Partager via


CommonSecurityLog

Ce tableau est destiné à collecter des événements au format d’événement commun, qui sont les plus souvent envoyés à partir de différentes appliances de sécurité telles que Check Point, Palo Alto et bien plus encore.

Attributs de table

Attribut Valeur
Types de ressources microsoft.securityinsights/cef,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Catégories Sécurité
Solutions Sécurité, SecurityInsights
Journal de base Non
Transformation au moment de l’ingestion Oui
Exemples de requêtes Oui

Colonnes

Colonne Type Description
Activité string Chaîne qui représente une description explicite et compréhensible de l’événement.
AdditionalExtensions string Espace réservé pour des champs supplémentaires. Les champs sont enregistrés sous forme de paires clé-valeur.
ApplicationProtocol string Protocole utilisé dans l’application, tel que HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAP, etc.
_BilledSize real Taille de l’enregistrement en octets
CollectorHostName string Nom d’hôte de l’ordinateur collecteur exécutant l’agent.
CommunicationDirection string Toutes les informations sur le sens de la communication observée. Valeurs valides : 0 = Entrant, 1 = Sortant.
Computer string Hôte, à partir de Syslog.
DestinationDnsDomain string Partie DNS du nom de domaine complet (FQDN).
DestinationHostName string Destination à laquelle l’événement fait référence dans un réseau IP. Le format doit être un nom de domaine complet associé au nœud de destination, lorsqu’un nœud est disponible. Par exemple : host.domain.com ou hôte.
DestinationIP string L’adresse IpV4 de destination à laquelle l’événement fait référence dans un réseau IP.
DestinationMACAddress string Adresse MAC de destination (FQDN).
DestinationNTDomain string Nom de domaine Windows de l’adresse de destination.
DestinationPort int Port de destination. Valeurs valides : 0 - 65535.
DestinationProcessId int L’ID du processus de destination associé à l’événement.
DestinationProcessName string Nom du processus de destination de l’événement, tel que telnetd ou sshd.
DestinationServiceName string Le service ciblé par l’événement. Par exemple : sshd.
DestinationTranslatedAddress string Identifie la destination traduite référencée par l’événement dans un réseau IP, sous la forme d’une adresse IP IPv4.
DestinationTranslatedPort int Port après la traduction, tel qu’un pare-feu Numéros de port valides : 0 - 65535.
DestinationUserID string Identifie l’utilisateur de destination par son ID. Par exemple : dans Unix, l’utilisateur racine est généralement associé à l’ID d’utilisateur 0.
DestinationUserName string Identifie l’utilisateur de destination par son nom.
DestinationUserPrivileges string Définit les privilèges de l’utilisation de la destination. Valeurs valides : Admninistrator, Utilisateur, Invité.
DeviceAction string L’action mentionnée dans l’événement.
DeviceAddress string Adresse IPv4 de l’appareil générant l’événement.
DeviceCustomDate1 string Un des deux champs d’horodatage disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
DeviceCustomDate1Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomDate2 string Un des deux champs d’horodatage disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
DeviceCustomDate2Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomFloatingPoint1 real Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire.
DeviceCustomFloatingPoint1Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomFloatingPoint2 real Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire.
DeviceCustomFloatingPoint2Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomFloatingPoint3 real Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire.
DeviceCustomFloatingPoint3Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomFloatingPoint4 real Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire.
DeviceCustomFloatingPoint4Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomIPv6Address1 string L’un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire.
DeviceCustomIPv6Address1Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomIPv6Address2 string L’un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire.
DeviceCustomIPv6Address2Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomIPv6Address3 string L’un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire.
DeviceCustomIPv6Address3Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomIPv6Address4 string L’un des quatre champs d’adresse IPv6 disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire.
DeviceCustomIPv6Address4Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomNumber1 int Bientôt un champ déconseillé. Sera remplacé par FieldDeviceCustomNumber1.
DeviceCustomNumber1Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomNumber2 int Bientôt un champ déconseillé. Sera remplacé par FieldDeviceCustomNumber2.
DeviceCustomNumber2Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomNumber3 int Bientôt un champ déconseillé. Sera remplacé par FieldDeviceCustomNumber3.
DeviceCustomNumber3Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomString1 string Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
DeviceCustomString1Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomString2 string Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
DeviceCustomString2Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomString3 string Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
DeviceCustomString3Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomString4 string Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
DeviceCustomString4Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomString5 string Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
DeviceCustomString5Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceCustomString6 string Une des six chaînes disponibles pour mapper les champs qui ne s’appliquent à aucun autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
DeviceCustomString6Label string Tous les champs personnalisés ont un champ d’étiquette correspondant. Chacun de ces champs est une chaîne et décrit l’objectif du champ personnalisé.
DeviceDnsDomain string Partie de domaine DNS du nom de domaine complet (FQDN).
DeviceEventCategory string Représente la catégorie affectée par l’appareil d’origine. Les appareils utilisent souvent leur propre schéma de catégorisation pour classifier un événement. Exemple : '/Monitor/Disk/Read'.
DeviceEventClassID string Chaîne ou entier qui sert d’identificateur unique par type d’événement.
DeviceExternalID string Nom qui identifie de façon unique l’appareil générant l’événement.
DeviceFacility string La structure générant l’événement. Par exemple : authentification ou local1.
DeviceInboundInterface string Interface sur laquelle le paquet ou les données sont entrés sur l’appareil. Par exemple : ethernet1/2.
DeviceMacAddress string Adresse MAC de l’appareil générant l’événement.
DeviceName string Nom de domaine complet associé au nœud de l’appareil, lorsqu’un nœud est disponible. Par exemple : host.domain.com ou hôte.
DeviceNtDomain string Domaine Windows de l’adresse de l’appareil.
DeviceOutboundInterface string Interface sur laquelle le paquet ou les données ont quitté l’appareil.
DevicePayloadId string Identificateur unique de la charge utile associée à l’événement.
DeviceProduct string Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi.
DeviceTimeZone string Fuseau horaire de l’appareil générant l’événement.
DeviceTranslatedAddress string Identifie l’adresse de l’appareil traduit à laquelle l’événement fait référence, sur un réseau IP. Le format est une adresse Ipv4.
DeviceVendor string Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi.
DeviceVersion string Chaîne qui, avec les définitions de produit et de version de l’appareil, identifie de manière unique le type d’appareil d’envoi.
EndTime DATETIME Heure à laquelle l’activité associée à l’événement s’est terminée.
EventCount int Nombre associé à l’événement, qui indique le nombre de fois que le même événement a été observé.
EventOutcome string Affiche le résultat, généralement en tant que « réussite » ou « échec ».
Type d’événement int Type d'événement. Les valeurs de valeur sont les suivantes : 0 : événement de base, 1 : agrégé, 2 : événement de corrélation, 3 : événement d’action. Remarque : cet événement peut être omis pour les événements de base.
ExternalID int Bientôt un champ déconseillé. Sera remplacé par ExtID.
ExtID string ID utilisé par l’appareil d’origine (remplace externalID hérité). En règle générale, ces valeurs ont des valeurs de plus en plus associées à un événement.
FieldDeviceCustomNumber1 long Un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire (remplace deviceCustomNumber1 hérité). Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
FieldDeviceCustomNumber2 long Un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire (remplace deviceCustomNumber2 hérité). Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
FieldDeviceCustomNumber3 long Un des trois champs numériques disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire (remplace deviceCustomNumber3 hérité). Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible.
FileCreateTime string Heure de création du fichier.
FileHash string Hachage d’un fichier.
FileID string Un ID associé à un fichier, tel que l’inode.
FileModificationTime string Heure à laquelle le fichier a été modifié pour la dernière fois.
FileName string Nom du fichier, sans le chemin d’accès.
FilePath string Chemin complet d'accès du fichier, y compris le nom de fichier. Par exemple : C :\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
FilePermission string Les autorisations du fichier. Par exemple : « 2,1,1 ».
FileSize int Taille du fichier en octets.
FileType string Type de fichier (par exemple, canal, Socket, etc.).
FlexDate1 string Champ d’horodatage disponible pour mapper un horodatage qui ne s’applique à aucun autre champ d’horodatage défini dans ce dictionnaire. Utilisez tous les champs flex avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation du client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire.
FlexDate1Label string Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex.
FlexNumber1 int Champs numériques disponibles pour mapper les données Int qui ne s’appliquent à aucun autre champ de ce dictionnaire.
FlexNumber1Label string Étiquette qui décrit la valeur dans FlexNumber1
FlexNumber2 int Champs numériques disponibles pour mapper les données Int qui ne s’appliquent à aucun autre champ de ce dictionnaire.
FlexNumber2Label string Étiquette qui décrit la valeur dans FlexNumber2
FlexString1 string Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation du client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire.
FlexString1Label string Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex.
FlexString2 string Un des quatre champs à virgule flottante disponibles pour mapper les champs qui ne s’appliquent pas à un autre dans ce dictionnaire. Utilisez avec parcimonie et recherchez un champ fourni par dictionnaire plus spécifique lorsque cela est possible. Ces champs sont généralement réservés à l’utilisation du client et ne doivent pas être définis par les fournisseurs, sauf si nécessaire.
FlexString2Label string Le champ d’étiquette est une chaîne et décrit l’objectif du champ flex.
IndicatorThreatType string Type de menace de l’élément MalveillantIP en fonction de notre flux TI.
_IsBillable string Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
LogSeverity string Chaîne ou entier qui décrit l’importance de l’événement. Valeurs de chaîne valides : Inconnu, Faible, Moyen, Élevé, Valeurs entières très valides sont : 0-3 = Faible, 4-6 = Moyen, 7-8 = Élevé, 9-10 = Très élevé.
MaliciousIP string Si l’une des adresses IP du message a été corrélée avec le flux TI actuel que nous avons, elle s’affiche ici.
MaliciousIPCountry string Pays de l’application malveillante selon les informations GEO au moment de l’ingestion d’enregistrement.
MaliciousIPLatitude real Latitude de l’application Malveillante en fonction des informations GEO au moment de l’ingestion d’enregistrement.
MaliciousIPLongitude real Longitude du programme MalveillantIP en fonction des informations GEO au moment de l’ingestion d’enregistrement.
Message string Message qui donne plus de détails sur l’événement.
OldFileCreateTime string Heure de création de l’ancien fichier.
OldFileHash string Hachage de l’ancien fichier.
OldFileID string Et l’ID associé à l’ancien fichier, tel que l’inode.
OldFileModificationTime string Heure à laquelle l’ancien fichier a été modifié pour la dernière fois.
OldFileName string Nom de l’ancien fichier.
OldFilePath string Chemin complet d'accès à l’ancien fichier, y compris le nom de fichier. Par exemple : C :\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
OldFilePermission string Autorisations de l’ancien fichier. Par exemple : « 2,1,1 ».
OldFileSize int Taille de l’ancien fichier en octets.
OldFileType string Type de fichier de l’ancien fichier, tel qu’un canal, un socket, etc.
OriginalLogSeverity string Version non mappée de LogSeverity. Par exemple : Avertissement/Critique/Info au lieu du champ Standardilized Low/Medium/High dans le champ LogSeverity
ProcessID int Définit l’ID du processus sur l’appareil générant l’événement.
ProcessName string Nom du processus associé à l'événement. Par exemple : dans UNIX, le processus générant l’entrée syslog.
Protocol string Protocole de transport qui identifie le protocole de couche 4 utilisé. Les valeurs possibles incluent des noms de protocole, tels que TCP ou UDP.
Motif string Raison pour laquelle un événement d’audit a été généré. Par exemple, « mot de passe incorrect » ou « utilisateur inconnu ». Il peut également s’agir d’un code d’erreur ou de retour. Exemple : « 0x1234 ».
ReceiptTime string Heure à laquelle l’événement associé à l’activité a été reçu. Différent ensuite, le champ « Timegenerated », c’est-à-dire lorsque l’événement a été reçu dans l’ordinateur du collecteur de journaux.
ReceivedBytes long Nombre d’octets transférés entrants.
RemoteIP string Adresse IP distante, dérivée de la valeur de direction de l’événement, si possible.
RemotePort string Port distant, dérivé de la valeur de direction de l’événement, si possible.
ReportReferenceLink string Lien vers le rapport du flux TI.
RequestClientApplication string L'agent utilisateur associé à la requête.
RequestContext string Décrit le contenu d’où provient la requête, tel que le référent HTTP.
RequestCookies string Cookies associés à la requête.
RequestMethod string Méthode utilisée pour accéder à une URL. Les valeurs valides incluent des méthodes telles que POST, GET, etc.
RequestURL string URL accessible pour une requête HTTP, y compris le protocole. Par exemple : http://www/secure.com.
_ResourceId string Un identificateur unique de la ressource à laquelle l’enregistrement est associé
SentBytes long Nombre d’octets transférés sortants.
SimplifiedDeviceAction string Version mappée de DeviceAction, telle que Refus refusé > .
SourceDnsDomain string Partie du domaine DNS du FQDN complet.
SourceHostName string Identifie la source à laquelle l’événement fait référence dans un réseau IP. Le format doit être un nom de domaine complet (FQDN) associé au nœud source, lorsqu’un nœud est disponible. Par exemple : hôte ou host.domain.com.
SourceIP string Source à laquelle un événement fait référence dans un réseau IP, comme une adresse IPv4.
SourceMACAddress string Adresse MAC source.
SourceNTDomain string Nom de domaine Windows pour l’adresse source.
SourcePort int Numéro de port source. Les numéros de port valides sont 0 à 65535.
SourceProcessId int L’ID du processus de source associé à l’événement.
SourceProcessName string Nom du processus source de l’événement.
SourceServiceName string Service responsable de la génération de l’événement.
SourceSystem string Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
SourceTranslatedAddress string Identifie la source traduite à laquelle l’événement fait référence dans un réseau IP.
SourceTranslatedPort int Port source après traduction, tel qu’un pare-feu. Les numéros de port valides sont 0 à 65535.
SourceUserID string Identifie l’utilisateur source par ID.
SourceUserName string Identifie l’utilisateur source par nom. Les adresses e-mail sont également mappées dans les champs UserName. L’expéditeur est un candidat à mettre dans ce champ.
SourceUserPrivileges string Privilèges de l’utilisateur source. Les valeurs valides sont les suivantes : Administrateur, Utilisateur, Invité.
StartTime DATETIME Heure de début de l’activité à laquelle l’événement fait référence.
_SubscriptionId string Un identificateur unique de l’abonnement auquel l’enregistrement est associé
TenantId string ID de l’espace de travail Log Analytics
ThreatConfidence string La confiance des menaces du Programme malveillant selon notre flux TI.
ThreatDescription string Description des menaces de l’application malveillante en fonction de notre flux TI.
ThreatSeverity int Gravité de la menace du Programme malveillant selon notre flux TI au moment de l’ingestion de l’enregistrement.
TimeGenerated DATETIME Heure de collecte d’événements au format UTC.
Type string Le nom de la table