalleştirilmiştir. |
RegistryPreviousKey | string | Kayıt defterini değiştiren işlemler için, özgün kayıt defteri anahtarı standart kök anahtar adlandırmasına normalleştirilmiştir. |
RegistryPreviousValue | string | Kayıt defterini değiştiren işlemler için, standart forma normalleştirilmiş özgün değer türü. |
RegistryPreviousValueData | string | Kayıt defterini değiştiren işlemler için özgün kayıt defteri verileri. |
RegistryPreviousValueType | string | Kayıt defterini değiştiren işlemler için özgün değer türü. |
RegistryValue | string | İşlemle ilişkili kayıt defteri değeri. |
RegistryValueData | string | Kayıt defteri değerinde depolanan veriler. |
RegistryValueType | string | Standart forma normalleştirilmiş kayıt defteri değerinin türü. |
_Resourceıd | string | Kaydın ilişkili olduğu kaynağın benzersiz tanımlayıcısı |
Rulename | string | İnceleme sonuçlarıyla ilişkili kuralın adı veya kimliği. |
RuleNumber | int | İnceleme sonuçlarıyla ilişkili kuralın sayısı. |
SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
_SubscriptionId | string | Kaydın ilişkili olduğu abonelik için benzersiz tanımlayıcı |
TenantId | string | Log Analytics çalışma alanı kimliği |
ThreatCategory | string | Etkinlikte tanımlanan tehdit veya kötü amaçlı yazılım kategorisi. |
ThreatConfidence | int | Tanımlanan tehdidin güvenilirlik düzeyi, 0 ile 100 arasında bir değere normalleştirilmiştir. |
ThreatField | string | Bir tehdidin tanımlandığı alan. |
ThreatFirstReportedTime | datetime | IP adresi veya etki alanı ilk kez bir tehdit olarak tanımlandı. |
ThreatId | string | Etkinlikte tanımlanan tehdidin veya kötü amaçlı yazılımın kimliği. |
ThreatIsActive | bool | Tanımlanan tehdidin gerçek kimliği etkin bir tehdit olarak kabul edilir. |
ThreatLastReportedTime | datetime | IP adresinin veya etki alanının en son tehdit olarak tanımlandığı zaman. |
ThreatName | string | Etkinlikte tanımlanan tehdit veya kötü amaçlı yazılımın adı. |
ThreatOriginalConfidence | string | Raporlama cihazı tarafından bildirilen, tanımlanan tehdidin özgün güvenilirlik düzeyi. |
ThreatOriginalRiskLevel | string | Raporlama cihazı tarafından bildirilen risk düzeyi. |
ThreatRiskLevel | int | Tanımlanan tehditle ilişkili risk düzeyi. Düzey 0 ile 100 arasında bir sayı olmalıdır. |
TimeGenerated | datetime | Olayın oluşturulduğu saati yansıtan zaman damgası (UTC). |
Tür | string | Tablonun adı |
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin