CommonSecurityLog
이 표는 Check Point, Palo Alto 등과 같은 다양한 보안 어플라이언스에서 가장 자주 전송되는 공통 이벤트 형식의 이벤트를 수집하기 위한 것입니다.
테이블 특성
| attribute | 값 |
|---|---|
| 리소스 종류 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 범주 | 보안 |
| 솔루션 | 보안, SecurityInsights |
| 기본 로그 | 아니요 |
| 수집 시간 변환 | 예 |
| 샘플 쿼리 | 예 |
열
| Column | Type | 설명 |
|---|---|---|
| Activity | string | 사람이 읽을 수 있고 이해할 수 있는 이벤트에 대한 설명을 나타내는 문자열입니다. |
| AdditionalExtensions | string | 추가 필드의 자리 표시자입니다. 필드는 키-값 쌍으로 기록됩니다. |
| ApplicationProtocol | string | HTTP, HTTPS, SSHv2, 텔넷, POP, IMPA, IMAPS 등과 같은 애플리케이션에서 사용되는 프로토콜입니다. |
| _BilledSize | real | 레코드 크기(바이트) |
| CollectorHostName | string | 에이전트를 실행하는 수집기 컴퓨터의 호스트 이름입니다. |
| CommunicationDirection | string | 관찰된 통신이 진행된 방향에 대한 정보입니다. 유효한 값: 0 = 인바운드, 1 = 아웃바운드. |
| 컴퓨터 | string | 호스트, Syslog에서. |
| DestinationDnsDomain | string | FQDN(정규화된 도메인 이름)의 DNS 부분입니다. |
| DestinationHostName | string | 이벤트가 IP 네트워크에서 참조하는 대상입니다. 형식은 노드를 사용할 수 있는 경우 대상 노드와 연결된 FQDN이어야 합니다. 예: host.domain.com 또는 호스트입니다. |
| DestinationIP | string | IP 네트워크에서 이벤트가 참조하는 대상 IpV4 주소입니다. |
| DestinationMACAddress | string | 대상 MAC 주소(FQDN)입니다. |
| DestinationNTDomain | string | 대상 주소의 Windows 도메인 이름입니다. |
| DestinationPort | int | 대상 포트. 유효한 값: 0 - 65535. |
| DestinationProcessId | int | 이벤트와 연결된 대상 프로세스의 ID입니다. |
| DestinationProcessName | string | 텔넷 또는 sshd와 같은 이벤트의 대상 프로세스 이름입니다. |
| DestinationServiceName | string | 이벤트에 의해 대상으로 지정된 서비스입니다. 예: sshd. |
| DestinationTranslatedAddress | string | IP 네트워크에서 이벤트에 의해 참조되는 변환된 대상을 IPv4 IP 주소로 식별합니다. |
| DestinationTranslatedPort | int | 변환 후 포트(예: 방화벽 유효한 포트 번호: 0 - 65535) |
| DestinationUserID | string | ID로 대상 사용자를 식별합니다. 예를 들어 Unix에서 루트 사용자는 일반적으로 사용자 ID 0과 연결됩니다. |
| DestinationUserName | string | 이름으로 대상 사용자를 식별합니다. |
| DestinationUserPrivileges | string | 대상 사용 권한을 정의합니다. 유효한 값: Admninistrator, User, Guest. |
| DeviceAction | string | 이벤트에 언급된 작업입니다. |
| DeviceAddress | string | 이벤트를 생성하는 디바이스의 IPv4 주소입니다. |
| DeviceCustomDate1 | string | 이 사전의 다른 어떤 필드에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 두 개의 타임스탬프 필드 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomDate1Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomDate2 | string | 이 사전의 다른 어떤 필드에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 두 개의 타임스탬프 필드 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomDate2Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomFloatingPoint1 | real | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
| DeviceCustomFloatingPoint1Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomFloatingPoint2 | real | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
| DeviceCustomFloatingPoint2Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomFloatingPoint3 | real | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
| DeviceCustomFloatingPoint3Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomFloatingPoint4 | real | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
| DeviceCustomFloatingPoint4Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomIPv6Address1 | string | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
| DeviceCustomIPv6Address1Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomIPv6Address2 | string | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
| DeviceCustomIPv6Address2Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomIPv6Address3 | string | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
| DeviceCustomIPv6Address3Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomIPv6Address4 | string | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
| DeviceCustomIPv6Address4Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomNumber1 | int | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber1로 대체됩니다. |
| DeviceCustomNumber1Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomNumber2 | int | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber2로 대체됩니다. |
| DeviceCustomNumber2Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomNumber3 | int | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber3으로 대체됩니다. |
| DeviceCustomNumber3Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString1 | string | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomString1Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString2 | string | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomString2Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString3 | string | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomString3Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString4 | string | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomString4Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString5 | string | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomString5Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString6 | string | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomString6Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceDnsDomain | string | FQDN(정규화된 도메인 이름)의 DNS 도메인 부분입니다. |
| DeviceEventCategory | string | 원래 디바이스에서 할당한 범주를 나타냅니다. 디바이스는 종종 고유한 분류 스키마를 사용하여 이벤트를 분류합니다. 예: '/Monitor/Disk/Read'. |
| DeviceEventClassID | string | 이벤트 유형당 고유 식별자 역할을 하는 문자열 또는 정수입니다. |
| DeviceExternalID | string | 이벤트를 생성하는 디바이스를 고유하게 식별하는 이름입니다. |
| DeviceFacility | string | 이벤트를 생성하는 시설입니다. 예: 인증 또는 local1. |
| DeviceInboundInterface | string | 패킷 또는 데이터가 디바이스에 입력된 인터페이스입니다. 예: 이더넷1/2. |
| DeviceMacAddress | string | 이벤트를 생성하는 디바이스의 MAC 주소입니다. |
| DeviceName | string | 노드를 사용할 수 있는 경우 디바이스 노드와 연결된 FQDN입니다. 예: host.domain.com 또는 호스트입니다. |
| DeviceNtDomain | string | 디바이스 주소의 Windows 도메인입니다. |
| DeviceOutboundInterface | string | 패킷 또는 데이터가 디바이스를 떠난 인터페이스입니다. |
| DevicePayloadId | string | 이벤트와 연결된 페이로드의 고유 식별자입니다. |
| DeviceProduct | string | 디바이스 제품 및 버전 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다. |
| DeviceTimeZone | string | 이벤트를 생성하는 디바이스의 표준 시간대입니다. |
| DeviceTranslatedAddress | string | IP 네트워크에서 이벤트가 참조하는 변환된 디바이스 주소를 식별합니다. 형식은 Ipv4 주소입니다. |
| DeviceVendor | string | 디바이스 제품 및 버전 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다. |
| DeviceVersion | string | 디바이스 제품 및 버전 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다. |
| EndTime | 날짜/시간 | 이벤트와 관련된 활동이 종료된 시간입니다. |
| EventCount | int | 동일한 이벤트가 관찰된 횟수를 표시하는 이벤트와 연결된 개수입니다. |
| EventOutcome | string | 일반적으로 결과를 '성공' 또는 '실패'로 표시합니다. |
| EventType | int | 이벤트 유형입니다. 값 값은 0: 기본 이벤트, 1: 집계됨, 2: 상관 관계 이벤트, 3: 작업 이벤트입니다. 참고: 이 이벤트는 기본 이벤트에 대해 생략할 수 있습니다. |
| ExternalID | int | 곧 사용되지 않는 필드가 될 것입니다. ExtID로 대체됩니다. |
| ExtID | string | 원래 디바이스에서 사용하는 ID입니다(레거시 ExternalID를 대체합니다). 일반적으로 이러한 값은 각각 이벤트와 연결된 늘어나는 값입니다. |
| FieldDeviceCustomNumber1 | long | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 가지 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber1을 대체합니다). 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| FieldDeviceCustomNumber2 | long | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 개의 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber2를 대체합니다). 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| FieldDeviceCustomNumber3 | long | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 가지 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber3을 대체합니다). 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| FileCreateTime | string | 파일을 만든 시간입니다. |
| FileHash | string | 파일의 해시입니다. |
| FileID | string | inode와 같은 파일과 연결된 ID입니다. |
| FileModificationTime | string | 파일이 마지막으로 수정된 시간입니다. |
| FileName | string | 경로가 없는 파일의 이름입니다. |
| FilePath | string | 파일 이름을 포함하여 파일의 전체 경로입니다. 예: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 또는 /usr/bin/zip. |
| FilePermission | string | 파일의 사용 권한입니다. 예: '2,1,1'. |
| FileSize | int | 파일의 크기입니다(바이트). |
| FileType | string | 파이프, 소켓 등의 파일 형식입니다. |
| FlexDate1 | string | 이 사전의 다른 정의된 타임스탬프 필드에 적용되지 않는 타임스탬프를 매핑하는 데 사용할 수 있는 타임스탬프 필드입니다. 가능한 경우 모든 플렉스 필드를 아끼고 보다 구체적인 사전 제공 필드를 찾습니다. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
| FlexDate1Label | string | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
| FlexNumber1 | int | 이 사전의 다른 필드에는 적용되지 않는 Int 데이터를 매핑하는 데 사용할 수 있는 숫자 필드입니다. |
| FlexNumber1Label | string | FlexNumber1의 값을 설명하는 레이블 |
| FlexNumber2 | int | 이 사전의 다른 필드에는 적용되지 않는 Int 데이터를 매핑하는 데 사용할 수 있는 숫자 필드입니다. |
| FlexNumber2Label | string | FlexNumber2의 값을 설명하는 레이블 |
| FlexString1 | string | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
| FlexString1Label | string | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
| FlexString2 | string | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
| FlexString2Label | string | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
| IndicatorThreatType | string | TI 피드에 따른 MaliciousIP의 위협 유형입니다. |
| _IsBillable | string | 데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| LogSeverity | string | 이벤트의 중요도를 설명하는 문자열 또는 정수입니다. 유효한 문자열 값: 알 수 없음, 낮음, 보통, 높음, 매우 높은 유효한 정수 값은 0-3 = 낮음, 4-6 = 보통, 7-8 = 높음, 9-10 = 매우 높음입니다. |
| MaliciousIP | string | 메시지의 IP 중 하나가 현재 TI 피드와 상관 관계가 있는 경우 여기에 표시됩니다. |
| MaliciousIPCountry | string | 레코드 수집 시 GEO 정보에 따른 MaliciousIP의 국가입니다. |
| MaliciousIPLatitude | real | 레코드 수집 시 GEO 정보에 따른 MaliciousIP의 위도입니다. |
| MaliciousIPLongitude | real | 레코드 수집 시 GEO 정보에 따른 MaliciousIP의 경도입니다. |
| 메시지 | string | 이벤트에 대한 자세한 정보를 제공하는 메시지입니다. |
| OldFileCreateTime | string | 이전 파일을 만든 시간입니다. |
| OldFileHash | string | 이전 파일의 해시입니다. |
| OldFileID | string | 및 이전 파일과 연결된 ID(예: inode)입니다. |
| OldFileModificationTime | string | 파일이 마지막으로 수정된 시간입니다. |
| OldFileName | string | 이전 파일의 이름입니다. |
| OldFilePath | string | 파일 이름을 포함하여 이전 파일의 전체 경로입니다. 예: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 또는 /usr/bin/zip. |
| OldFilePermission | string | 이전 파일의 사용 권한입니다. 예: '2,1,1'. |
| OldFileSize | int | 이전 파일의 크기(바이트)입니다. |
| OldFileType | string | 파이프, 소켓 등과 같은 이전 파일의 파일 형식입니다. |
| OriginalLogSeverity | string | 매핑하지 않은 LogSeverity 버전입니다. 예: LogSeverity 필드에서 표준화된 낮음/보통/높음 대신 경고/위험/정보 |
| ProcessID | int | 이벤트를 생성하는 디바이스에서 프로세스의 ID를 정의합니다. |
| ProcessName | string | 이벤트와 연결된 프로세스 이름입니다. 예: UNIX에서 syslog 항목을 생성하는 프로세스입니다. |
| 프로토콜 | string | 사용된 Layer-4 프로토콜을 식별하는 전송 프로토콜입니다. 가능한 값에는 TCP 또는 UDP와 같은 프로토콜 이름이 포함됩니다. |
| 원인 | string | 감사 이벤트가 생성된 이유입니다. 예를 들어 '잘못된 암호' 또는 '알 수 없는 사용자'가 있습니다. 오류 또는 반환 코드일 수도 있습니다. 예: '0x1234'. |
| ReceiptTime | string | 작업과 관련된 이벤트를 받은 시간입니다. 로그 수집기 컴퓨터에서 이벤트가 수신된 시점인 'Timegenerated' 필드가 다릅니다. |
| ReceivedBytes | long | 인바운드로 전송된 바이트 수입니다. |
| RemoteIP | string | 가능한 경우 이벤트의 방향 값에서 파생된 원격 IP 주소입니다. |
| RemotePort | string | 가능한 경우 이벤트의 방향 값에서 파생된 원격 포트입니다. |
| ReportReferenceLink | string | TI 피드의 보고서에 연결합니다. |
| RequestClientApplication | string | 요청과 연결된 사용자 에이전트입니다. |
| RequestContext | string | HTTP 참조 페이지와 같이 요청이 시작된 콘텐츠를 설명합니다. |
| RequestCookies | string | 요청과 연결된 쿠키입니다. |
| RequestMethod | string | URL에 액세스하는 데 사용되는 메서드입니다. 유효한 값에는 POST, GET 등의 메서드가 포함됩니다. |
| RequestURL | string | 프로토콜을 포함하여 HTTP 요청에 액세스하는 URL입니다. 예: http://www/secure.com. |
| _ResourceId | string | 레코드가 연결된 리소스의 고유 식별자입니다. |
| SentBytes | long | 아웃바운드로 전송된 바이트 수입니다. |
| SimplifiedDeviceAction | string | 거부 거부와 같은 DeviceAction의 매핑된 > 버전입니다. |
| SourceDnsDomain | string | 전체 FQDN의 DNS 도메인 부분입니다. |
| SourceHostName | string | IP 네트워크에서 이벤트가 참조하는 원본을 식별합니다. 노드를 사용할 수 있는 경우 형식은 원본 노드와 연결된 DQDN(정규화된 도메인 이름)이어야 합니다. 예: 호스트 또는 host.domain.com. |
| SourceIP | string | IP 네트워크에서 이벤트가 IPv4 주소로 참조하는 원본입니다. |
| SourceMACAddress | string | 원본 MAC 주소입니다. |
| SourceNTDomain | string | 원본 주소의 Windows 도메인 이름입니다. |
| SourcePort | int | 원본 포트 번호입니다. 유효한 포트 번호는 0 - 65535입니다. |
| SourceProcessId | int | 이벤트와 연결된 원본 프로세스의 ID입니다. |
| SourceProcessName | string | 이벤트 원본 프로세스의 이름입니다. |
| SourceServiceName | string | 이벤트 생성을 담당하는 서비스입니다. |
| SourceSystem | string | 이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| SourceTranslatedAddress | string | 이벤트가 IP 네트워크에서 참조하는 번역된 원본을 식별합니다. |
| SourceTranslatedPort | int | 변환 후 원본 포트(예: 방화벽). 유효한 포트 번호는 0 - 65535입니다. |
| SourceUserID | string | ID로 원본 사용자를 식별합니다. |
| SourceUserName | string | 이름으로 원본 사용자를 식별합니다. 전자 메일 주소도 UserName 필드에 매핑됩니다. 발신자는 이 필드에 넣을 후보입니다. |
| SourceUserPrivileges | string | 원본 사용자의 권한입니다. 유효한 값은 관리자, 사용자, 게스트입니다. |
| StartTime | 날짜/시간 | 이벤트가 참조하는 활동이 시작된 시간입니다. |
| _SubscriptionId | string | 레코드가 연결된 구독의 고유 식별자입니다. |
| TenantId | string | Log Analytics 작업 영역 ID |
| ThreatConfidence | string | TI 피드에 따른 MaliciousIP의 위협 신뢰도입니다. |
| ThreatDescription | string | TI 피드에 따른 MaliciousIP의 위협 설명입니다. |
| 위협 심각도 | int | 레코드 수집 시 TI 피드에 따른 MaliciousIP의 위협 심각도입니다. |
| TimeGenerated | 날짜/시간 | 이벤트 수집 시간(UTC)입니다. |
| Type | string | 테이블의 이름입니다. |