次の方法で共有


ASimAuthenticationEventLogs

Microsoft Sentinel の正規化された認証イベント テーブル。 ユーザー認証、サインイン、サインアウトなどに関連付けられているイベントを格納します。

テーブル属性

属性 Value
リソースの種類 microsoft.securityinsights/authenticationevent
Categories (カテゴリ) セキュリティ
ソリューション SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ -

タイプ 説明
ActingAppId string アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の ID。
ActingAppName string アクターに代わって承認するアプリケーション (プロセス、ブラウザー、またはサービスを含む) の名前。
ActingAppType string 代理アプリケーションの種類。
ActingOriginalAppType string レポート デバイスによって報告される動作アプリケーションの種類。
ActorOriginalUserType string レポート デバイスによって報告されたユーザー タイプ。
ActorScope string ActorUserId と ActorUsername が定義されているスコープ (Azure AD テナントなど)。
ActorScopeId string ActorUserId と ActorUsername が定義されているスコープ ID (Azure AD テナント ID など)。
ActorSessionId string アクターのサインイン セッションの一意の ID。
ActorUserId string コンピューターが読み取り可能な英数字、アクターの一意の表現。
ActorUserIdType string ActorUserId フィールドに格納されている ID の種類。
ActorUsername string アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。
ActorUsernameType string ActorUsername フィールドに格納されているユーザー名の種類を指定します。
ActorUserType string アクターの種類。
AdditionalFields 動的 ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。
_BilledSize real レコード サイズ (バイト単位)
DvcAction string セキュリティ システムを報告する場合、システムによって実行されるアクション。
DvcDescription string デバイスに関連付けられる説明のテキスト。
DvcDomain string イベントを報告するデバイスのドメイン。
DvcDomainType string DvcDomain の種類。
DvcFQDN string イベントが発生した、またはイベントを報告したデバイスのホスト名。
DvcHostname string イベントを報告するデバイスのホスト名。
DvcId string イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。
DvcIdType string DvcId の種類。
DvcInterface string データがキャプチャされたネットワーク インターフェイス。
DvcIpAddr string イベントを報告するデバイスの IP アドレス。
DvcMacAddr string イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。
DvcOriginalAction string レポート デバイスによって提供された元の DvcAction。
DvcOs string イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。
DvcOsVersion string イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。
DvcScope string デバイスが属するクラウド プラットフォームのスコープ。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
DvcScopeId string デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
DvcZone string イベントが発生したネットワーク、またはイベントを報告したネットワーク。
EventCount int レコードによって記述されるイベントの数。
EventEndTime datetime イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。
EventMessage string 一般的なメッセージまたは説明。
EventOriginalResultDetails string ソースによって提供される元の結果の詳細。
EventOriginalSeverity string レポート デバイスによって提供された元の重大度。
EventOriginalSubType string 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。
EventOriginalType string 元のイベントの種類または ID (ソースによって提供されている場合)。
EventOriginalUid string 元のレコードの一意の ID (ソースによって提供されている場合)。
EventOwner string イベントの所有者。通常は、イベントが生成された部門または子会社です。
EventProduct string イベントを生成している製品。
EventProductVersion string イベントを生成している製品のバージョン。
EventReportUrl string リソースのイベントで提供された、そのイベントに関する他の情報を提供する URL。
EventResult string イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。
EventResultDetails string イベントの結果に関連付けられている詳細。 結果が失敗だった場合、このフィールドは通常設定されています。
EventSchemaVersion string スキーマのバージョン。
EventSeverity string イベントの重大度。 有効な値は、Informational、Low、Medium、High です。
EventStartTime datetime イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。
EventSubType string サインインの種類 (System、Interactive、RemoteInteractive、Service、RemoteService、Remote、AssumeRole など)。
EventType string レコードによって報告される操作について説明します
EventVendor string イベントを生成している製品のベンダー。
HttpUserAgent string HTTP または HTTPS で認証が行われる場、このフィールドの値は、認証を実行するときに代理アプリケーションによって提供される user_agent HTTP ヘッダーです。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
LogonMethod string 認証を実行するために使用されるメソッド。
LogonProtocol string 認証を実行するために使用されるプロトコル。
_ResourceId string レコードが関連付けられているリソースの一意識別子
RuleName string 検査結果に関連付けられているルールの名前または ID。
RuleNumber int 検査結果に関連付けられたルールの番号。
SourceSystem string イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
SrcDescription string ソース デバイスに関連付けられている説明テキスト。
SrcDeviceType string ソース デバイスの種類。
SrcDomain string ソース デバイスのドメイン。
SrcDomainType string SrcDomain の種類。
SrcDvcId string ソース デバイスの ID。
SrcDvcIdType string SrcDvcId の種類。
SrcDvcOs string ソース デバイスの OS。
SrcDvcScope string ソース デバイスが属するクラウド プラットフォーム スコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcDvcScopeId string ソース デバイスが属しているクラウド プラットフォーム スコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
SrcFQDN string ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。
SrcGeoCity string 発信元 IP アドレスに関連付けられている都市。
SrcGeoCountry string 発信元 IP アドレスに関連付けられている国。
SrcGeoLatitude real 発信元 IP アドレスに関連付けられている地理的座標の緯度。
SrcGeoLongitude real 発信元 IP アドレスに関連付けられている地理的座標の経度。
SrcGeoRegion string 発信元 IP アドレスに関連付けられている国内の地域。
SrcHostname string ドメイン情報を除いた、ソース デバイスのホスト名。
SrcIpAddr string ソース デバイスの IP アドレス。
SrcIsp string ソース デバイスがインターネットに接続するために使用するインターネット サービス プロバイダー (ISP)。
SrcOriginalRiskLevel string レポート デバイスによって報告された、特定されたソースに関連付けられているリスク レベル。
SrcPortNumber int 接続元の IP ポート。
SrcRiskLevel int 識別されたソースに関連付けられているリスク レベル。
_SubscriptionId string レコードが関連付けられているサブスクリプションの一意識別子
TargetAppId string 認可を必要とするアプリケーションの ID。多くの場合、レポート デバイスによって割り当てられます。
TargetAppName string 認可を必要とするアプリケーションの名前 (サービス、URL、SaaS アプリケーションなど)。
TargetAppType string アクターに代わって承認するアプリケーションの種類。
TargetDescription string ターゲット デバイスに関連付けられている説明テキスト。
TargetDeviceType string ターゲット デバイスの種類。
TargetDomain string ターゲット デバイスのドメイン。
TargetDomainType string Targetdomainの種類。
TargetDvcId string ターゲット デバイスの ID。
TargetDvcIdType string Targetdvcid の種類。
TargetDvcOs string ターゲット デバイスの OS。
TargetDvcScope string ターゲット デバイスが属するクラウド プラットフォーム スコープ。 TargetDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
TargetDvcScopeId string ターゲット デバイスが属しているクラウド プラットフォーム スコープ ID。 TargetDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
TargetFQDN string ターゲット デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。
TargetGeoCity string ターゲット IP アドレスに関連付けられている都市。
TargetGeoCountry string ターゲット IP アドレスに関連付けられている国。
TargetGeoLatitude real ターゲット IP アドレスに関連付けられている地理的座標の緯度。
TargetGeoLongitude real ターゲット IP アドレスに関連付けられている地理的座標の経度。
TargetGeoRegion string ターゲット IP アドレスに関連付けられている国内の地域。
TargetHostname string ドメイン情報を除いた、ターゲット デバイスのホスト名。
TargetIpAddr string ターゲット デバイスの IP アドレス。
TargetOriginalAppType string レポート デバイスによって報告されるターゲット アプリケーションの種類。
TargetOriginalRiskLevel string レポート デバイスによって報告された、ターゲットに関連付けられているリスク レベル。
TargetOriginalUserType string レポート デバイスによって報告されたユーザー タイプ。
TargetPortNumber int ターゲット デバイスのポート。
TargetRiskLevel int ターゲットに関連付けられているリスク レベル。
TargetSessionId string ターゲット アクターのサインイン セッションの一意の ID。
TargetUrl string ターゲット アプリケーションに関連付けられている URL。
TargetUserId string コンピューターが読み取り可能な英数字、アクターの一意の表現。
TargetUserIdType string TargetUserId フィールドに格納されている ID の種類。
TargetUsername string ターゲット アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。
TargetUsernameType string TargetUsername フィールドで指定されたターゲット アクターのユーザー名の型
TargetUserScope string TargetUserId と TargetUsername が定義されているスコープ (Azure AD テナントなど)。
TargetUserScopeId string TargetUserId と TargetUsername が定義されているスコープ ID (Azure AD テナント ID など)。
TargetUserType string ターゲット アクターの型。
TenantId string Log Analytics ワークスペース ID
ThreatCategory string 監査アクティビティで識別される脅威またはマルウェアのカテゴリ。
ThreatConfidence int 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。
ThreatField string 脅威が特定されたフィールド。
ThreatFirstReportedTime datetime IP アドレスまたはドメインが脅威として初めて識別された場合。
ThreatId string 監査アクティビティで識別された脅威またはマルウェアの ID。
ThreatIpAddr string 脅威が特定された IP アドレス。
ThreatIsActive [bool] 特定された脅威がアクティブな脅威と見なされる場合は True。
ThreatLastReportedTime datetime 最後に IP アドレスまたはドメインが脅威として識別された時刻。
ThreatName string 監査アクティビティで識別された脅威またはマルウェアの名前。
ThreatOriginalConfidence string レポート デバイスによって報告される、特定された脅威の元の信頼レベル。
ThreatOriginalRiskLevel string レポート デバイスによって報告されたリスク レベル。
ThreatRiskLevel int 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。
TimeGenerated datetime イベントが生成された時刻を反映するタイムスタンプ (UTC)。
種類 string テーブルの名前