Freigeben über


ASimRegistryEventLogs

Das ASim-Registrierungsereignisschema stellt die Windows-Aktivität zum Erstellen, Ändern oder Löschen von Windows-Registrierungsentitäten dar. Registrierungsereignisse sind spezifisch für Windows-Systeme, werden aber von verschiedenen Systemen gemeldet, die Windows überwachen, z. B. EDR-Systeme (Endpunkterkennung und -antwort), Sysmon oder Windows selbst.

Tabellenattribute

attribute Wert
Ressourcentypen microsoft.securityinsights/asimtables
Kategorien Sicherheit
Lösungen SecurityInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen -

Spalten

Spalte Type BESCHREIBUNG
ActingProcessCommandLine Zeichenfolge Die Befehlszeile, die zum Ausführen des Prozesses verwendet wird.
ActingProcessGuid Zeichenfolge Ein generierter eindeutiger Bezeichner des handelnden Prozesses.
ActingProcessId Zeichenfolge Die Prozess-ID des handelnden Prozesses.
ActingProcessName Zeichenfolge Der Dateiname der Imagedatei des agierenden Prozesses.
ActorOriginalUserType Zeichenfolge Der ursprüngliche Akteurbenutzertyp, sofern von der Quelle bereitgestellt.
ActorScope Zeichenfolge Der Bereich, z. B. der Azure AD-Mandant, in dem ActorUserId und ActorUsername definiert sind.
ActorScopeId Zeichenfolge Die Bereichs-ID, z. B. azure AD-Mandanten-ID, in der ActorUserId und ActorUsername definiert sind.
ActorSessionId Zeichenfolge Die eindeutige ID der Anmeldesitzung des Akteurs.
ActorUserAadId Zeichenfolge Die Azure Active Directory-ID des Akteurs.
ActorUserId Zeichenfolge Eine eindeutige ID des Akteurs.
ActorUserIdType Zeichenfolge Der Typ der ID, die im Feld ActorUserId gespeichert ist.
ActorUsername Zeichenfolge Der Benutzername des Benutzers, der das Ereignis initiiert hat.
ActorUsernameType Zeichenfolge Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist.
ActorUserSid Zeichenfolge Die Windows-Benutzer-ID (SIDs) des Akteurs.
ActorUserType Zeichenfolge Der Typ des Akteurs.
AdditionalFields dynamisch Zusätzliche Informationen, dargestellt mithilfe von Schlüssel-Wert-Paaren, die von der Quelle bereitgestellt werden, die nicht ASim zugeordnet sind.
_BilledSize real Die Datensatzgröße in Bytes.
DvcAction Zeichenfolge Für die Meldung von Sicherheitssystemen, die vom System ergriffene Aktion.
DvcDescription Zeichenfolge Ein mit dem Gerät verknüpfter beschreibender Text.
DvcDomain Zeichenfolge Die Domäne des Geräts, das das Ereignis meldet.
DvcDomainType Zeichenfolge Der Typ von DvcDomain.
DvcFQDN Zeichenfolge Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
DvcHostname Zeichenfolge Der Hostname des Geräts, das das Ereignis meldet.
DvcId Zeichenfolge Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
DvcIdType Zeichenfolge Der Typ von DvcId.
DvcInterface Zeichenfolge Die Netzwerkschnittstelle, über die Daten erfasst wurden.
DvcIpAddr Zeichenfolge Die IP-Adresse des Geräts, das das Ereignis meldet.
DvcMacAddr Zeichenfolge Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.
DvcOriginalAction Zeichenfolge Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben.
DvcOs Zeichenfolge Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.
DvcOsVersion Zeichenfolge Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.
DvcScope Zeichenfolge Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einem Abonnementnamen in Azure und einer Konto-ID in AWS zugeordnet.
DvcScopeId Zeichenfolge Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DvcZone Zeichenfolge Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
EventCount int Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden.
EventEndTime datetime Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, wird der Zeitpunkt, zu dem das letzte Ereignis generiert wurde, generiert. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar.
EventMessage Zeichenfolge Eine allgemeine Nachricht oder Beschreibung.
EventOriginalResultDetails Zeichenfolge Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden.
EventOriginalSeverity Zeichenfolge Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben.
EventOriginalSubType Zeichenfolge Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt.
EventOriginalType Zeichenfolge Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt.
EventOriginalUid Zeichenfolge .
EventOwner Zeichenfolge Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde
EventProduct Zeichenfolge Das Produkt, das das Ereignis erzeugt.
EventProductVersion Zeichenfolge Die Version des Produkts, das das Ereignis erzeugt.
EventReportUrl Zeichenfolge Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält.
EventResult Zeichenfolge Das Ergebnis des Ereignisses, dargestellt durch einen der folgenden Werte: Success, Partial, Failure, NA (Not Applicable). Der Wert kann nicht direkt von den Quellen bereitgestellt werden, in diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld "EventResultDetails".
EventResultDetails Zeichenfolge Grund oder Details für das im Feld EventResult gemeldete Ergebnis.
EventSchema Zeichenfolge Der Name des Schemas.
EventSchemaVersion Zeichenfolge Die Version des Schemas.
EventSeverity Zeichenfolge Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High.
EventStartTime datetime Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, wird der Zeitpunkt, zu dem das erste Ereignis generiert wurde, generiert. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar.
EventSubType Zeichenfolge Beschreibt eine Untereinheit des Vorgangs, der im Feld EventType gemeldet wird.
EventType Zeichenfolge Beschreibt den vom Datensatz gemeldeten Vorgang.
EventVendor Zeichenfolge Der Hersteller des Produkts, das das Ereignis erzeugt.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
ParentProcessCommandLine Zeichenfolge Die Befehlszeile, die zum Ausführen des Prozesses verwendet wird.
ParentProcessGuid Zeichenfolge Ein generierter eindeutiger Bezeichner des übergeordneten Prozesses.
ParentProcessId Zeichenfolge Die Prozess-ID des übergeordneten Prozesses.
ParentProcessName Zeichenfolge Der Dateiname der Imagedatei des übergeordneten Prozesses.
RegistryKey Zeichenfolge Der Registrierungsschlüssel, der dem Vorgang zugeordnet und auf Standardnamenskonventionen für Stammschlüssel normalisiert ist.
RegistryPreviousKey Zeichenfolge Bei Vorgängen, die die Registrierung ändern, der ursprüngliche Registrierungsschlüssel, normalisiert in die Standardbenennung für Stammschlüssel.
RegistryPreviousValue Zeichenfolge Bei Vorgängen, die die Registrierung ändern, der ursprüngliche Werttyp, normalisiert in die Standardform.
RegistryPreviousValueData Zeichenfolge Bei Vorgängen, die die Registrierung ändern, die ursprünglichen Registrierungsdaten.
RegistryPreviousValueType Zeichenfolge Bei Vorgängen, die die Registrierung ändern, der ursprüngliche Werttyp.
RegistryValue Zeichenfolge Der dem Vorgang zugeordnete Registrierungswert.
RegistryValueData Zeichenfolge Die im Registrierungswert gespeicherten Daten.
RegistryValueType Zeichenfolge Der Typ des Registrierungswerts, normalisiert in Standardform.
_ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist.
RuleName Zeichenfolge Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist.
RuleNumber int Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
_SubscriptionId Zeichenfolge Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist.
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
ThreatCategory Zeichenfolge Die Kategorie der Inaktivität identifizierten Bedrohungen oder Schadsoftware.
ThreatConfidence int Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100
ThreatField Zeichenfolge Das Feld, für das eine Bedrohung identifiziert wurde.
ThreatFirstReportedTime datetime Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatId Zeichenfolge Die ID der in der Aktivität identifizierten Bedrohung oder Schadsoftware.
ThreatIsActive bool True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet.
ThreatLastReportedTime datetime Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatName Zeichenfolge Der Name der in der Aktivität identifizierten Bedrohung oder Schadsoftware.
ThreatOriginalConfidence Zeichenfolge Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet.
ThreatOriginalRiskLevel Zeichenfolge Die Risikostufe, wie vom meldenden Gerät gemeldet.
ThreatRiskLevel int Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln.
TimeGenerated datetime Der Zeitstempel (UTC), der die Uhrzeit widerspiegelt, in der das Ereignis generiert wurde.
type Zeichenfolge Der Name der Tabelle.