Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Sentinel-tabellen för normaliserade granskningshändelser. Lagrar händelser som är kopplade till revisionsspår för informationssystem och loggar för systemkonfigurationsaktiviteter och policyändringar. Sådana ändringar utförs ofta av systemadministratörer, men kan också utföras av användare när de konfigurerar inställningarna för sina egna program.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/auditeventnormalized |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| ActingAppId | sträng | ID:t för programmet som initierade den rapporterade aktiviteten, inklusive en process, webbläsare eller tjänst. |
| AgereAppNamn | sträng | Namnet på programmet som initierade den rapporterade aktiviteten, inklusive en tjänst, en URL eller ett SaaS-program. |
| AgerandeApptyp | sträng | Typ av verksam applikation. |
| ActingOriginalAppTyp | sträng | Den agerande applikationstypen så som rapporterad av rapporteringsenheten. |
| SkådespelaresUrsprungligaAnvändartyp | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| ActorScope | sträng | Det område, som exempelvis Azure AD-klientorganisationen, där ActorUserId och ActorUsername definieras. |
| AktörOmrådeId | sträng | Omfångs-ID:t, till exempel Azure AD-klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
| SessionId för aktör | sträng | Det unika ID:t för inloggningssessionen för aktören. |
| ActorUserAadId | sträng | Aktörens Azure Active Directory-ID. |
| ActorUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. |
| AktörAnvändarIdTyp | sträng | Typen av ID som lagras i fältet ActorUserId. |
| ActorUsername | sträng | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
| AktörAnvändarnamnTyp | sträng | Typen av aktörens användarnamn som anges i fältet ActionUsername |
| ActorUserSid | sträng | Windows-användar-ID (SID) för aktören. |
| Användartyp för aktör | sträng | Typen av aktör. |
| YtterligareFält | dynamisk | Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _Fakturastorlek | verklig | Poststorleken i byte |
| DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet. |
| DvcBeskrivning | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet som data har avbildats på. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av den rapporterande enheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
| Antal Händelser | heltal | Antalet händelser som beskrivs av journalen. |
| Händelseslutstid | datum och tid | Den tid (UTC) där händelsen avslutades. Den tid då den senaste händelsen genererades, om källan stöder aggregering och posten representerar flera händelser. Om det inte tillhandahålls av källposten, aliaser detta fält som TimeGenerated-fältet. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning. |
| HändelseUrsprungligaResultatDetaljer | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
| UrsprungligUndertypFörHändelse | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. |
| Originalhändelsetyp | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt identitetsnummer för den ursprungliga registerposten, om det tillhandahålls av källan. |
| Evenemangsarrangör | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| Evenemangsproduktversion | sträng | Den version av produkten som genererar händelsen. |
| HändelserapportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| Evenemangsresultat | sträng | Resultatet av händelsen, som anges av något av följande värden: Framgång, Delvis, Misslyckande, NA (Ej tillämpligt). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| HändelseResultatDetaljer | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
| EventSchemaversion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| EventStarttid | datum och tid | Den tid (UTC) där händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, tiden då den första händelsen genererades. Om det inte tillhandahålls av källposten, aliaser detta fält som TimeGenerated-fältet. |
| HändelseUndertyp | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
| Evenemangstyp | sträng | Beskriver operationen som rapporterats av uppgiften |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| HTTP-användaragent | sträng | När autentiseringen utförs via HTTP eller HTTPS är det här fältets värde det user_agent HTTP-huvud som tillhandahålls av det tillförordnade programmet när autentiseringen utförs. |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte inmatning till ditt Azure-konto |
| NyttVärde | sträng | Det nya värdet för Objekt efter att åtgärden utfördes. |
| Objekt | sträng | Namnet på det objekt där åtgärden som identifieras av EventType utförs. |
| Objekt-ID | sträng | Namnet på det objekt där åtgärden som identifieras av EventType utförs. |
| Objekttyp | sträng | Typ av objekt. |
| Gammalt värde | sträng | Det gamla värdet för Object före åtgärden. |
| Åtgärd | sträng | Åtgärden granskades enligt rapporteringsenhetens rapport. |
| UrsprungligObjektTyp | sträng | Objekttypen som rapporteras av rapporteringsenheten. |
| _Resurs-id | sträng | En unik identifierare för resursen som posten är associerad med |
| Regelnamn | sträng | Namnet eller ID:t för regeln som är associerad med inspektionsresultatet. |
| Regelnummer | heltal | Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem | sträng | Typen av agent som samlade in händelsen. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcBeskrivning | sträng | En beskrivande text som är associerad med källenheten. |
| SrcDeviceType | sträng | Typ av källenhet. |
| SrcDomain | sträng | Källenhetens domän. |
| SrcDomainTyp | sträng | Typen av SrcDomain. |
| SrcDvcId | sträng | Källenhetens ID. |
| SrcDvcIdType | sträng | Typen av SrcDvcId. |
| SrcDvcScope | sträng | Molnplattformsomfånget som källenheten tillhör. SrcDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcDvcScopeId | sträng | Molnplattformens omfångs-ID som källenheten tillhör. SrcDvcScopeId mappas till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcFQDN | sträng | Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity | sträng | Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitud | verklig | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| KällaGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
| SrcHostname | sträng | Källenhetens värdnamn, exklusive domäninformation. |
| SrcIpAddr | sträng | Källans IP-adress som anslutningen eller sessionen kommer från. |
| SrcUrsprungligRisknivå | sträng | Den risknivå som associeras med den identifierade källan enligt rapporteringsenhetens rapporter. |
| SrcPortNumber | heltal | Källans IP-port som anslutningen kommer från. |
| Risknivå | heltal | Den risknivå som är associerad med den identifierade källan. |
| _AbonnemangsId | sträng | En unik identifierare för prenumerationen som dataposten är associerad med |
| TargetAppId | sträng | ID:t för det program som händelsen gäller för, inklusive en process, webbläsare eller tjänst. |
| TargetAppName | sträng | Namnet på det program som händelsen gäller för, inklusive en tjänst, en URL eller ett SaaS-program. |
| MålAppTyp | sträng | Typen av program som auktoriserar för aktörens räkning. |
| Målbeskrivning | sträng | En beskrivande text som är associerad med målenheten. |
| MålEnhetstyp | sträng | Typen av målenheten. |
| MålDomän | sträng | Målenhetens domän. |
| Målområdestyp | sträng | Typ av TargetDomain. |
| TargetDvcId | sträng | Målenhetens ID. |
| TargetDvcIdType | sträng | Typ av TargetDvcId. |
| TargetDvcOs | sträng | Målenhetens operativsystem. |
| TargetDvcScope | sträng | Omfånget för molnplattformen som målenheten tillhör. TargetDvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetDvcScopeId | sträng | Molnplattformens Scope-ID som målenheten tillhör. TargetDvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| TargetFQDN | sträng | Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. |
| TargetGeoCity | sträng | Den ort som är associerad med mål-IP-adressen. |
| TargetGeoCountry | sträng | Det land som är associerat med mål-IP-adressen. |
| TargetGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med mål-IP-adressen. |
| TargetGeoLongitude | verklig | Longitud för den geografiska koordinat som är associerad med mål-IP-adressen. |
| TargetGeoRegion | sträng | Regionen inom ett land som är associerat med mål-IP-adressen. |
| Målvärdnamn | sträng | Målenhetens värdnamn, exklusive domäninformation. |
| Mål-IP-adress | sträng | Mål-IP-adressen som anslutningen eller sessionen kommer från. |
| AppTypMåloriginal | sträng | Målprogramtypen som rapporteras av rapporteringsenheten. |
| UrsprungligMålrisknivå | sträng | Den risknivå som är associerad med målet, enligt rapporteringsenhetens rapporter. |
| Målnummer för port | heltal | Ip-målporten som anslutningen kommer från. |
| Målrisknivå | heltal | Den risknivå som är associerad med målet. |
| TargetUrl | sträng | En URL som är associerad med målprogrammet. |
| Hyresgäst-ID | sträng | ID för arbetsytan i Log Analytics |
| Hotkategori | sträng | Kategorin för hot eller skadlig kod som identifieras i granskningsaktiviteten. |
| ThreatConfidence | heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet som ett hot identifierades för. |
| TidFörstRapporteradeHotet | datum och tid | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| ThreatIpAddr | sträng | En IP-adress eller domän för vilken ett hot identifierades. |
| HotetÄrAktivt | Bool | Sant om det identifierade hotet anses vara ett aktivt hot. |
| TidpunktFörSenasteRapporteradeHotet | datum och tid | Senast IP-adressen eller domänen identifierades som ett hot. |
| Hotnamn | sträng | Namnet på det hot eller den skadliga kod som identifieras i granskningsaktiviteten. |
| HotUrsprungligTillit | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| HotUrsprungligRiskNivå | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| Hotrisknivå | heltal | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| Tidpunkt för generering | datum och tid | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |
| Värdetyp | sträng | Typen av gamla och nya värden. |