Compartir a través de


CommonSecurityLog

Esta tabla es para recopilar eventos en el formato de evento común, que se envían con más frecuencia desde diferentes dispositivos de seguridad, como Check Point, Palo Alto y mucho más.

Atributos de tabla

Attribute Valor
Tipos de recursos microsoft.securityinsights/cef,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Categorías Seguridad
Soluciones Seguridad, SecurityInsights
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo

Columnas

Columna Type Descripción
Actividad string Cadena que representa una descripción inteligible y comprensible del evento.
AdditionalExtensions string Marcador de posición para campos adicionales. Los campos se registran como pares clave-valor.
ApplicationProtocol string Protocolo usado en la aplicación, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS, etc.
_BilledSize real Tamaño del registro en bytes
CollectorHostName string Nombre de host de la máquina del recopilador que ejecuta el agente.
CommunicationDirection string Cualquier información sobre la dirección que ha tomado la comunicación observada. Valores válidos: 0 = Entrante, 1 = Saliente.
Computer string Host, desde Syslog.
DestinationDnsDomain string La parte DNS del nombre de dominio completo (FQDN).
DestinationHostName string Destino al que hace referencia el evento en una red IP. El formato debe ser un FQDN asociado al nodo de destino, cuando un nodo está disponible. Por ejemplo: host.domain.com o host.
DestinationIP string Dirección IpV4 de destino a la que hace referencia el evento en una red IP.
DestinationMACAddress string Dirección MAC de destino (FQDN).
DestinationNTDomain string Nombre de dominio de Windows de la dirección de destino.
DestinationPort int Puerto de destino. Valores válidos: 0 - 65535.
DestinationProcessId int Id. proceso de destino asociado al evento.
DestinationProcessName string Nombre del proceso de destino del evento, como telnetd o sshd.
DestinationServiceName string Servicio que la etiqueta tiene como evento. Por ejemplo: sshd.
DestinationTranslatedAddress string Identifica el destino traducido al que hace referencia el evento en una red IP, como una dirección IP IPv4.
DestinationTranslatedPort int Puerto después de la traducción, como un firewall Números de puerto válidos: 0 a 65535.
DestinationUserID string Identifica el usuario de destino por id. Por ejemplo: en Unix, el usuario raíz suele asociarse con el identificador de usuario 0.
DestinationUserName string Identifica el usuario de destino por nombre.
DestinationUserPrivileges string Define los privilegios del uso de destino. Valores válidos: Admninistrator, User, Guest.
DeviceAction string La acción mencionada en el evento.
DeviceAddress string Dirección IPv4 del dispositivo que genera el evento.
DeviceCustomDate1 string Uno de los dos campos de marca de tiempo disponibles para asignar campos que no se aplican a ningún otro en este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
DeviceCustomDate1Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomDate2 string Uno de los dos campos de marca de tiempo disponibles para asignar campos que no se aplican a ningún otro en este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
DeviceCustomDate2Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomFloatingPoint1 real Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario.
DeviceCustomFloatingPoint1Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomFloatingPoint2 real Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario.
DeviceCustomFloatingPoint2Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomFloatingPoint3 real Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario.
DeviceCustomFloatingPoint3Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomFloatingPoint4 real Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario.
DeviceCustomFloatingPoint4Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomIPv6Address1 string Uno de los cuatro campos de dirección IPv6 disponibles para asignar campos que no se aplican a ningún otro de este diccionario.
DeviceCustomIPv6Address1Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomIPv6Address2 string Uno de los cuatro campos de dirección IPv6 disponibles para asignar campos que no se aplican a ningún otro de este diccionario.
DeviceCustomIPv6Address2Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomIPv6Address3 string Uno de los cuatro campos de dirección IPv6 disponibles para asignar campos que no se aplican a ningún otro de este diccionario.
DeviceCustomIPv6Address3Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomIPv6Address4 string Uno de los cuatro campos de dirección IPv6 disponibles para asignar campos que no se aplican a ningún otro de este diccionario.
DeviceCustomIPv6Address4Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomNumber1 int Pronto será un campo en desuso. Se reemplazará por FieldDeviceCustomNumber1.
DeviceCustomNumber1Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomNumber2 int Pronto será un campo en desuso. Se reemplazará por FieldDeviceCustomNumber2.
DeviceCustomNumber2Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomNumber3 int Pronto será un campo en desuso. Se reemplazará por FieldDeviceCustomNumber3.
DeviceCustomNumber3Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomString1 string Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
DeviceCustomString1Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomString2 string Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
DeviceCustomString2Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomString3 string Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
DeviceCustomString3Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomString4 string Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
DeviceCustomString4Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomString5 string Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
DeviceCustomString5Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceCustomString6 string Una de las seis cadenas disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
DeviceCustomString6Label string Todos los campos personalizados tienen un campo de etiqueta correspondiente. Cada uno de estos campos es una cadena y describe el propósito del campo personalizado.
DeviceDnsDomain string Parte del dominio DNS del nombre de dominio completo (FQDN).
DeviceEventCategory string Representa la categoría asignada por el dispositivo de origen. Los dispositivos suelen usar su propio esquema de categorización para clasificar eventos. Ejemplo: '/Monitor/Disco/Lectura'.
DeviceEventClassID string Cadena o entero que actúa como identificador único por tipo de evento.
DeviceExternalID string Nombre que identifica de forma única el dispositivo que genera el evento.
DeviceFacility string Dispositivo que genera el evento. Por ejemplo: autenticación o local1.
DeviceInboundInterface string Interfaz en la que el paquete o los datos entran en el dispositivo. Por ejemplo: ethernet1/2.
DeviceMacAddress string Dirección MAC del dispositivo que genera el evento.
DeviceName string El FQDN asociado al nodo del dispositivo, cuando un nodo está disponible. Por ejemplo: host.domain.com o host.
DeviceNtDomain string Dominio de Windows de la dirección del dispositivo.
DeviceOutboundInterface string Interfaz en la que el paquete o los datos entran en el dispositivo.
DevicePayloadId string Identificador único de la carga asociada al evento.
DeviceProduct string Cadena que junto con las definiciones de producto y versión del dispositivo, identifica de forma única el tipo de dispositivo de envío.
DeviceTimeZone string Zona horaria del dispositivo que genera el evento.
DeviceTranslatedAddress string Identifica la dirección de dispositivo traducida a la que hace referencia el evento, en una red IP. El formato es una dirección IPv4.
DeviceVendor string Cadena que junto con las definiciones de producto y versión del dispositivo, identifica de forma única el tipo de dispositivo de envío.
DeviceVersion string Cadena que junto con las definiciones de producto y versión del dispositivo, identifica de forma única el tipo de dispositivo de envío.
EndTime datetime La hora a la que finalizó la actividad relacionada con el evento.
EventCount int Un recuento asociado al evento, que muestra el número de veces que se observó el mismo evento.
EventOutcome string Muestra el resultado, normalmente como "correcto" o "error".
EventType int Tipo de evento. Los valores de valor incluyen: 0: evento base, 1: agregado, 2: evento de correlación, 3: evento de acción. Nota: este evento se puede omitir para los eventos base.
ExternalID int Pronto será un campo en desuso. Se reemplazará por ExtID.
ExtID string Identificador usado por el dispositivo de origen (reemplazará externalID heredado). Normalmente, estos valores tienen valores crecientes que están asociados a un evento.
FieldDeviceCustomNumber1 long Uno de los tres campos numéricos disponibles para asignar campos que no se aplican a ningún otro de este diccionario (reemplazará a DeviceCustomNumber1 heredado). Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
FieldDeviceCustomNumber2 long Uno de los tres campos numéricos disponibles para asignar campos que no se aplican a ningún otro de este diccionario (reemplazará a DeviceCustomNumber2 heredado). Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
FieldDeviceCustomNumber3 long Uno de los tres campos numéricos disponibles para asignar campos que no se aplican a ningún otro de este diccionario (reemplazará a DeviceCustomNumber3 heredado). Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible.
FileCreateTime string Hora a la que se creó el archivo.
FileHash string Hash de un archivo.
FileID string Un id. asociado a un archivo, como el inode.
FileModificationTime string Hora a la que se modificó el archivo por última vez.
FileName string Nombre del archivo, sin la ruta de acceso.
FilePath string Ruta de acceso completa del archivo, incluido el nombre de archivo. Por ejemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip.
FilePermission string Permisos del archivo. Por ejemplo: '2,1,1'.
FileSize int El tamaño del archivo en bytes.
FileType string Tipo de archivo, como canalización, socket, etc.
FlexDate1 string Campo de marca de tiempo disponible para asignar una marca de tiempo que no se aplica a ningún otro campo de marca de tiempo definido en este diccionario. Use todos los campos flexibles con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. Normalmente, estos campos están reservados para el uso del cliente y los proveedores no deben establecerlos a menos que sea necesario.
FlexDate1Label string El campo de etiqueta es una cadena y describe el propósito del campo flex.
FlexNumber1 int Campos numéricos disponibles para asignar datos Int que no se aplican a ningún otro campo de este diccionario.
FlexNumber1Label string Etiqueta que describe el valor en FlexNumber1
FlexNumber2 int Campos numéricos disponibles para asignar datos Int que no se aplican a ningún otro campo de este diccionario.
FlexNumber2Label string Etiqueta que describe el valor en FlexNumber2
FlexString1 string Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. Normalmente, estos campos están reservados para el uso del cliente y los proveedores no deben establecerlos a menos que sea necesario.
FlexString1Label string El campo de etiqueta es una cadena y describe el propósito del campo flex.
FlexString2 string Uno de los cuatro campos de punto flotante disponibles para asignar campos que no se aplican a ningún otro de este diccionario. Use con moderación y busque un campo proporcionado por diccionario más específico siempre que sea posible. Normalmente, estos campos están reservados para el uso del cliente y los proveedores no deben establecerlos a menos que sea necesario.
FlexString2Label string El campo de etiqueta es una cadena y describe el propósito del campo flex.
IndicatorThreatType string El tipo de amenaza del Malintencionado según nuestra fuente de TI.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
LogSeverity string Cadena o entero que describe la importancia del evento. Valores de cadena válidos: Valores enteros desconocidos, bajos, medios, altos y muy altos son: 0-3 = Bajo, 4-6 = Medio, 7-8 = Alto, 9-10 = Muy alto.
MaliciousIP string Si una de las direcciones IP del mensaje estaba correlacionada con la fuente de TI actual, se mostrará aquí.
MaliciousIPCountry string País del Malintencionado según la información GEO en el momento de la ingesta de registros.
MaliciousIPLatitude real Latitud del Malintencionado según la información GEO en el momento de la ingesta de registros.
MaliciousIPLongitude real Longitud del Malintencionado según la información GEO en el momento de la ingesta de registros.
Publicación string Un mensaje que proporciona más detalles sobre el evento.
OldFileCreateTime string Hora a la que se creó el archivo anterior.
OldFileHash string Hash del archivo anterior.
OldFileID string Y el identificador asociado al archivo anterior, como el inode.
OldFileModificationTime string Hora a la que se modificó el archivo anterior por última vez.
OldFileName string Nombre del archivo anterior.
OldFilePath string Ruta de acceso completa del archivo anterior, incluido el nombre de archivo. Por ejemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip.
OldFilePermission string Permisos del archivo anterior. Por ejemplo: '2,1,1'.
OldFileSize int Tamaño del archivo antiguo en bytes.
OldFileType string Tipo de archivo del archivo anterior, como una canalización, un socket, etc.
OriginalLogSeverity string Una versión no asignada de LogSeverity. Por ejemplo: Advertencia,Crítica/Información en lugar del valor normalizado Bajo/Medio/Alto en el campo LogSeverity
ProcessID int Define el identificador del proceso en el dispositivo que genera el evento.
ProcessName string Nombre del proceso asociado al evento. Por ejemplo: en UNIX, el proceso que genera la entrada de syslog.
Protocolo string Protocolo de transporte que identifica el protocolo de nivel 4 utilizado. Los valores posibles incluyen nombres de protocolo, como TCP o UDP.
Motivo string Motivo por el que se generó un evento de auditoría. Por ejemplo, "contraseña incorrecta" o "usuario desconocido". Esto también podría ser un error o un código de retorno. Ejemplo: "0x1234".
ReceiptTime string La hora a la que finalizó el evento relacionado con la actividad que se recibió. A continuación, difiere el campo "Timegenerated", que es cuando se recibió el evento en la máquina del recopilador de registros.
ReceivedBytes long Número de bytes transferidos de entrada.
RemoteIP string La dirección IP remota, derivada del valor de dirección del evento, si es posible.
RemotePort string El puerto remoto, derivado del valor de dirección del evento, si es posible.
ReportReferenceLink string Vínculo al informe de la fuente de TI.
RequestClientApplication string Agente de usuario asociado a la solicitud.
RequestContext string Describe el contenido desde el que se originó la solicitud, como el origen de referencia HTTP.
RequestCookies string Cookies asociadas a la solicitud.
RequestMethod string Método utilizado para tener acceso a una dirección URL. Los valores válidos incluyen métodos como POST, GET, etc.
RequestURL string Dirección URL a la que se tiene acceso para una solicitud HTTP, incluido el protocolo. Por ejemplo: http://www/secure.com.
_ResourceId string Identificador único del recurso al que está asociado el registro.
SentBytes long Número de bytes transferidos de salida.
SimplifiedDeviceAction string Una versión asignada de DeviceAction, como Denegar denegado > .
SourceDnsDomain string Elemento del dominio DNS del FQDN completo.
SourceHostName string Identifica el origen al que hace referencia el evento en una red IP. El formato debe ser un nombre de dominio completo (DQDN) asociado al nodo de origen, cuando un nodo está disponible. Por ejemplo: host o host.domain.com.
SourceIP string Origen al que hace referencia un evento en una red IP, como una dirección IPv4.
SourceMACAddress string Dirección MAC de origen.
SourceNTDomain string Nombre de dominio de Windows para la dirección de origen.
SourcePort int Número de puerto de origen. Los números de puerto válidos son de 0 a 65535.
SourceProcessId int Id. del proceso de origen asociado al evento.
SourceProcessName string Nombre del proceso de origen del evento.
SourceServiceName string Servicio responsable de generar el evento.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
SourceTranslatedAddress string Identifica el origen traducido al que hace referencia el evento, en una red IP.
SourceTranslatedPort int Puerto de origen después de la traducción, como un firewall. Los números de puerto válidos son de 0 a 65535.
SourceUserID string Identifica el usuario de origen por identificador.
SourceUserName string Identifica el usuario de origen por nombre. Las direcciones de correo electrónico también se asignan a los campos UserName. El remitente es un candidato para colocar en este campo.
SourceUserPrivileges string Privilegios del usuario de origen. Entre los valores válidos se incluyen: Administrador, Usuario, Invitado.
StartTime datetime Hora a la que se inicia la actividad a la que hace referencia el evento.
_SubscriptionId string Identificador único de la suscripción a la que está asociado el registro.
TenantId string Id. del área de trabajo de Log Analytics
ThreatConfidence string La confianza en la amenaza del Malintencionado según nuestra fuente de TI.
ThreatDescription string La descripción de la amenaza del MalintencionadoIP según nuestra fuente de TI.
ThreatSeverity int La gravedad de la amenaza del Malintencionado según nuestra fuente de TI en el momento de la ingesta de registros.
TimeGenerated datetime Hora de recopilación de eventos en UTC.
Tipo string Nombre de la tabla.