CommonSecurityLog
Ce tableau est destiné à collecter des événements au format d’événement commun, qui sont les plus souvent envoyés à partir de différentes appliances de sécurité telles que Check Point, Palo Alto et bien plus encore.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressources | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Catégories | Sécurité |
| Solutions | Sécurité, SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| Activité | string | Chaîne qui représente une description explicite et compréhensible de l’événement. |
| AdditionalExtensions | string | Espace réservé pour des champs supplémentaires. Les champs sont enregistrés sous forme de paires clé-valeur. |
| ApplicationProtocol | string | Protocole utilisé dans l’application, tel que HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAP, etc. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| CollectorHostName | string | Nom d’hôte de l’ordinateur collecteur exécutant l’agent. |
| CommunicationDirection | string | Toutes les informations sur le sens de la communication observée. Valeurs valides : 0 = Entrant, 1 = Sortant. |
| Computer | string | Hôte, à partir de Syslog. |
| DestinationDnsDomain | string | Partie DNS du nom de domaine complet (FQDN). |
| DestinationHostName | string | Destination à laquelle l’événement fait référence dans un réseau IP. Le format doit être un nom de domaine complet associé au nœud de destination, lorsqu’un nœud est disponible. Par exemple : host.domain.com ou hôte. |
| DestinationIP | string | L’adresse IpV4 de destination à laquelle l’événement fait référence dans un réseau IP. |
| DestinationMACAddress | string | Adresse MAC de destination (FQDN). |
| DestinationNTDomain | string | Nom de domaine Windows de l’adresse de destination. |
| DestinationPort | int | Port de destination. Valeurs valides : 0 - 65535. |
| DestinationProcessId | int | L’ID du processus de destination associé à l’événement. |
| DestinationProcessName | string | Nom du processus de destination de l’événement, tel que telnetd ou sshd. |
| DestinationServiceName | string | Le service ciblé par l’événement. Par exemple : sshd. |
| DestinationTranslatedAddress | string | Identifie la destination traduite référencée par l’événement dans un réseau IP, sous la forme d’une adresse IP IPv4. |
| DestinationTranslatedPort | int | Port après la traduction, tel qu’un pare-feu Numéros de port valides : 0 - 65535. |
| DestinationUserID | string | Identifie l’utilisateur de destination par son ID. Par exemple : dans Unix, l’utilisateur racine est généralement associé à l’ID d’utilisateur 0. |
| DestinationUserName | string | Identifie l’utilisateur de destination par son nom. |
| DestinationUserPrivileges | string | Définit les privilèges de l’utilisation de la destination. Valeurs valides : Admninistrator, Utilisateur, Invité. |
| DeviceAction | string | L’action mentionnée dans l’événement. |
| DeviceAddress | string | Adresse IPv4 de l’appareil générant l’événement. |
| DeviceCustomDate1 | string | Un des deux champs d’horodatage disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| DeviceCustomDate1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomDate2 | string | Un des deux champs d’horodatage disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| DeviceCustomDate2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomFloatingPoint1 | real | Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. |
| DeviceCustomFloatingPoint1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomFloatingPoint2 | real | Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. |
| DeviceCustomFloatingPoint2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomFloatingPoint3 | real | Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. |
| DeviceCustomFloatingPoint3Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomFloatingPoint4 | real | Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. |
| DeviceCustomFloatingPoint4Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomIPv6Address1 | string | L’un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. |
| DeviceCustomIPv6Address1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomIPv6Address2 | string | L’un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. |
| DeviceCustomIPv6Address2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomIPv6Address3 | string | L’un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. |
| DeviceCustomIPv6Address3Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomIPv6Address4 | string | L’un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. |
| DeviceCustomIPv6Address4Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomNumber1 | int | Bientôt un champ déconseillé. Sera remplacé par FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomNumber2 | int | Bientôt un champ déconseillé. Sera remplacé par FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomNumber3 | int | Bientôt un champ déconseillé. Sera remplacé par FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomString1 | string | Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| DeviceCustomString1Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomString2 | string | Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| DeviceCustomString2Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomString3 | string | Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| DeviceCustomString3Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomString4 | string | Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| DeviceCustomString4Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomString5 | string | Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| DeviceCustomString5Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceCustomString6 | string | Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| DeviceCustomString6Label | string | Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé. |
| DeviceDnsDomain | string | Partie de domaine DNS du nom de domaine complet (FQDN). |
| DeviceEventCategory | string | Représente la catégorie affectée par l’appareil d’origine. Les appareils utilisent souvent leur propre schéma de catégorisation pour classifier un événement. Exemple : '/Monitor/Disk/Read'. |
| DeviceEventClassID | string | Chaîne ou entier qui sert d’identificateur unique par type d’événement. |
| DeviceExternalID | string | Nom qui identifie de façon unique l’appareil générant l’événement. |
| DeviceFacility | string | La structure générant l’événement. Par exemple : authentification ou local1. |
| DeviceInboundInterface | string | Interface sur laquelle le paquet ou les données sont entrés sur l’appareil. Par exemple : ethernet1/2. |
| DeviceMacAddress | string | Adresse MAC de l’appareil générant l’événement. |
| DeviceName | string | Nom de domaine complet associé au nœud de l’appareil, lorsqu’un nœud est disponible. Par exemple : host.domain.com ou hôte. |
| DeviceNtDomain | string | Domaine Windows de l’adresse de l’appareil. |
| DeviceOutboundInterface | string | Interface sur laquelle le paquet ou les données ont quitté l’appareil. |
| DevicePayloadId | string | Identificateur unique de la charge utile associée à l’événement. |
| DeviceProduct | string | Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi. |
| DeviceTimeZone | string | Fuseau horaire de l’appareil générant l’événement. |
| DeviceTranslatedAddress | string | Identifie l’adresse de l’appareil traduit à laquelle l’événement fait référence, sur un réseau IP. Le format est une adresse Ipv4. |
| DeviceVendor | string | Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi. |
| DeviceVersion | string | Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi. |
| EndTime | DATETIME | Heure à laquelle l’activité associée à l’événement s’est terminée. |
| EventCount | int | Nombre associé à l’événement, qui indique le nombre de fois que le même événement a été observé. |
| EventOutcome | string | Affiche le résultat, généralement en tant que « réussite » ou « échec ». |
| Type d’événement | int | Type d'événement. Les valeurs de valeur sont les suivantes : 0 : événement de base, 1 : agrégé, 2 : événement de corrélation, 3 : événement d’action. Remarque : cet événement peut être omis pour les événements de base. |
| ExternalID | int | Bientôt un champ déconseillé. Sera remplacé par ExtID. |
| ExtID | string | ID utilisé par l’appareil d’origine (remplace externalID hérité). En règle générale, ces valeurs ont des valeurs de plus en plus associées à un événement. |
| FieldDeviceCustomNumber1 | long | Un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire (remplace deviceCustomNumber1 hérité). Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| FieldDeviceCustomNumber2 | long | Un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire (remplace deviceCustomNumber2 hérité). Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| FieldDeviceCustomNumber3 | long | Un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire (remplace deviceCustomNumber3 hérité). Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. |
| FileCreateTime | string | Heure de création du fichier. |
| FileHash | string | Hachage d’un fichier. |
| FileID | string | Un ID associé à un fichier, tel que l’inode. |
| FileModificationTime | string | Heure à laquelle le fichier a été modifié pour la dernière fois. |
| FileName | string | Nom du fichier, sans le chemin d’accès. |
| FilePath | string | Chemin complet d'accès du fichier, y compris le nom de fichier. Par exemple : C :\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| FilePermission | string | Les autorisations du fichier. Par exemple : « 2,1,1 ». |
| FileSize | int | Taille du fichier en octets. |
| FileType | string | Type de fichier (par exemple, canal, Socket, etc.). |
| FlexDate1 | string | Champ d’horodatage disponible pour mapper un horodatage qui ne s’applique à aucun autre champ d’horodatage défini dans ce dictionnaire. Utilisez tous les champs flex avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation du client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire. |
| FlexDate1Label | string | Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex. |
| FlexNumber1 | int | Champs numériques disponibles pour mapper les données Int qui ne s’appliquent à aucun autre champ de ce dictionnaire. |
| FlexNumber1Label | string | Étiquette qui décrit la valeur dans FlexNumber1 |
| FlexNumber2 | int | Champs numériques disponibles pour mapper les données Int qui ne s’appliquent à aucun autre champ de ce dictionnaire. |
| FlexNumber2Label | string | Étiquette qui décrit la valeur dans FlexNumber2 |
| FlexString1 | string | Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation du client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire. |
| FlexString1Label | string | Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex. |
| FlexString2 | string | Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation du client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire. |
| FlexString2Label | string | Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex. |
| IndicatorThreatType | string | Type de menace de l’élément MalveillantIP en fonction de notre flux TI. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable’ingestion false n’est pas facturée à votre compte Azure |
| LogSeverity | string | Chaîne ou entier qui décrit l’importance de l’événement. Valeurs de chaîne valides : Inconnu, Faible, Moyen, Élevé, Valeurs entières très valides sont : 0-3 = Faible, 4-6 = Moyen, 7-8 = Élevé, 9-10 = Très élevé. |
| MaliciousIP | string | Si l’une des adresses IP du message a été corrélée avec le flux TI actuel que nous avons, elle s’affiche ici. |
| MaliciousIPCountry | string | Pays de l’application malveillante selon les informations GEO au moment de l’ingestion d’enregistrement. |
| MaliciousIPLatitude | real | Latitude de l’application Malveillante en fonction des informations GEO au moment de l’ingestion d’enregistrement. |
| MaliciousIPLongitude | real | Longitude du programme MalveillantIP en fonction des informations GEO au moment de l’ingestion d’enregistrement. |
| Message | string | Message qui donne plus de détails sur l’événement. |
| OldFileCreateTime | string | Heure de création de l’ancien fichier. |
| OldFileHash | string | Hachage de l’ancien fichier. |
| OldFileID | string | Et l’ID associé à l’ancien fichier, tel que l’inode. |
| OldFileModificationTime | string | Heure à laquelle l’ancien fichier a été modifié pour la dernière fois. |
| OldFileName | string | Nom de l’ancien fichier. |
| OldFilePath | string | Chemin complet d'accès à l’ancien fichier, y compris le nom de fichier. Par exemple : C :\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| OldFilePermission | string | Autorisations de l’ancien fichier. Par exemple : « 2,1,1 ». |
| OldFileSize | int | Taille de l’ancien fichier en octets. |
| OldFileType | string | Type de fichier de l’ancien fichier, tel qu’un canal, un socket, etc. |
| OriginalLogSeverity | string | Version non mappée de LogSeverity. Par exemple : Avertissement/Critique/Info au lieu du champ Standardilized Low/Medium/High dans le champ LogSeverity |
| ProcessID | int | Définit l’ID du processus sur l’appareil générant l’événement. |
| ProcessName | string | Nom du processus associé à l'événement. Par exemple : dans UNIX, le processus générant l’entrée syslog. |
| Protocol | string | Protocole de transport qui identifie le protocole de couche 4 utilisé. Les valeurs possibles incluent des noms de protocole, tels que TCP ou UDP. |
| Motif | string | Raison pour laquelle un événement d’audit a été généré. Par exemple, « mot de passe incorrect » ou « utilisateur inconnu ». Il peut également s’agir d’un code d’erreur ou de retour. Exemple : « 0x1234 ». |
| ReceiptTime | string | Heure à laquelle l’événement associé à l’activité a été reçu. Différent ensuite, le champ « Timegenerated », c’est-à-dire lorsque l’événement a été reçu dans l’ordinateur du collecteur de journaux. |
| ReceivedBytes | long | Nombre d’octets transférés entrants. |
| RemoteIP | string | Adresse IP distante, dérivée de la valeur de direction de l’événement, si possible. |
| RemotePort | string | Port distant, dérivé de la valeur de direction de l’événement, si possible. |
| ReportReferenceLink | string | Lien vers le rapport du flux TI. |
| RequestClientApplication | string | L'agent utilisateur associé à la requête. |
| RequestContext | string | Décrit le contenu d’où provient la requête, tel que le référent HTTP. |
| RequestCookies | string | Cookies associés à la requête. |
| RequestMethod | string | Méthode utilisée pour accéder à une URL. Les valeurs valides incluent des méthodes telles que POST, GET, etc. |
| RequestURL | string | URL accessible pour une requête HTTP, y compris le protocole. Par exemple : http://www/secure.com. |
| _ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| SentBytes | long | Nombre d’octets transférés sortants. |
| SimplifiedDeviceAction | string | Version mappée de DeviceAction, telle que Refus refusé > . |
| SourceDnsDomain | string | Partie du domaine DNS du FQDN complet. |
| SourceHostName | string | Identifie la source à laquelle l’événement fait référence dans un réseau IP. Le format doit être un nom de domaine complet (FQDN) associé au nœud source, lorsqu’un nœud est disponible. Par exemple : hôte ou host.domain.com. |
| SourceIP | string | Source à laquelle un événement fait référence dans un réseau IP, comme une adresse IPv4. |
| SourceMACAddress | string | Adresse MAC source. |
| SourceNTDomain | string | Nom de domaine Windows pour l’adresse source. |
| SourcePort | int | Numéro de port source. Les numéros de port valides sont 0 à 65535. |
| SourceProcessId | int | L’ID du processus de source associé à l’événement. |
| SourceProcessName | string | Nom du processus source de l’événement. |
| SourceServiceName | string | Service responsable de la génération de l’événement. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, pour l’agent OpsManager Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| SourceTranslatedAddress | string | Identifie la source traduite à laquelle l’événement fait référence dans un réseau IP. |
| SourceTranslatedPort | int | Port source après traduction, tel qu’un pare-feu. Les numéros de port valides sont 0 à 65535. |
| SourceUserID | string | Identifie l’utilisateur source par ID. |
| SourceUserName | string | Identifie l’utilisateur source par nom. Les adresses e-mail sont également mappées dans les champs UserName. L’expéditeur est un candidat à mettre dans ce champ. |
| SourceUserPrivileges | string | Privilèges de l’utilisateur source. Les valeurs valides sont les suivantes : Administrateur, Utilisateur, Invité. |
| StartTime | DATETIME | Heure de début de l’activité à laquelle l’événement fait référence. |
| _SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TenantId | string | ID de l’espace de travail Log Analytics |
| ThreatConfidence | string | La confiance des menaces du Programme malveillant selon notre flux TI. |
| ThreatDescription | string | Description des menaces de l’application malveillante en fonction de notre flux TI. |
| ThreatSeverity | int | Gravité de la menace du Programme malveillant selon notre flux TI au moment de l’ingestion de l’enregistrement. |
| TimeGenerated | DATETIME | Heure de collecte d’événements au format UTC. |
| Type | string | Le nom de la table |