CommonSecurityLog
この表は、一般的なイベント形式でイベントを収集するためのものであり、多くの場合、Check Point、Palo Alto などのさまざまなセキュリティ アプライアンスから送信されます。
テーブル属性
属性 | Value |
---|---|
リソースの種類 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
Categories (カテゴリ) | セキュリティ |
ソリューション | Security、SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | はい |
サンプル クエリ | はい |
列
列 | タイプ | 説明 |
---|---|---|
アクティビティ | string | 人間が判読でき、理解できるイベントの説明を表している文字列。 |
AdditionalExtensions | string | その他のフィールドのプレースホルダー。 フィールドはキーと値のペアとしてログに記録されます。 |
ApplicationProtocol | string | アプリケーションで使用される、HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS などのプロトコル。 |
_BilledSize | real | レコード サイズ (バイト単位) |
CollectorHostName | string | エージェントを実行しているコレクター マシンのホスト名。 |
CommunicationDirection | string | 観察された通信が行われた方向に関する何らかの情報。 有効な値: 0 = 受信、1 = 送信。 |
Computer | string | ホスト(Syslog から)。 |
destinationDnsDomain | string | 完全修飾ドメイン名 (FQDN) の DNS 部分。 |
DestinationHostName | string | IP ネットワーク内でイベントによって参照されている発信元。 ノードを使用できる場合は、その形式を、送信先ノードに関連付けられている FQDN にする必要があります。 例: host.domain.com またはホスト。 |
DestinationIP | string | IP ネットワーク内でイベントによって参照されている送信先の IpV4 アドレス。 |
DestinationMACAddress | string | 宛先 MAC アドレス (FQDN)。 |
DestinationNTDomain | string | 宛先アドレスの Windows ドメイン名。 |
DestinationPort | int | 送信先ポート。 有効な値: 0 から 65535。 |
DestinationProcessId | int | イベントに関連付けられている送信先プロセスの ID。 |
DestinationProcessName | string | telnetd や sshd など、イベントの宛先プロセスの名前。 |
DestinationServiceName | string | イベントによりターゲットとされるサービス。 例: sshd。 |
DestinationTranslatedAddress | string | IP ネットワーク内でイベントによって参照されている、変換後の送信先を IPv4 IP アドレスとして識別します。 |
DestinationTranslatedPort | int | ファイアウォールの有効なポート番号など、変換後のポート: 0 から 65535。 |
DestinationUserID | string | ID で宛先ユーザーを識別します。 たとえば、Unix では、ルート ユーザーは通常、ユーザー ID 0 に関連付けられています。 |
DestinationUserName | string | 名前で宛先ユーザーを識別します。 |
DestinationUserPrivileges | string | 宛先で使用する特権を定義します。 有効な値: Admninistrator、User、Guest。 |
DeviceAction | string | イベントで触れられているアクション。 |
DeviceAddress | string | イベントを生成しているデバイスの IPv4 アドレス。 |
DeviceCustomDate1 | string | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 2 つのタイムスタンプ フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
DeviceCustomDate1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomDate2 | string | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 2 つのタイムスタンプ フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
DeviceCustomDate2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomFloatingPoint1 | real | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 |
DeviceCustomFloatingPoint1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomFloatingPoint2 | real | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 |
DeviceCustomFloatingPoint2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomFloatingPoint3 | real | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 |
DeviceCustomFloatingPoint3Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomFloatingPoint4 | real | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 |
DeviceCustomFloatingPoint4Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomIPv6Address1 | string | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。 |
DeviceCustomIPv6Address1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomIPv6Address2 | string | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。 |
DeviceCustomIPv6Address2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomIPv6Address3 | string | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。 |
DeviceCustomIPv6Address3Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomIPv6Address4 | string | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。 |
DeviceCustomIPv6Address4Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomNumber1 | int | 間もなく非推奨のフィールドになります。 FieldDeviceCustomNumber1 に置き換えられます。 |
DeviceCustomNumber1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomNumber2 | int | 間もなく非推奨のフィールドになります。 FieldDeviceCustomNumber2 に置き換えられます。 |
DeviceCustomNumber2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomNumber3 | int | 間もなく非推奨のフィールドになります。 FieldDeviceCustomNumber3 に置き換えられます。 |
DeviceCustomNumber3Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomString1 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
DeviceCustomString1Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomString2 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
DeviceCustomString2Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomString3 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
DeviceCustomString3Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomString4 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
DeviceCustomString4Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomString5 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
DeviceCustomString5Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceCustomString6 | string | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
DeviceCustomString6Label | string | すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。 |
DeviceDnsDomain | string | 完全修飾ドメイン名 (FQDN) の DNS ドメイン部分。 |
DeviceEventCategory | string | 発信元デバイスによって割り当てられたカテゴリを表します。 多くの場合、デバイスは独自の分類スキーマを使用してイベントを分類します。 例: '/Monitor/Disk/Read'。 |
DeviceEventClassID | string | イベントの種類ごとの一意の識別子として機能する文字列または整数。 |
DeviceExternalID | string | イベントを生成しているデバイスを一意に識別する名前。 |
DeviceFacility | string | イベントを生成している機能。 たとえば、認証または local1 などです。 |
DeviceInboundInterface | string | デバイスにパケットまたはデータが入力されたインターフェイス。 例: ethernet1/2。 |
DeviceMacAddress | string | イベントを生成しているデバイスの MAC アドレス。 |
DeviceName | string | ノードを使用できる場合は、デバイス ノードに関連付けられている FQDN。 例: host.domain.com またはホスト。 |
DeviceNtDomain | string | デバイス アドレスの Windows ドメイン。 |
DeviceOutboundInterface | string | デバイスにパケットまたはデータが残されたインターフェイス。 |
DevicePayloadId | string | イベントに関連付けられているペイロードの一意の識別子。 |
DeviceProduct | string | デバイス製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。 |
DeviceTimeZone | string | イベントを生成するデバイスのタイムゾーン。 |
DeviceTranslatedAddress | string | IP ネットワーク内でイベントによって参照されている、変換後のデバイス アドレスを識別します。 形式は Ipv4 アドレスです。 |
DeviceVendor | string | デバイス製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。 |
DeviceVersion | string | デバイス製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。 |
EndTime | datetime | イベントに関連するアクティビティが終了した時刻。 |
EventCount | int | イベントに関連付けられているカウントで、同じイベントが観察された回数を示します。 |
EventOutcome | string | 結果 (通常は "success" または "failure") が表示されます。 |
EventType | int | イベントの種類。 値には、0: 基本イベント、1: 集計、2: 相関イベント、3: アクション イベントが含まれます。 注: 基本イベントについてはこのイベントを省略できます。 |
ExternalID | int | 間もなく非推奨のフィールドになります。 ExtID に置き換えられます。 |
ExtID | string | 元のデバイスによって使用される ID (レガシ ExternalID に代わる)。 一般に、これらの値は、イベントにそれぞれが関連付けられている、増加してゆく値です。 |
FieldDeviceCustomNumber1 | long | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (従来の DeviceCustomNumber1 を置き換えます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
FieldDeviceCustomNumber2 | long | このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (従来の DeviceCustomNumber2 を置き換えます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
FieldDeviceCustomNumber3 | long | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (レガシ DeviceCustomNumber3 に置き換えられます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 |
FileCreateTime | string | ファイルが作成された日時。 |
FileHash | string | ファイルのハッシュ。 |
FileID | string | ファイルに関連付けられている ID (inode など)。 |
FileModificationTime | string | ファイルが最後に変更された日時。 |
FileName | string | パスを含まないファイルの名前。 |
FilePath | string | ファイル名を含む、ファイルへの完全なパス。 例: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe または /usr/bin/zip。 |
FilePermission | string | ファイルのアクセス許可。 例: '2,1,1'。 |
FileSize | int | ファイルのサイズをバイト単位で指定します。 |
FileType | string | パイプやソケットなどのファイルの種類。 |
FlexDate1 | string | このディクショナリ内の他の定義されたタイムスタンプ フィールドには適用されないタイムスタンプをマップするために使用できるタイムスタンプ フィールド。 すべてのフレックス フィールドを控えめに使用し、可能な場合は、より具体的なディクショナリ指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーが設定しないでください。 |
FlexDate1Label | string | ラベル フィールドは文字列であり、flex フィールドの目的を記述します。 |
FlexNumber1 | int | このディクショナリ内の他のフィールドには適用されない Int データをマップするために使用できる数値フィールド。 |
FlexNumber1Label | string | FlexNumber1 の値を表すラベル |
FlexNumber2 | int | このディクショナリ内の他のフィールドには適用されない Int データをマップするために使用できる数値フィールド。 |
FlexNumber2Label | string | FlexNumber2 の値を表すラベル |
FlexString1 | string | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーが設定しないでください。 |
FlexString1Label | string | ラベル フィールドは文字列であり、flex フィールドの目的を記述します。 |
FlexString2 | string | このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーが設定しないでください。 |
FlexString2Label | string | ラベル フィールドは文字列であり、flex フィールドの目的を記述します。 |
IndicatorThreatType | string | TI フィードに従った MaliciousIP の脅威の種類。 |
_IsBillable | string | データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
LogSeverity | string | イベントの重要度を記述する文字列または整数。 有効な文字列値: Unknown、Low、Medium、High、Very-High の有効な整数値は、0 から 3 = Low、4-6 = Medium、7-8 = High、9-10 = Very-High です。 |
MaliciousIP | string | メッセージ内の IP の 1 つが現在の TI フィードと関連付けられていた場合は、ここに表示されます。 |
MaliciousIPCountry | string | レコード インジェスト時の GEO 情報に従った MaliciousIP の国。 |
MaliciousIPLatitude | real | レコード インジェスト時の GEO 情報に従った MaliciousIP の緯度。 |
MaliciousIPLongitude | real | レコード インジェスト時の GEO 情報に従った MaliciousIP の経度。 |
メッセージ | string | イベントに関する詳細情報を示すメッセージ。 |
OldFileCreateTime | string | 古いファイルが作成された日時。 |
OldFileHash | string | 古いファイルのハッシュ。 |
OldFileID | string | 古いファイルに関連付けられている、inode などの ID。 |
OldFileModificationTime | string | 古いファイルが最後に変更された日時。 |
OldFileName | string | 古いファイルの名前。 |
OldFilePath | string | ファイル名を含む、古いファイルへの完全なパス。 例: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe または /usr/bin/zip。 |
OldFilePermission | string | 古いファイルのアクセス許可。 例: '2,1,1'。 |
OldFileSize | int | 古いファイルのサイズ (バイト単位)。 |
OldFileType | string | パイプやソケットなど、古いファイルのファイルの種類。 |
OriginalLogSeverity | string | マップされていないバージョンの LogSeverity。 例: LogSeverity フィールドの正規化された Low/Medium/High ではなく、警告/クリティカル/情報 |
ProcessID | int | イベントを生成しているデバイス上のプロセスの ID を定義します。 |
ProcessName | string | イベントに関連付けられているプロセス名。 たとえば、UNIX では、syslog エントリを生成するプロセスです。 |
Protocol | string | 使用されているレイヤー 4 プロトコルを識別するトランスポート プロトコル。 使用可能な値には、TCP や UDP などのプロトコル名が含まれます。 |
理由 | string | 監査イベントが生成された理由。 たとえば、"無効なパスワード" や "不明なユーザー" などです。 これは、エラーまたはリターン コードである場合もあります。 例: '0x1234'。 |
ReceiptTime | string | アクティビティに関連するイベントが受信された時刻。 "Timegenerated" フィールドとは異なります。これは、イベントがログ コレクター コンピューターで受信されたときです。 |
ReceivedBytes | long | 内側へ転送されたバイト数。 |
RemoteIP | string | 可能であれば、イベントの方向の値から派生したリモート IP アドレス。 |
リモート ポート | string | 可能であれば、イベントの方向の値から派生したリモート ポート。 |
ReportReferenceLink | string | TI フィードのレポートへのリンク。 |
RequestClientApplication | string | 要求に関連付けられているユーザー エージェント。 |
RequestContext | string | HTTP 参照元など、要求送信元のコンテンツについて説明します。 |
RequestCookies | string | 要求に関連付けられている Cookie。 |
RequestMethod | string | URL にアクセスするために使用されるメソッド。 有効な値には、POST、GET などのメソッドが含まれます。 |
RequestURL | string | HTTP 要求のためにアクセスされる URL (プロトコルを含む)。 例: http://www/secure.com. |
_ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
SentBytes | long | 外側へ転送されたバイト数。 |
SimplifiedDeviceAction | string | マップされたバージョンの DeviceAction (Denyed > Deny など)。 |
SourceDnsDomain | string | 完全な FQDN の DNS ドメインの部分。 |
SourceHostName | string | IP ネットワーク内でイベントによって参照されている発信元を識別します。 ノードを使用できる場合は、形式を、ソース ノードに関連付けられている完全修飾ドメイン名 (DQDN) にする必要があります。 たとえば、ホストまたは host.domain.com。 |
SourceIP | string | IP ネットワーク内でイベントによって参照されている、IPv4 アドレスとしての発信元。 |
SourceMACAddress | string | 発信元 MAC アドレス。 |
SourceNTDomain | string | 発信元アドレスの Windows ドメイン名。 |
SourcePort | int | 発信元ポート番号。 有効なポート番号は 0 から 65535 です。 |
SourceProcessId | int | イベントに関連付けられている発信元プロセスの ID。 |
SourceProcessName | string | イベントの発信元プロセスの名前。 |
SourceServiceName | string | イベントの生成を担っているサービス。 |
SourceSystem | string | イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux 、Azure Diagnostics の場合は Azure です |
SourceTranslatedAddress | string | IP ネットワーク内でイベントによって参照されている、変換後の発信元を識別します。 |
SourceTranslatedPort | int | 変換後の、ファイアウォールなどの発信元ポート。 有効なポート番号は 0 から 65535 です。 |
SourceUserID | string | ID で発信元ユーザーを識別します。 |
SourceUserName | string | 名前で発信元ユーザーを識別します。 電子メール アドレスは、UserName フィールドにもマップされます。 送信者は、このフィールドに入力する候補です。 |
SourceUserPrivileges | string | 発信元ユーザーの特権。 有効な値は、管理者、ユーザー、ゲストです。 |
StartTime | datetime | イベントによって参照されているアクティビティが開始された時刻。 |
_SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
TenantId | string | Log Analytics ワークスペース ID |
ThreatConfidence | string | TI フィードに従った MaliciousIP の脅威の信頼度。 |
ThreatDescription | string | TI フィードに従った MaliciousIP の脅威の説明。 |
ThreatSeverity | int | レコード インジェスト時の TI フィードに従った MaliciousIP の脅威の重大度。 |
TimeGenerated | datetime | イベント収集時刻 (UTC)。 |
種類 | string | テーブルの名前 |