Compartir a través de


ASimAuditEventLogs

Tabla de eventos de auditoría normalizada de Microsoft Sentinel. Almacena eventos asociados a la pista de auditoría de sistemas de información y registros de seguimiento de auditoría actividades de configuración del sistema y cambios de directiva. Estos cambios suelen realizarlos los administradores del sistema, pero también los usuarios pueden realizarlos al configurar las opciones de sus propias aplicaciones.

Atributos de tabla

Attribute Valor
Tipos de recursos microsoft.securityinsights/auditeventnormalized
Categorías Seguridad
Soluciones Información de seguridad
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo -

Columnas

Columna Type Description
ActingAppId string Identificador de la aplicación que inició la actividad notificada, incluido un proceso, un explorador o un servicio.
ActingAppName string Nombre de la aplicación que inició la actividad notificada, incluido un servicio, una dirección URL o una aplicación SaaS.
ActingAppType string Tipo de la aplicación que actúa.
ActingOriginalAppType string Tipo de aplicación que actúa según lo notificado por el dispositivo de informes.
ActorOriginalUserType string Tipo de usuario indicado por el dispositivo de informes.
ActorScope string Ámbito, como el inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername.
ActorScopeId string El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername.
ActorSessionId string Identificador único de la sesión de inicio de sesión del actor.
ActorUserAadId string Identificador de Azure Active Directory del actor.
ActorUserId string Representación única, alfanumérica y legible por máquina del actor.
ActorUserIdType string Tipo del identificador almacenado en el campo ActorUserId.
ActorUsername string Nombre de usuario del actor, incluida la información de dominio cuando esté disponible.
ActorUsernameType string Tipo del nombre de usuario del actor especificado en el campo ActionUsername
ActorUserSid string Identificador de usuario (SID) de Windows del actor.
ActorUserType string Tipo del actor.
AdditionalFields dinámico Información adicional, representada mediante pares clave-valor proporcionados por el origen que no se asignan a ASim.
_BilledSize real Tamaño del registro en bytes
DvcAction string En el caso de los sistemas de seguridad de informes, la acción realizada por el sistema.
DvcDescription string Texto descriptivo asociado al dispositivo.
DvcDomain string Dominio del dispositivo que informa del evento.
DvcDomainType string Tipo de DvcDomain.
DvcFQDN string Nombre de host del dispositivo en el que se produjo el evento o que informó del evento.
DvcHostname string Nombre de host del dispositivo que informa del evento.
DvcId string Identificador único del dispositivo en el que se produjo el evento o que informó del evento.
DvcIdType string Tipo de DvcId.
DvcInterface string Interfaz de red en la que se capturaron los datos.
DvcIpAddr string Dirección IP del dispositivo que informa del evento.
DvcMacAddr string La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento.
DvcOriginalAction string El valor original de DvcAction, como se proporciona en el dispositivo de informes.
DvcOs string El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento.
DvcOsVersion string La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento.
DvcScope string Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DvcScopeId string Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
DvcZone string Red en la que se produjo el evento o que informó del evento.
EventCount int Número de eventos descritos por el registro.
EventEndTime datetime Hora (UTC) en la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated.
EventMessage string Mensaje o descripción general.
EventOriginalResultDetails string Detalles del resultado original proporcionados por el origen.
EventOriginalSeverity string La gravedad del original, como se especifica en el dispositivo de informes.
EventOriginalSubType string El subtipo o identificador del evento original, si lo proporciona el origen.
EventOriginalType string Tipo o Id. del evento original, si lo proporciona el origen.
EventOriginalUid string Id. único del registro original, si lo proporciona el origen.
EventOwner string Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó.
EventProduct string Producto que genera el evento.
EventProductVersion string Versión del producto que genera el evento.
EventReportUrl string Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento.
EventResult string Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails.
EventResultDetails string Motivo o detalles del resultado notificado en el campo EventResult.
EventSchemaVersion string Versión del esquema.
EventSeverity string La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto.
EventStartTime datetime Hora (UTC) en la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated.
EventSubType string Describe una subdivisión de la operación notificada en el campo EventType.
EventType string Describe la operación notificada por el registro.
EventVendor string Proveedor del producto que genera el evento.
HttpUserAgent string Cuando se realiza la autenticación a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
NewValue string Nuevo valor de Object después de realizar la operación.
Object string Nombre del objeto en el que se realiza la operación identificada por EventType.
ObjectId string Nombre del objeto en el que se realiza la operación identificada por EventType.
ObjectType string Tipo de objeto.
OldValue string Valor anterior de Object antes de la operación.
Operación string La operación auditada según lo notificado por el dispositivo de informes.
OriginalObjectType string Tipo de objeto notificado por el dispositivo de informes.
_ResourceId string Identificador único del recurso al que está asociado el registro.
RuleName string Nombre o identificador de la regla asociada a los resultados de la inspección.
RuleNumber int Número de la regla asociado a los resultados de la inspección.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
SrcDescription string Texto descriptivo asociado al dispositivo de origen.
SrcDeviceType string Tipo del dispositivo de origen.
SrcDomain string Dominio del dispositivo de origen.
SrcDomainType string Tipo de SrcDomain.
SrcDvcId string Identificador del dispositivo de origen.
SrcDvcIdType string Tipo de SrcDvcId.
SrcDvcScope string Ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcDvcScopeId string El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
SrcFQDN string Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible.
SrcGeoCity string Ciudad asociada con la dirección IP de origen.
SrcGeoCountry string País asociado con la dirección IP de origen.
SrcGeoLatitude real Latitud de la coordenada geográfica asociada con la dirección IP de origen.
SrcGeoLongitude real Longitud de la coordenada geográfica asociada con la dirección IP de origen.
SrcGeoRegion string Región de un país asociado con la dirección IP de origen.
SrcHostname string Nombre de host del dispositivo de origen, excepto la información de dominio.
SrcIpAddr string Dirección IP de origen desde la que se originó la conexión o la sesión.
SrcOriginalRiskLevel string El nivel de riesgo asociado con el origen identificado tal como lo notifica el dispositivo de informes.
SrcPortNumber int Puerto IP de origen desde el que se originó la conexión.
SrcRiskLevel int Nivel de riesgo asociado al origen identificado.
_SubscriptionId string Identificador único de la suscripción a la que está asociado el registro.
TargetAppId string Identificador de la aplicación a la que se aplica el evento, incluido un proceso, un explorador o un servicio.
TargetAppName string Nombre de la aplicación a la que se aplica el evento, incluido un servicio, una dirección URL o una aplicación SaaS.
TargetAppType string Tipo de la aplicación que se autoriza en nombre del actor.
TargetDescription string Texto descriptivo asociado al dispositivo de destino.
TargetDeviceType string Tipo del dispositivo de destino.
TargetDomain string Dominio del dispositivo de destino.
TargetDomainType string Tipo de TargetDomain.
TargetDvcId string Identificador del dispositivo de destino.
TargetDvcIdType string Tipo de TargetDvcId.
TargetDvcOs string Sistema operativo del dispositivo de destino.
TargetDvcScope string Ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. TargetDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
TargetDvcScopeId string El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. TargetDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS.
TargetFQDN string Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible.
TargetGeoCity string Ciudad asociada con la dirección IP de destino.
TargetGeoCountry string País asociado con la dirección IP de destino.
TargetGeoLatitude real Latitud de la coordenada geográfica asociada con la dirección IP de destino.
TargetGeoLongitude real Longitud de la coordenada geográfica asociada con la dirección IP de destino.
TargetGeoRegion string Región de un país asociado con la dirección IP de destino.
TargetHostname string Nombre de host del dispositivo de destino, excepto la información de dominio.
TargetIpAddr string Dirección IP de destino desde la que se originó la conexión o la sesión.
TargetOriginalAppType string Tipo de aplicación de destino notificado por el dispositivo de informes.
TargetOriginalRiskLevel string El nivel de riesgo asociado al destino, tal como lo notifica el dispositivo que informa.
TargetPortNumber int Puerto IP de destino desde el que se originó la conexión.
TargetRiskLevel int Nivel de riesgo asociado con el destino.
TargetUrl string Dirección URL asociada a la aplicación de destino.
TenantId string Id. del área de trabajo de Log Analytics
ThreatCategory string Categoría de la amenaza o malware identificado en la actividad de auditoría.
ThreatConfidence int Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100.
ThreatField string Campo para el que se identificó una amenaza.
ThreatFirstReportedTime datetime La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatId string Identificador de la amenaza o del malware identificados en la actividad de auditoría.
ThreatIpAddr string Dirección IP o Dominio para el que se identificó una amenaza.
ThreatIsActive bool True si la amenaza identificada se considera una amenaza activa.
ThreatLastReportedTime datetime La primera vez que la dirección IP o el dominio se identificaron como una amenaza.
ThreatName string Nombre de la amenaza o del malware identificados en la actividad de auditoría.
ThreatOriginalConfidence string El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa.
ThreatOriginalRiskLevel string Nivel de riesgo indicado por el dispositivo de informes.
ThreatRiskLevel int Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100.
TimeGenerated datetime Marca de tiempo (UTC) que refleja la hora en la que se generó el evento.
Tipo string Nombre de la tabla.
ValueType string Tipo de los valores antiguos y nuevos.