Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Tabel met genormaliseerde verificatiegebeurtenissen van Microsoft Sentinel. Slaat gebeurtenissen op die zijn gekoppeld aan bijvoorbeeld de gebruikersverificatie, aanmelding en afmelding.
Tabeleigenschappen
| Kenmerk | Waarde |
|---|---|
| Resourcetypen | microsoft.securityinsights/authenticatiegebeurtenis |
| Categorieën | Beveiliging |
| Oplossingen | SecurityInsights |
| Basislogboek | Ja |
| Gegevensinvoertijdtransformatie | Ja |
| Voorbeeldqueries | - |
Kolommen
| Kolom | Typologie | Beschrijving |
|---|---|---|
| ActingAppId | tekenreeks | De id van de toepassing die namens de uitvoerder machtigingen verleent, inclusief een proces, browser of service. |
| ActingAppName | tekenreeks | De naam van de toepassing die de actor namens iemand machtigt, inclusief een proces, browser of service. |
| OptredendeApplicatieType | tekenreeks | Het type uitvoerende toepassing. |
| ActerendeOorspronkelijkeAppType | tekenreeks | Het acterende toepassingstype zoals gerapporteerd door het rapportageapparaat. |
| ActeurOrigineleGebruikerType | tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| ActorScope | tekenreeks | Het bereik, zoals de Azure AD-tenant, waarin ActorUserId en ActorUsername worden gedefinieerd. |
| ActorScopeId | tekenreeks | De bereik-id, zoals Azure AD-tenant-id, waarin ActorUserId en ActorUsername worden gedefinieerd. |
| Acteursessie-ID | tekenreeks | De unieke ID van de inlogsessie van de actor. |
| ActorUserId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de actor. |
| ActorUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld ActorUserId. |
| ActeurGebruikersnaam | tekenreeks | De gebruikersnaam van de actor, inclusief domeingegevens, indien beschikbaar. |
| Acteursgebruikersnaamtype | tekenreeks | Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld ActorUsername. |
| ActeurGebruikerstype | tekenreeks | Het type van de acteur. |
| Aanvullende velden | dynamisch | Aanvullende informatie, vertegenwoordigd met sleutel-/waardeparen die door de bron worden geleverd en niet aan ASim kunnen worden toegewezen. |
| _Facturatiegrootte | echt | De recordgrootte in bytes |
| DvcAction | tekenreeks | Voor het rapporteren van beveiligingssystemen, de actie die door het systeem wordt uitgevoerd. |
| DvcBeschrijving | tekenreeks | Een beschrijvende tekst die aan het apparaat is gekoppeld. |
| DvcDomain | tekenreeks | Het domein van het apparaat dat de gebeurtenis rapporteert. |
| DvcDomainType | tekenreeks | Het type DvcDomain. |
| DvcFQDN | tekenreeks | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. |
| DvcHostnaam | tekenreeks | De hostnaam van het apparaat dat de gebeurtenis rapporteert. |
| DvcId | tekenreeks | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. |
| DvcIdType | tekenreeks | Het type DvcId. |
| DvcInterface | tekenreeks | De netwerkinterface waarop gegevens zijn vastgelegd. |
| DvcIpAddr | tekenreeks | Het IP-adres van het apparaat dat de gebeurtenis rapporteert. |
| DvcMacAddr | tekenreeks | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. |
| DvcOriginalAction | tekenreeks | De oorspronkelijke DvcAction zoals verstrekt door het rapportageapparaat. |
| DvcOs | tekenreeks | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. |
| DvcOsVersion | tekenreeks | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. |
| DvcScope | tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt gekoppeld aan een abonnements-id op Azure en aan een account-id op AWS. |
| DvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| DvcZone | tekenreeks | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. |
| Aantal Gebeurtenissen | int (integer) | Het aantal gebeurtenissen dat door het record wordt beschreven. |
| Eindtijd van het evenement | datumtijd | De tijd waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, is het tijdstip waarop de laatste gebeurtenis is gegenereerd. Als dit niet door de bronrecord wordt verstrekt, wordt dit veld gebruikt als alias voor het veld TimeGenerated. |
| Gebeurtenisbericht | tekenreeks | Een algemeen bericht of een algemene beschrijving. |
| DetailsVanHetOorspronkelijkeResultaatVanHetEvenement | tekenreeks | De oorspronkelijke resultaatdetails van de bron. |
| EventOriginalSeverity | tekenreeks | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. |
| TypeOorspronkelijkSubGebeurtenis | tekenreeks | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke gebeurtenis-id, indien opgegeven door de bron. |
| OorspronkelijkeTypeVanEvenement | tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. |
| EvenementOorspronkelijkeUid | tekenreeks | Een unieke ID van de oorspronkelijke opname, indien opgegeven door de bron. |
| Eigenaar van het Evenement | tekenreeks | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
| EventProduct | tekenreeks | Het product dat de gebeurtenis genereert. |
| Versie van evenementproduct | tekenreeks | De versie van het product die de gebeurtenis genereert. |
| EventrapportURL | tekenreeks | Een URL in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
| EvenementResultaat | tekenreeks | Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Succes, Gedeeltelijk, Mislukking, NA (Niet van toepassing). De waarde kan niet rechtstreeks worden opgegeven door de bronnen, in welk geval deze is afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails. |
| GegevensVanEersteUitkomst | tekenreeks | De details die zijn gekoppeld aan het resultaat van de gebeurtenis. Dit veld wordt meestal ingevuld wanneer het resultaat een fout is. |
| VersieVanGebeurtenisschema | tekenreeks | De versie van het schema. |
| EventSeverity | tekenreeks | De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog. |
| BegintijdEvenement | datumtijd | De tijd waarin de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, is het tijdstip waarop de eerste gebeurtenis plaatsvond. Als dit niet door de bronrecord wordt verstrekt, wordt dit veld gebruikt als alias voor het veld TimeGenerated. |
| GebeurtenisSubtype | tekenreeks | Het aanmeldingstype is bijvoorbeeld System, Interactive, RemoteInteractive, Service, RemoteService, Remote of AssumeRole. |
| Type gebeurtenis | tekenreeks | Beschrijft de bewerking die door de record is gerapporteerd |
| EventVendor | tekenreeks | De leverancier van het product dat de gebeurtenis genereert. |
| HTTP-gebruikersagent | tekenreeks | Wanneer verificatie wordt uitgevoerd via HTTP of HTTPS, is de waarde van dit veld de user_agent HTTP-header die wordt geleverd door de acterende toepassing bij het uitvoeren van de verificatie. |
| _IsFactureerbaar | tekenreeks | Hiermee wordt aangegeven of het invoeren van de gegevens kosten met zich meebrengt. Wanneer _IsBillable wordt false opgenomen, worden er geen kosten in rekening gebracht voor uw Azure-account |
| Inlogmethode | tekenreeks | De methode die wordt gebruikt om verificatie uit te voeren. |
| Aanmeldingsprotocol | tekenreeks | Het protocol dat wordt gebruikt om verificatie uit te voeren. |
| HulpbronId | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
| Regelnaam | tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RegelNummer | int (integer) | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| SourceSystem | tekenreeks | Het type agent waarmee de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinding maken of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| SrcDescription | tekenreeks | Een beschrijvende tekst die is gekoppeld aan het bronapparaat. |
| SrcApparatentype | tekenreeks | Het type bronapparaat. |
| SrcDomain | tekenreeks | Het domein van het bronapparaat. |
| SrcDomeinType | tekenreeks | Het type "SrcDomain". |
| SrcDvcId | tekenreeks | De id van het bronapparaat. |
| SrcDvcIdType | tekenreeks | Het type SrcDvcId. |
| SrcDvcOs | tekenreeks | Het besturingssysteem van het bronapparaat. |
| SrcDvcScope | tekenreeks | Het cloudplatformbereik waartoe het bronapparaat behoort. SrcDvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id in AWS. |
| SrcDvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het bronapparaat behoort. SrcDvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcFQDN | tekenreeks | De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. |
| SrcGeoStad | tekenreeks | De plaats die is gekoppeld aan het bron-IP-adres. |
| SrcGeoCountry | tekenreeks | Het land dat is gekoppeld aan het bron-IP-adres. |
| SrcGeoBreedtegraad | echt | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
| SrcGeoLengtegraad | echt | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
| SrcGeoRegio | tekenreeks | De regio binnen een land dat is gekoppeld aan het bron-IP-adres. |
| SrcHostname | tekenreeks | De hostnaam van het bronapparaat, met uitzondering van domeingegevens. |
| SrcIpAddr | tekenreeks | Het IP-adres van het bronapparaat. |
| SrcIsp | tekenreeks | De internetprovider (ISP) die door het bronapparaat wordt gebruikt om verbinding te maken met internet. |
| BronOorspronkelijkRisicoNiveau | tekenreeks | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bron, zoals gerapporteerd door het rapportageapparaat. |
| SrcPortNummer | int (integer) | De IP-poort waaruit de verbinding afkomstig is. |
| SrcRisiconiveau | int (integer) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bron. |
| _Abonneenummer | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
| TargetAppId | tekenreeks | De id van de toepassing waaraan de autorisatie is vereist, vaak toegewezen door het rapportageapparaat. |
| TargetAppName | tekenreeks | De naam van de toepassing waarvoor de autorisatie is vereist, inclusief een service, een URL of een SaaS-toepassing. |
| Doelapplicatietype | tekenreeks | Het type toepassing dat namens de actor toestemming verleent. |
| Doelbeschrijving | tekenreeks | Een beschrijvende tekst die is gekoppeld aan het doelapparaat. |
| DoelapparaatType | tekenreeks | Het type doelapparaat. |
| DoelDomein | tekenreeks | Het domein van het doelapparaat. |
| Doeldomeintype | tekenreeks | Het type TargetDomain. |
| TargetDvcId | tekenreeks | De id van het doelapparaat. |
| TargetDvcIdType | tekenreeks | Het type TargetDvcId. |
| TargetDvcOs | tekenreeks | Het besturingssysteem van het doelapparaat. |
| TargetDvcScope | tekenreeks | Het cloudplatformbereik waartoe het doelapparaat behoort. TargetDvcScope worden gekoppeld aan een abonnements-id op Azure en aan een account-id op AWS. |
| TargetDvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het doelapparaat behoort. TargetDvcScopeId wordt gekoppeld aan een abonnements-id op Azure en aan een account-id op AWS. |
| TargetFQDN | tekenreeks | De hostnaam van het doelapparaat, inclusief domeingegevens, indien beschikbaar. |
| TargetGeoCity | tekenreeks | De plaats die is gekoppeld aan het doel-IP-adres. |
| TargetGeoCountry | tekenreeks | Het land dat is gekoppeld aan het doel-IP-adres. |
| TargetGeoBreedtegraad | echt | De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. |
| TargetGeoLongitude | echt | De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. |
| TargetGeoRegion | tekenreeks | De regio binnen een land dat is gekoppeld aan het doel-IP-adres. |
| Doelhostnaam | tekenreeks | De hostnaam van het doelapparaat, met uitzondering van domeingegevens. |
| TargetIpAddr | tekenreeks | Het IP-adres van het doelapparaat. |
| Type van oorspronkelijke doelapplicatie | tekenreeks | Het doeltoepassingstype zoals gerapporteerd door het rapportageapparaat. |
| DoelOorspronkelijkRisiconiveau | tekenreeks | Het risiconiveau dat aan het doel is gekoppeld, zoals gerapporteerd door het rapportageapparaat. |
| DoelOrigineelGebruikerstype | tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| Doelpoortnummer | int (integer) | De poort van het doelapparaat. |
| Doelrisiconiveau | int (integer) | Het risiconiveau dat aan het doel is gekoppeld. |
| Doelsessie-ID | tekenreeks | De unieke id van de aanmeldingssessie van de doelacteur. |
| TargetUrl | tekenreeks | Een URL die is gekoppeld aan de doeltoepassing. |
| DoelGebruikersId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de actor. |
| TargetUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld TargetUserId. |
| DoelGebruikersnaam | tekenreeks | De gebruikersnaam van de doelacteur, inclusief domeingegevens, indien beschikbaar. |
| DoelGebruikersnaamType | tekenreeks | Het type gebruikersnaam van de doelacteur die is opgegeven in het veld TargetUsername |
| Doelgebruikersbereik | tekenreeks | Het bereik, zoals de Azure AD-tenant, waarin TargetUserId en TargetUsername worden gedefinieerd. |
| TargetUserScopeId (Doelgebruikersbereik-ID) | tekenreeks | De scope-ID, zoals de Azure AD-tenant-ID, waarin TargetUserId en TargetUsername gedefinieerd worden. |
| Doelgebruikerstype | tekenreeks | Het type doelacteur. |
| huurder-ID | tekenreeks | De Log Analytics-werkruimte-id |
| Bedreigingscategorie | tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| Bedreigingsvertrouwen | int (integer) | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| ThreatField | tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. |
| TijdstipEersteMeldingBedreiging | datumtijd | De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd. |
| BedreigingsId | tekenreeks | De id van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| BedreigingIP-adres | tekenreeks | Een IP-adres waarvoor een bedreiging is geïdentificeerd. |
| DreigingIsActief | Bool | Waar indien de geïdentificeerde bedreiging als een actieve bedreiging wordt beschouwd. |
| TijdVanLaatsteBedreigingsRapportage | datumtijd | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| Bedreigingsnaam | tekenreeks | De naam van de bedreiging of malware die is geïdentificeerd in de controleactiviteit. |
| DreigingOorspronkelijkVertrouwen | tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| BedreigingOorspronkelijkRisiconiveau | tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| Dreigingsrisiconiveau | int (integer) | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. |
| TijdstipGenereerd | datumtijd | De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd. |
| Typologie | tekenreeks | De naam van de tabel |