CommonSecurityLog
Tato tabulka se používá pro shromažďování událostí ve formátu Common Event Format, které se nejčastěji odesílají z různých bezpečnostních zařízení, jako je Check Point, Palo Alto a další.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorie | Zabezpečení |
| Řešení | Zabezpečení, SecurityInsights |
| Základní protokol | No |
| Transformace v čase příjmu dat | Ano |
| Ukázkové dotazy | Ano |
Sloupce
| Column | Type | Popis |
|---|---|---|
| Aktivita | string | Řetězec, který představuje čitelný a srozumitelný popis události. |
| Dalšíextensions | string | Zástupný symbol pro další pole. Pole se protokolují jako páry klíč-hodnota. |
| ApplicationProtocol | string | Protokol použitý v aplikaci, například HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS atd. |
| _BilledSize | real | Velikost záznamu v bajtech |
| CollectorHostName | string | Název hostitele počítače kolektoru, na kterém běží agent. |
| CommunicationDirection | string | Veškeré informace o směru zjištěné komunikace. Platné hodnoty: 0 = Příchozí, 1 = Odchozí. |
| Počítač | string | Host, from Syslog. |
| DestinationDnsDomain | string | Část DNS plně kvalifikovaného názvu domény (FQDN). |
| DestinationHostName | string | Cíl, na který událost odkazuje v síti IP. Formát by měl být plně kvalifikovaný název domény přidružený k cílovému uzlu, pokud je uzel dostupný. Příklad: host.domain.com nebo hostitele. |
| DestinationIP | string | Cílová adresa IpV4, na kterou událost odkazuje v síti IP. |
| DestinationMACAddress | string | Cílová adresa MAC (FQDN). |
| DestinationNTDomain | string | Název domény Systému Windows cílové adresy. |
| DestinationPort | int | Cílový port. Platné hodnoty: 0 – 65535. |
| DestinationProcessId | int | ID cílového procesu přidruženého k události. |
| DestinationProcessName | string | Název cílového procesu události, například telnetd nebo sshd. |
| DestinationServiceName | string | Služba, která je cílem události. Příklad: sshd. |
| DestinationTranslatedAddress | string | Identifikuje přeložený cíl, na který odkazuje událost v síti IP, jako IP adresu IPv4. |
| DestinationTranslatedPort | int | Port po překladu, například platné číslo portu brány firewall: 0 – 65535. |
| DestinationUserID | string | Identifikuje cílového uživatele podle ID. Příklad: V unixu je kořenový uživatel obecně přidružený k ID uživatele 0. |
| DestinationUserName | string | Identifikuje cílového uživatele podle jména. |
| DestinationUserPrivileges | string | Definuje oprávnění cílového použití. Platné hodnoty: Admninistrator, User, Guest. |
| DeviceAction | string | Akce uvedená v události. |
| DeviceAddress | string | Adresa IPv4 zařízení, které událost generuje. |
| DeviceCustomDate1 | string | Jedno ze dvou polí časového razítka, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| DeviceCustomDate1Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomDate2 | string | Jedno ze dvou polí časového razítka, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| DeviceCustomDate2Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomFloatingPoint1 | real | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku. |
| DeviceCustomFloatingPoint1Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomFloatingPoint2 | real | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku. |
| DeviceCustomFloatingPoint2Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomFloatingPoint3 | real | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku. |
| DeviceCustomFloatingPoint3Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomFloatingPoint4 | real | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku. |
| DeviceCustomFloatingPoint4Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomIPv6Address1 | string | Jedno ze čtyř polí adresy IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
| DeviceCustomIPv6Address1Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomIPv6Address2 | string | Jedno ze čtyř polí adresy IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
| DeviceCustomIPv6Address2Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomIPv6Address3 | string | Jedno ze čtyř polí adresy IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
| DeviceCustomIPv6Address3Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomIPv6Address4 | string | Jedno ze čtyř polí adresy IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
| DeviceCustomIPv6Address4Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomNumber1 | int | Brzy bude zastaralé pole. Nahradí ho FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomNumber2 | int | Brzy bude zastaralé pole. Nahradí poleDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomNumber3 | int | Brzy bude zastaralé pole. Nahradí ho FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString1 | string | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| DeviceCustomString1Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString2 | string | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| DeviceCustomString2Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString3 | string | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| DeviceCustomString3Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString4 | string | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| DeviceCustomString4Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString5 | string | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| DeviceCustomString5Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString6 | string | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| DeviceCustomString6Label | string | Všechna vlastní pole mají odpovídající pole popisku. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceDnsDomain | string | Část domény DNS plně kvalifikovaného názvu domény (FQDN). |
| DeviceEventCategory | string | Představuje kategorii přiřazenou původním zařízením. Zařízení často ke klasifikaci událostí používají vlastní schéma kategorizace. Příklad: /Monitor/Disk/Read. |
| DeviceEventClassID | string | Řetězec nebo celé číslo, které slouží jako jedinečný identifikátor pro každý typ události. |
| DeviceExternalID | string | Název, který jednoznačně identifikuje zařízení, které událost generuje. |
| DeviceFacility | string | Zařízení, které událost generuje. Příklad: ověřování nebo místní 1. |
| DeviceInboundInterface | string | Rozhraní, na kterém paket nebo data zadala zařízení. Příklad: ethernet1/2. |
| DeviceMacAddress | string | Adresa MAC zařízení, které událost generuje. |
| DeviceName | string | Plně kvalifikovaný název domény přidružený k uzlu zařízení, pokud je uzel k dispozici. Příklad: host.domain.com nebo hostitele. |
| DeviceNtDomain | string | Doména Windows adresy zařízení. |
| DeviceOutboundInterface | string | Rozhraní, na kterém paket nebo data opustila zařízení. |
| DevicePayloadId | string | Jedinečný identifikátor datové části přidružené k události. |
| DeviceProduct | string | Řetězec, který společně s definicemi produktů a verzí zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
| DeviceTimeZone | string | Časové pásmo zařízení, které generuje událost. |
| DeviceTranslatedAddress | string | Identifikuje přeloženou adresu zařízení, na kterou událost odkazuje, v síti IP. Formát je adresa Ipv4. |
| DeviceVendor | string | Řetězec, který společně s definicemi produktů a verzí zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
| DeviceVersion | string | Řetězec, který společně s definicemi produktů a verzí zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
| EndTime | datetime | Čas, kdy aktivita související s událostí skončila. |
| EventCount | int | Počet přidružený k události, který ukazuje, kolikrát byla zjištěna stejná událost. |
| EventOutcome | string | Zobrazí výsledek, obvykle jako úspěch nebo selhání. |
| Typ události | int | Typ události. Mezi hodnoty patří: 0: základní událost, 1: agregovaná, 2: událost korelace, 3: událost akce. Poznámka: Tuto událost je možné vynechat pro základní události. |
| ExternalID | int | Brzy bude zastaralé pole. Bude nahrazeno ExtID. |
| ExtID | string | ID používané původním zařízením (nahradí starší externalID). Tyto hodnoty obvykle mají rostoucí hodnoty, které jsou přidružené k události. |
| FieldDeviceCustomNumber1 | long | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku (nahradí starší číslo typu DeviceCustomNumber1). Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| FieldDeviceCustomNumber2 | long | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku (nahradí starší číslo typu DeviceCustomNumber2). Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| FieldDeviceCustomNumber3 | long | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku (nahradí starší číslo typu DeviceCustomNumber3). Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. |
| FileCreateTime | string | Čas vytvoření souboru |
| FileHash | string | Hodnota hash souboru |
| ID souboru | string | ID přidružené k souboru, například inode. |
| FileModificationTime | string | Čas poslední změny souboru |
| FileName | string | Název souboru bez cesty. |
| Cesta k souboru | string | Úplná cesta k souboru, včetně názvu souboru. Například: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip. |
| FilePermission | string | Oprávnění k souboru. Příklad: 2,1,1. |
| Velikost souboru | int | Velikost souboru souboru v bajtech |
| FileType | string | Typ souboru, například potrubí, soket atd. |
| FlexDate1 | string | Pole časového razítka, které je k dispozici pro mapování časového razítka, které neplatí pro žádné jiné definované pole časového razítka v tomto slovníku. Pokud je to možné, používejte všechna pole flex střídmě a hledejte konkrétnější slovník zadané pole. Tato pole jsou obvykle vyhrazena pro použití zákazníka a neměla by být nastavena dodavateli, pokud to není nutné. |
| FlexDate1Label | string | Pole popisku je řetězec a popisuje účel pole flex. |
| FlexNumber1 | int | Číselná pole dostupná pro mapování dat Int, která neplatí pro žádné jiné pole v tomto slovníku. |
| FlexNumber1Label | string | Popisek, který popisuje hodnotu v FlexNumber1 |
| FlexNumber2 | int | Číselná pole dostupná pro mapování dat Int, která neplatí pro žádné jiné pole v tomto slovníku. |
| FlexNumber2Label | string | Popisek, který popisuje hodnotu v FlexNumber2 |
| FlexString1 | string | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. Tato pole jsou obvykle vyhrazena pro použití zákazníka a neměla by být nastavena dodavateli, pokud to není nutné. |
| FlexString1Label | string | Pole popisku je řetězec a popisuje účel pole flex. |
| FlexString2 | string | Jedno ze čtyř polí s plovoucí desetinou čárkou, která jsou k dispozici pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku. Pokud je to možné, používejte střídmě a hledejte konkrétnější slovník zadané pole. Tato pole jsou obvykle vyhrazena pro použití zákazníka a neměla by být nastavena dodavateli, pokud to není nutné. |
| FlexString2Label | string | Pole popisku je řetězec a popisuje účel pole flex. |
| IndicatorThreatType | string | Typ hrozby škodlivého IP kódu podle našeho informačního kanálu TI. |
| _IsBillable | string | Určuje, jestli je ingestování dat fakturovatelné. Pokud se příjem dat _IsBillable false neúčtuje vašemu účtu Azure |
| LogSeverity | string | Řetězec nebo celé číslo, které popisuje důležitost události. Platné řetězcové hodnoty: Neznámé, Nízké, Střední, Vysoké, Velmi vysoké platné celočíselné hodnoty jsou: 0–3 = Nízká, 4-6 = Střední, 7-8 = Vysoká, 9-10 = Velmi vysoká. |
| MaliciousIP | string | Pokud jedna z IP adres ve zprávě byla korelována s aktuálním informačním kanálem TI, který máme, zobrazí se zde. |
| MaliciousIPCountry | string | Země škodlivého ip adresy podle informací o geografickém umístění v době příjmu záznamů. |
| Zlými úmysly | real | Zeměpisná šířka škodlivého protokoluIP podle informací o geografické poloze v době příjmu záznamů. |
| ŠkodlivýIPLongitude | real | Zeměpisná délka škodlivého IP kódu podle informací o geografické poloze v době příjmu záznamů. |
| Message | string | Zpráva s dalšími podrobnostmi o události. |
| OldFileCreateTime | string | Čas vytvoření starého souboru |
| OldFileHash | string | Hodnota hash starého souboru |
| OldFileID | string | A ID přidružené ke starému souboru, například inode. |
| OldFileModificationTime | string | Čas poslední změny starého souboru |
| OldFileName | string | Název starého souboru. |
| OldFilePath | string | Úplná cesta k původnímu souboru, včetně názvu souboru. Například: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip. |
| OldFilePermission | string | Oprávnění starého souboru. Příklad: 2,1,1. |
| OldFileSize | int | Velikost starého souboru vbajchch |
| OldFileType | string | Typ souboru starého souboru, například potrubí, soket atd. |
| OriginalLogSeverity | string | Nemapovaná verze LogSeverity. Příklad: Upozornění/Kritické/Informace místo normilizované hodnoty Low/Medium/High v poli LogSeverity |
| ProcessID | int | Definuje ID procesu v zařízení, které událost generuje. |
| ProcessName | string | Název procesu přidružený k události. Například: v systému UNIX proces generující položku syslogu. |
| Protokol | string | Přenosový protokol, který identifikuje použitý protokol vrstvy 4. Možné hodnoty zahrnují názvy protokolů, například TCP nebo UDP. |
| Důvod | string | Důvod vygenerování události auditu. Například "chybné heslo" nebo "neznámý uživatel". Může se jednat také o chybu nebo návratový kód. Příklad: 0x1234. |
| ReceiptTime | string | Čas přijetí události související s aktivitou. Liší se od pole Timegenerated, což je čas přijetí události v počítači kolektoru protokolů. |
| ReceivedBytes | long | Počet bajtů přenesených příchozími přenosy |
| RemoteIP | string | Vzdálená IP adresa odvozená od směrové hodnoty události, pokud je to možné. |
| RemotePort | string | Vzdálený port odvozený z hodnoty směru události, pokud je to možné. |
| ReportReferenceLink | string | Odkaz na sestavu informačního kanálu TI |
| RequestClientApplication | string | Uživatelský agent přidružený k požadavku. |
| RequestContext | string | Popisuje obsah, ze kterého požadavek pochází, například referrer HTTP. |
| RequestCookies | string | Soubory cookie přidružené k žádosti. |
| RequestMethod | string | Metoda použitá pro přístup k adrese URL. Platné hodnoty zahrnují metody, jako je POST, GET atd. |
| RequestURL | string | Adresa URL přístupná k požadavku HTTP, včetně protokolu. Příklad: http://www/secure.com. |
| _ResourceId | string | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| SentBytes | long | Počet bajtů přenesených odchozích přenosů |
| SimplifiedDeviceAction | string | Namapovaná verze DeviceAction, například Denied > Deny. |
| SourceDnsDomain | string | Část domény DNS kompletního plně kvalifikovaného názvu domény. |
| SourceHostName | string | Identifikuje zdroj, na který událost odkazuje v síti IP. Formát by měl být plně kvalifikovaný název domény (DQDN) přidružený ke zdrojovému uzlu, pokud je uzel k dispozici. Například: hostitel nebo host.domain.com. |
| Zdrojová IP adresa | string | Zdroj, na který událost odkazuje v síti IP, jako adresa IPv4. |
| SourceMACAddress | string | Zdrojová adresa MAC. |
| SourceNTDomain | string | Název domény Systému Windows pro zdrojovou adresu. |
| SourcePort | int | Číslo zdrojového portu. Platná čísla portů jsou 0 až 65535. |
| SourceProcessId | int | ID zdrojového procesu přidruženého k události. |
| SourceProcessName | string | Název zdrojového procesu události. |
| SourceServiceName | string | Služba zodpovědná za generování události. |
| SourceSystem | string | Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| SourceTranslatedAddress | string | Identifikuje přeložený zdroj, na který událost odkazuje v síti IP. |
| SourceTranslatedPort | int | Zdrojový port po překladu, jako je brána firewall. Platná čísla portů jsou 0 až 65535. |
| SourceUserID | string | Identifikuje zdrojového uživatele podle ID. |
| SourceUserName | string | Identifikuje zdrojového uživatele podle jména. E-mailové adresy se také mapují do polí UserName. Odesílatel je kandidátem na vložení do tohoto pole. |
| SourceUserPrivileges | string | Oprávnění zdrojového uživatele. Mezi platné hodnoty patří: Administrator, User, Guest. |
| Počáteční čas | datetime | Čas, kdy aktivita, na kterou událost odkazuje, začíná. |
| _SubscriptionId | string | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| TenantId | string | ID pracovního prostoru služby Log Analytics |
| ThreatConfidence | string | Spolehlivost škodlivého IP kódu podle našeho informačního kanálu TI. |
| ThreatDescription | string | Popis hrozby škodlivého IP kódu podle našeho informačního kanálu TI. |
| Ohrožení bez ohledu na hrozby | int | Závažnost hrozby škodlivého ip adresy podle našeho informačního kanálu TI v době příjmu záznamů. |
| TimeGenerated | datetime | Čas shromažďování událostí ve standardu UTC |
| Typ | string | Název tabulky |