Udostępnij za pośrednictwem


ASimAuthenticationEventLogs

Tabela zdarzeń znormalizowanych uwierzytelniania usługi Microsoft Sentinel. Przechowuje zdarzenia skojarzone, na przykład z uwierzytelnianiem użytkownika, logowaniem i wylogowywaniem.

Atrybuty tabeli

Atrybut Wartość
Typy zasobów microsoft.securityinsights/authenticationevent
Kategorie Zabezpieczenia
Rozwiązania SecurityInsights
Dziennik podstawowy Nie.
Przekształcanie czasu pozyskiwania Tak
Przykładowe zapytania -

Kolumny

Kolumna Type Opis
ActingAppId string Identyfikator aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa.
ActingAppName string Nazwa aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa.
ActingAppType string Typ działającej aplikacji.
ActingOriginalAppType string Działający typ aplikacji zgłaszany przez urządzenie raportowania.
ActorOriginalUserType string Typ użytkownika zgłoszony przez urządzenie raportowania.
AktorZakres string Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername.
AktorScopeId string Identyfikator zakresu, taki jak identyfikator dzierżawy usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername.
ActorsSessionId string Unikatowy identyfikator sesji logowania aktora.
AktorUserId string Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora.
AktorUserIdType string Typ identyfikatora przechowywanego w polu ActorUserId.
AktorUsername string Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne.
AktorUsernameType string Określa typ nazwy użytkownika przechowywanej w polu ActorUsername.
AktorUserType string Typ aktora.
Dodatkowe pola dynamiczna Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość udostępniane przez źródło, które nie są mapowane na kartę ASim.
_BilledSize rzeczywiste Rozmiar rekordu w bajtach
DvcAction string W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system.
DvcDescription string Tekst opisowy skojarzony z urządzeniem.
DvcDomain string Domena urządzenia zgłasza zdarzenie.
DvcDomainType string Typ DvcDomain.
DvcFQDN string Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcHostname string Nazwa hosta urządzenia zgłasza zdarzenie.
DvcId string Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcIdType string Typ DvcId.
DvcInterface string Interfejs sieciowy, na którym zostały przechwycone dane.
DvcIpAddr string Adres IP urządzenia zgłasza zdarzenie.
DvcMacAddr string Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcOriginalAction string Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania.
DvcOs string System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcOsVersion string Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcScope string Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS.
DvcScopeId string Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
DvcZone string Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie.
EventCount int Liczba zdarzeń opisanych przez rekord.
EventEndTime datetime Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated.
EventMessage string Ogólny komunikat lub opis.
EventOriginalResultDetails string Oryginalne szczegóły wyniku dostarczone przez źródło.
EventOriginalSeverity string Oryginalna ważność podana przez urządzenie raportowania.
EventOriginalSubType string Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło.
EventOriginalType string Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło.
EventOriginalUid string Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło.
Właściciel zdarzenia string Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany.
EventProduct string Produkt generujący zdarzenie.
EventProductVersion string Wersja produktu generująca zdarzenie.
EventReportUrl string Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu.
EventResult string Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails.
EventResultDetails string Szczegóły skojarzone z wynikiem zdarzenia. To pole jest zwykle wypełniane, gdy wynik jest błędem.
EventSchemaVersion string Wersja schematu.
EventSeverity string Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High.
EventStartTime datetime Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated.
EventSubType string Typ logowania, na przykład System, Interactive, RemoteInteractive, Service, RemoteService, RemoteService, Remote Lub AssumeRole.
EventType string Opisuje operację zgłoszoną przez rekord
EventVendor string Dostawca produktu generującego zdarzenie.
HttpUserAgent string W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas przeprowadzania uwierzytelniania.
_IsBillable string Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure
LogonMethod string Metoda używana do przeprowadzania uwierzytelniania.
LogonProtocol string Protokół używany do przeprowadzania uwierzytelniania.
_ResourceId string Unikatowy identyfikator zasobu skojarzonego z rekordem
RuleName string Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji.
RuleNumber int Liczba reguł skojarzonych z wynikami inspekcji.
SourceSystem string Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure
SrcDescription string Tekst opisowy skojarzony z urządzeniem źródłowym.
SrcDeviceType string Typ urządzenia źródłowego.
SrcDomain string Domena urządzenia źródłowego.
SrcDomainType string Typ SrcDomain.
SrcDvcId string Identyfikator urządzenia źródłowego.
SrcDvcIdType string Typ SrcDvcId.
SrcDvcOs string System operacyjny urządzenia źródłowego.
SrcDvcScope string Zakres platformy w chmurze, do którego należy urządzenie źródłowe. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcDvcScopeId string Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
SrcFQDN string Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne.
SrcGeoCity string Miasto skojarzone ze źródłowym adresem IP.
SrcGeoCountry string Kraj skojarzony ze źródłowym adresem IP.
SrcGeoLatitude rzeczywiste Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP.
SrcGeoLongitude rzeczywiste Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP.
SrcGeoRegion string Region w kraju skojarzonym z źródłowym adresem IP.
SrcHostname string Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie.
SrcIpAddr string Adres IP urządzenia źródłowego.
SrcIsp string Dostawca usług internetowych (ISP) używany przez urządzenie źródłowe do łączenia się z Internetem.
SrcOriginalRiskLevel string Poziom ryzyka jest jednokrotny ze zidentyfikowanym źródłem zgłoszonym przez urządzenie raportowania.
SrcPortNumber int Port IP, z którego pochodzi połączenie.
SrcRiskLevel int Poziom ryzyka skojarzony z zidentyfikowanym źródłem.
_SubscriptionId string Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord
TargetAppId string Identyfikator aplikacji, do której jest wymagana autoryzacja, często przypisywana przez urządzenie raportowania.
TargetAppName string Nazwa aplikacji, do której jest wymagana autoryzacja, w tym usługa, adres URL lub aplikacja SaaS.
TargetAppType string Typ aplikacji autoryzującej w imieniu aktora.
TargetDescription string Tekst opisowy skojarzony z urządzeniem docelowym.
TargetDeviceType string Typ urządzenia docelowego.
TargetDomain string Domena urządzenia docelowego.
TargetDomainType string Typ elementu TargetDomain.
TargetDvcId string Identyfikator urządzenia docelowego.
TargetDvcIdType string Typ TargetDvcId.
TargetDvcOs string System operacyjny urządzenia docelowego.
TargetDvcScope string Zakres platformy w chmurze, do którego należy urządzenie docelowe. TargetDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
TargetDvcScopeId string Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. TargetDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
Nazwa docelowaFQDN string Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne.
TargetGeoCity string Miasto skojarzone z docelowym adresem IP.
TargetGeoCountry string Kraj skojarzony z docelowym adresem IP.
TargetGeoLatitude rzeczywiste Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP.
TargetGeoLongitude rzeczywiste Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP.
TargetGeoRegion string Region w kraju skojarzonym z docelowym adresem IP.
TargetHostname string Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie.
TargetIpAddr string Adres IP urządzenia docelowego.
TargetOriginalAppType string Typ aplikacji docelowej zgłoszony przez urządzenie raportowania.
TargetOriginalRiskLevel string Poziom ryzyka skojarzony z obiektem docelowym, zgodnie z raportem urządzenia raportowania.
TargetOriginalUserType string Typ użytkownika zgłoszony przez urządzenie raportowania.
TargetPortNumber int Port urządzenia docelowego.
TargetRiskLevel int Poziom ryzyka skojarzony z celem.
TargetSessionId string Unikatowy identyfikator sesji logowania aktora docelowego.
TargetUrl string Adres URL skojarzony z aplikacją docelową.
TargetUserId string Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora.
TargetUserIdType string Typ identyfikatora przechowywanego w polu TargetUserId.
TargetUsername string Nazwa użytkownika aktora docelowego, w tym informacje o domenie, gdy są dostępne.
TargetUsernameType string Typ nazwy użytkownika aktora docelowego określony w polu TargetUsername
TargetUserScope string Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano identyfikator TargetUserId i TargetUsername.
TargetUserScopeId string Identyfikator zakresu, taki jak identyfikator dzierżawy usługi Azure AD, w którym zdefiniowano identyfikator TargetUserId i TargetUsername.
TargetUserType string Typ aktora docelowego.
TenantId string Identyfikator obszaru roboczego usługi Log Analytics
ThreatCategory string Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji.
ThreatConfidence int Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100.
ThreatField string Pole, dla którego zidentyfikowano zagrożenie.
ThreatFirstReportedTime datetime Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatId string Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji.
ThreatIpAddr string Adres IP, dla którego zidentyfikowano zagrożenie.
ThreatIsActive bool Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie.
ThreatLastReportedTime datetime Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatName string Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji.
ThreatOriginalConfidence string Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania.
ThreatOriginalRiskLevel string Poziom ryzyka zgłoszony przez urządzenie raportowania.
ThreatRiskLevel int Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100.
TimeGenerated datetime Znacznik czasu (UTC) odzwierciedla czas wygenerowania zdarzenia.
Typ string Nazwa tabeli