CommonSecurityLog
Diese Tabelle dient zum Sammeln von Ereignissen im Common Event Format, die am häufigsten von verschiedenen Sicherheitsgeräten wie Check Point, Palo Alto und mehr gesendet werden.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Kategorien | Sicherheit |
Lösungen | Sicherheit, SecurityInsights |
Standardprotokoll | No |
Erfassungszeittransformation | Ja |
Beispielabfragen | Ja |
Spalten
Spalte | Type | Beschreibung |
---|---|---|
Aktivität | Zeichenfolge | Eine Zeichenfolge, die eine lesbare und verständliche Beschreibung des Ereignisses darstellt. |
AdditionalExtensions | Zeichenfolge | Ein Platzhalter für zusätzliche Felder. Felder werden als Schlüsselwertpaare protokolliert. |
ApplicationProtocol | Zeichenfolge | Das in der Anwendung verwendete Protokoll wie HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS usw. |
_BilledSize | real | Die Datensatzgröße in Bytes. |
CollectorHostName | Zeichenfolge | Der Hostname des Sammelcomputers, auf dem der Agent ausgeführt wird. |
CommunicationDirection | Zeichenfolge | Alle Informationen zur Richtung der überwachten Kommunikation. Gültige Werte: 0 = Eingehend, 1 = ausgehend. |
Computer | Zeichenfolge | Host aus Syslog. |
DestinationDnsDomain | Zeichenfolge | Der DNS-Teil des vollqualifizierten Domänennamens (FQDN). |
DestinationHostName | Zeichenfolge | Das Ziel, auf das sich das Ereignis in einem IP-Netzwerk bezieht. Das Format muss ein FQDN sein, der dem Zielknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Beispiel: host.domain.com oder Host. |
DestinationIP | Zeichenfolge | Die IpV4-Zieladresse, auf die sich das Ereignis in einem IP-Netzwerk bezieht. |
DestinationMACAddress | Zeichenfolge | Die Ziel-MAC-Adresse (FQDN). |
DestinationNTDomain | Zeichenfolge | Der Windows-Domänenname der Zieladresse. |
DestinationPort | int | Zielport. Gültige Werte: 0 - 65535. |
DestinationProcessId | int | Die ID des Zielprozesses, der dem Ereignis zugeordnet ist. |
DestinationProcessName | Zeichenfolge | Der Name des Zielprozesses des Ereignisses, z. B. telnetd oder sshd. |
DestinationServiceName | Zeichenfolge | Der Dienst, auf den das Ereignis ausgerichtet ist. Beispiel: sshd. |
DestinationTranslatedAddress | Zeichenfolge | Identifiziert das übersetzte Ziel, auf das das Ereignis in einem IP-Netzwerk verweist, als IPv4-IP-Adresse. |
DestinationTranslatedPort | int | Port nach Übersetzung, z. B. eine Firewall Gültige Portnummern: 0 - 65535. |
DestinationUserID | Zeichenfolge | Identifiziert den Zielbenutzer nach ID. Beispiel: In Unix ist der Stammbenutzer in der Regel der Benutzer-ID 0 zugeordnet. |
DestinationUserName | Zeichenfolge | Identifiziert den Zielbenutzer nach Namen. |
DestinationUserPrivileges | Zeichenfolge | Definiert die Berechtigungen der Zielverwendung. Gültige Werte: Admninistrator, Benutzer, Gast. |
DeviceAction | Zeichenfolge | Die im Ereignis angegebene Aktion. |
DeviceAddress | Zeichenfolge | Die IPv4-Adresse des Geräts, das das Ereignis erzeugt. |
DeviceCustomDate1 | Zeichenfolge | Eines von zwei Zeitstempelfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
DeviceCustomDate1Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomDate2 | Zeichenfolge | Eines von zwei Zeitstempelfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
DeviceCustomDate2Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomFloatingPoint1 | real | Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. |
DeviceCustomFloatingPoint1Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomFloatingPoint2 | real | Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. |
DeviceCustomFloatingPoint2Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomFloatingPoint3 | real | Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. |
DeviceCustomFloatingPoint3Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomFloatingPoint4 | real | Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. |
DeviceCustomFloatingPoint4Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomIPv6Address1 | Zeichenfolge | Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. |
DeviceCustomIPv6Address1Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomIPv6Address2 | Zeichenfolge | Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. |
DeviceCustomIPv6Address2Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomIPv6Address3 | Zeichenfolge | Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. |
DeviceCustomIPv6Address3Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomIPv6Address4 | Zeichenfolge | Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. |
DeviceCustomIPv6Address4Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomNumber1 | int | Bald wird ein veraltetes Feld angezeigt. Wird durch FieldDeviceCustomNumber1 ersetzt. |
DeviceCustomNumber1Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomNumber2 | int | Bald wird ein veraltetes Feld angezeigt. Wird durch FieldDeviceCustomNumber2 ersetzt. |
DeviceCustomNumber2Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomNumber3 | int | Bald wird ein veraltetes Feld angezeigt. Wird durch FieldDeviceCustomNumber3 ersetzt. |
DeviceCustomNumber3Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomString1 | Zeichenfolge | Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
DeviceCustomString1Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomString2 | Zeichenfolge | Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
DeviceCustomString2Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomString3 | Zeichenfolge | Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
DeviceCustomString3Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomString4 | Zeichenfolge | Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
DeviceCustomString4Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomString5 | Zeichenfolge | Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
DeviceCustomString5Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceCustomString6 | Zeichenfolge | Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
DeviceCustomString6Label | Zeichenfolge | Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
DeviceDnsDomain | Zeichenfolge | Der DNS-Domänenteil des vollqualifizierten Domänennamens (FQDN). |
DeviceEventCategory | Zeichenfolge | Stellt die Kategorie dar, die vom Ursprungsgerät zugewiesen wird. Geräte verwenden häufig ein eigenes Kategorisierungsschema, um Ereignisse zu klassifizieren. Beispiel: '/Monitor/Disk/Read'. |
DeviceEventClassID | Zeichenfolge | Eine Zeichenfolge oder ganze Zahl, die als eindeutiger Bezeichner pro Ereignistyp fungiert. |
DeviceExternalID | Zeichenfolge | Ein Name, der das Gerät eindeutig identifiziert, das das Ereignis erzeugt. |
DeviceFacility | Zeichenfolge | Die Facility, die das Ereignis erzeugt. Beispiel: Authentifizierung oder lokal1. |
DeviceInboundInterface | Zeichenfolge | Die Schnittstelle für den Eingang des Pakets oder der Daten in das Gerät. Beispiel: Ethernet1/2. |
DeviceMacAddress | Zeichenfolge | Die MAC-Adresse des Geräts, das das Ereignis erzeugt. |
DeviceName | Zeichenfolge | Der dem Geräteknoten zugeordnete FQDN, wenn ein Knoten verfügbar ist. Beispiel: host.domain.com oder Host. |
DeviceNtDomain | Zeichenfolge | Die Windows-Domäne der Geräteadresse. |
DeviceOutboundInterface | Zeichenfolge | Die Schnittstelle für den Ausgang des Pakets oder der Daten aus dem Gerät. |
DevicePayloadId | Zeichenfolge | Eindeutiger Bezeichner für die mit dem Ereignis verknüpften Nutzdaten. |
DeviceProduct | Zeichenfolge | Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des Sendens eines Geräts eindeutig identifiziert. |
DeviceTimeZone | Zeichenfolge | Zeitzone des Geräts, das das Ereignis generiert. |
DeviceTranslatedAddress | Zeichenfolge | Identifiziert die übersetzte Geräteadresse, auf die sich das Ereignis bezieht, in einem IP-Netzwerk. Das Format ist eine IPv4-Adresse. |
DeviceVendor | Zeichenfolge | Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des Sendens eines Geräts eindeutig identifiziert. |
DeviceVersion | Zeichenfolge | Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des Sendens eines Geräts eindeutig identifiziert. |
EndTime | datetime | Der Zeitpunkt, zu dem die mit dem Ereignis verbundene Aktivität endete. |
EventCount | int | Ein dem Ereignis zugeordneter Zähler, der anzeigt, wie oft das gleiche Ereignis beobachtet wurde. |
EventOutcome | Zeichenfolge | Zeigt das Ergebnis an, in der Regel als "Erfolg" oder "Fehler". |
EventType | int | Der Ereignistyp. Wertwerte sind: 0: Basisereignis, 1: aggregiert, 2: Korrelationsereignis, 3: Action-Ereignis. Hinweis: Dieses Ereignis kann bei Basisereignissen ausgelassen werden. |
ExternalID | int | Bald wird ein veraltetes Feld angezeigt. Wird durch ExtID ersetzt. |
ExtID | Zeichenfolge | Eine ID, die vom ursprünglichen Gerät verwendet wird (ersetzt legacy ExternalID). In der Regel handelt es sich um steigende Werte, die jeweils einem Ereignis zugeordnet sind. |
FieldDeviceCustomNumber1 | long | Eines von drei Zahlenfeldern, die zum Zuordnen von Feldern verfügbar sind, die nicht für andere Felder in diesem Wörterbuch gelten (ersetzt legacy DeviceCustomNumber1). Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
FieldDeviceCustomNumber2 | long | Eines von drei Zahlenfeldern, die zum Zuordnen von Feldern verfügbar sind, die nicht für andere Felder in diesem Wörterbuch gelten (ersetzt legacy DeviceCustomNumber2). Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
FieldDeviceCustomNumber3 | long | Eines von drei Zahlenfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten (ersetzt legacy DeviceCustomNumber3). Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. |
FileCreateTime | Zeichenfolge | Zeitpunkt, zu dem die Datei erstellt wurde. |
Dateihash | Zeichenfolge | Hash einer Datei. |
FileID | Zeichenfolge | Eine ID, die einer Datei zugeordnet ist, z. B. INode. |
FileModificationTime | Zeichenfolge | Zeitpunkt der letzten Dateiänderung. |
FileName | Zeichenfolge | Der Dateiname ohne Pfad. |
FilePath | Zeichenfolge | Vollständiger Pfad der Datei einschließlich des Dateinamens. Beispiel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe oder /usr/bin/zip. |
FilePermission | Zeichenfolge | Die Berechtigungen der Datei. Beispiel: "2,1,1". |
FileSize | int | Die Größe der Datei in Bytes. |
FileType | Zeichenfolge | Dateityp wie Pipe, Socket usw. |
FlexDate1 | Zeichenfolge | Ein Zeitstempelfeld, das zum Zuordnen eines Zeitstempels verfügbar ist, der nicht für ein anderes definiertes Zeitstempelfeld in diesem Wörterbuch gilt. Verwenden Sie alle flex-Felder sparsam, und suchen Sie nach Möglichkeit ein spezifisches, wörterbuchbezogenes Feld. Diese Felder sind in der Regel für die Kundennutzung reserviert und sollten nicht von Lieferanten festgelegt werden, es sei denn, dies ist erforderlich. |
FlexDate1Label | Zeichenfolge | Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des Flexfelds. |
FlexNumber1 | int | Zahlenfelder, die zum Zuordnen von Int-Daten verfügbar sind, die nicht für ein anderes Feld in diesem Wörterbuch gelten. |
FlexNumber1Label | Zeichenfolge | Die Beschriftung, die den Wert in FlexNumber1 beschreibt |
FlexNumber2 | int | Zahlenfelder, die zum Zuordnen von Int-Daten verfügbar sind, die nicht für ein anderes Feld in diesem Wörterbuch gelten. |
FlexNumber2Label | Zeichenfolge | Die Beschriftung, die den Wert in FlexNumber2 beschreibt |
FlexString1 | Zeichenfolge | Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. Diese Felder sind in der Regel für die Kundennutzung reserviert und sollten nicht von Lieferanten festgelegt werden, es sei denn, dies ist erforderlich. |
FlexString1Label | Zeichenfolge | Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des Flexfelds. |
FlexString2 | Zeichenfolge | Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. Diese Felder sind in der Regel für die Kundennutzung reserviert und sollten nicht von Lieferanten festgelegt werden, es sei denn, dies ist erforderlich. |
FlexString2Label | Zeichenfolge | Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des Flexfelds. |
IndicatorThreatType | Zeichenfolge | Der Bedrohungstyp des MaliciousIP gemäß unserem TI-Feed. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
LogSeverity | Zeichenfolge | Eine Zeichenfolge oder ganze Zahl, die die Wichtigkeit des Ereignisses beschreibt. Gültige Zeichenfolgenwerte: Unknown , Low, Medium, High, Very-High Valid integer values: 0-3 = Low, 4-6 = Medium, 7-8 = High, 9-10 = Very-High. |
MaliciousIP | Zeichenfolge | Wenn eine der IP-Adressen in der Nachricht mit dem aktuellen TI-Feed korreliert wurde, wird es hier angezeigt. |
MaliciousIPCountry | Zeichenfolge | Das Land der BöswilligenIP gemäß den GEO-Informationen zum Zeitpunkt der Aufnahme des Datensatzes. |
MaliciousIPLatitude | real | Der Breitengrad des MaliciousIP gemäß den GEO-Informationen zum Zeitpunkt der Aufnahme des Datensatzes. |
MaliciousIPLongitude | real | Der Längengrad des MaliciousIP gemäß den GEO-Informationen zum Zeitpunkt der Aufnahme des Datensatzes. |
`Message` | Zeichenfolge | Eine Meldung, die weitere Details zum Ereignis enthält. |
OldFileCreateTime | Zeichenfolge | Zeitpunkt, zu dem die alte Datei erstellt wurde. |
OldFileHash | Zeichenfolge | Hash der alten Datei. |
OldFileID | Zeichenfolge | Eine ID, die der alten Datei zugeordnet ist, z. B. INode. |
OldFileModificationTime | Zeichenfolge | Zeitpunkt der letzten Änderung der alten Datei. |
OldFileName | Zeichenfolge | Name der alten Datei. |
OldFilePath | Zeichenfolge | Vollständiger Pfad der alten Datei einschließlich des Dateinamens. Beispiel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe oder /usr/bin/zip. |
OldFilePermission | Zeichenfolge | Berechtigungen der alten Datei. Beispiel: "2,1,1". |
OldFileSize | int | Die Größe der alten Datei in Byte. |
OldFileType | Zeichenfolge | Dateityp der alten Datei wie Pipe, Socket usw. |
OriginalLogSeverity | Zeichenfolge | Eine nicht zugeordnete Version von LogSeverity. Beispiel: Warnung/Kritisch/Info anstelle des normilisierten Low/Medium/High im LogSeverity-Feld |
ProcessID | int | Definiert die ID des Prozesses auf dem Gerät, das das Ereignis erzeugt. |
ProcessName | Zeichenfolge | Dem Ereignis zugeordneter Prozessname. Beispiel: In UNIX generiert der Prozess den Syslog-Eintrag. |
Protokoll | Zeichenfolge | Transportprotokoll, das das verwendete Layer-4-Protokoll identifiziert. Mögliche Werte sind Protokollnamen, z. B. TCP oder UDP. |
Ursache | Zeichenfolge | Der Grund für die Generierung eines Überwachungsereignisses. Beispiel: "Ungültiges Kennwort" oder "unbekannter Benutzer". Dies kann auch ein Fehler- oder Rückgabecode sein. Beispiel: '0x1234'. |
ReceiptTime | Zeichenfolge | Der Zeitpunkt, zu dem das mit der Aktivität verbundene Ereignis empfangen wurde. Anders als das Feld "Timegenerated", bei dem das Ereignis auf dem Protokollsammlercomputer empfangen wurde. |
ReceivedBytes | long | Anzahl der eingehend übertragenen Bytes. |
RemoteIP | Zeichenfolge | Die remote-IP-Adresse, die von dem Richtungswert des Ereignisses abgeleitet ist, falls möglich. |
RemotePort | Zeichenfolge | Der Remoteport, der von dem Richtungswert des Ereignisses abgeleitet ist, falls möglich. |
ReportReferenceLink | Zeichenfolge | Link zum Bericht des TI-Feeds. |
RequestClientApplication | Zeichenfolge | Der Benutzer-Agent, der der Anforderung zugeordnet ist. |
RequestContext | Zeichenfolge | Beschreibt den Inhalt, von dem die Anforderung stammt, z. B. den HTTP-Referrer. |
RequestCookies | Zeichenfolge | Der Anforderung zugeordnete Cookies. |
RequestMethod | Zeichenfolge | Die zum Zugreifen auf eine URL verwendete Methode. Gültige Werte umfassen Methoden wie POST, GET usw. |
RequestURL | Zeichenfolge | Die URL, auf die für eine HTTP-Anforderung zugegriffen wird, einschließlich des Protokolls. Beispiel: http://www/secure.com. |
_ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
SentBytes | long | Anzahl der ausgehend übertragenen Bytes. |
SimplifiedDeviceAction | Zeichenfolge | Eine zugeordnete Version von DeviceAction, z. B. Denied > Deny. |
SourceDnsDomain | Zeichenfolge | Der DNS-Domänenteil des vollständigen FQDN. |
SourceHostName | Zeichenfolge | Identifiziert die Quelle, auf die sich das Ereignis in einem IP-Netzwerk bezieht. Das Format muss ein vollqualifizierter Domänenname (DQDN) sein, der dem Quellknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Beispiel: Host oder host.domain.com. |
SourceIP | Zeichenfolge | Die Quelle, auf die ein Ereignis in einem IP-Netzwerk verweist, als IPv4-Adresse. |
SourceMACAddress | Zeichenfolge | MAC-Adresse der Quelle. |
SourceNTDomain | Zeichenfolge | Der Windows-Domänenname für die Quelladresse. |
SourcePort | int | Die Quellportnummer. Gültige Portnummern sind 0 - 65535. |
SourceProcessId | int | Die ID des Quellprozesses, der dem Ereignis zugeordnet ist. |
SourceProcessName | Zeichenfolge | Der Name des Quellprozesses des Ereignisses. |
SourceServiceName | Zeichenfolge | Der Dienst, der für das Generieren des Ereignisses verantwortlich ist. |
SourceSystem | Zeichenfolge | Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
SourceTranslatedAddress | Zeichenfolge | Identifiziert die übersetzte Quelle, auf die sich das Ereignis bezieht, in einem IP-Netzwerk. |
SourceTranslatedPort | int | Quellport nach der Übersetzung, z. B. als Firewall. Gültige Portnummern sind 0 - 65535. |
SourceUserID | Zeichenfolge | Identifiziert den Quellbenutzer anhand der ID. |
SourceUserName | Zeichenfolge | Identifiziert den Quellbenutzer anhand des Namens. E-Mail-Adressen werden auch den Feldern "UserName" zugeordnet. Der Absender ist ein Kandidat, der in dieses Feld aufgenommen werden soll. |
SourceUserPrivileges | Zeichenfolge | Die Berechtigungen des Quellbenutzers. Gültige Werte sind: Administrator, Benutzer, Gast. |
StartTime | datetime | Der Zeitpunkt, zu dem die Aktivität, auf die das Ereignis verweist, gestartet wurde. |
_SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
TenantId | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
ThreatConfidence | Zeichenfolge | Die Bedrohungszuversicht des MaliciousIP gemäß unserem TI-Feed. |
ThreatDescription | Zeichenfolge | Die Bedrohungsbeschreibung des MaliciousIP gemäß unserem TI-Feed. |
ThreatSeverity | int | Der Schweregrad der Bedrohung des MaliciousIP gemäß unserem TI-Feed zum Zeitpunkt der Aufzeichnungsaufnahme. |
TimeGenerated | datetime | Ereignissammlungszeit in UTC. |
type | Zeichenfolge | Der Name der Tabelle. |