ActingAppId |
string |
Identyfikator aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa. |
ActingAppName |
string |
Nazwa aplikacji autoryzującej w imieniu aktora, w tym proces, przeglądarka lub usługa. |
ActingAppType |
string |
Typ działającej aplikacji. |
ActingOriginalAppType |
string |
Działający typ aplikacji zgłaszany przez urządzenie raportowania. |
ActorOriginalUserType |
string |
Typ użytkownika zgłoszony przez urządzenie raportowania. |
AktorZakres |
string |
Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername. |
AktorScopeId |
string |
Identyfikator zakresu, taki jak identyfikator dzierżawy usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername. |
ActorsSessionId |
string |
Unikatowy identyfikator sesji logowania aktora. |
AktorUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. |
AktorUserIdType |
string |
Typ identyfikatora przechowywanego w polu ActorUserId. |
AktorUsername |
string |
Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. |
AktorUsernameType |
string |
Określa typ nazwy użytkownika przechowywanej w polu ActorUsername. |
AktorUserType |
string |
Typ aktora. |
Dodatkowe pola |
dynamiczna |
Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość udostępniane przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
DvcAction |
string |
W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system. |
DvcDescription |
string |
Tekst opisowy skojarzony z urządzeniem. |
DvcDomain |
string |
Domena urządzenia zgłasza zdarzenie. |
DvcDomainType |
string |
Typ DvcDomain. |
DvcFQDN |
string |
Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcHostname |
string |
Nazwa hosta urządzenia zgłasza zdarzenie. |
DvcId |
string |
Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcIdType |
string |
Typ DvcId. |
DvcInterface |
string |
Interfejs sieciowy, na którym zostały przechwycone dane. |
DvcIpAddr |
string |
Adres IP urządzenia zgłasza zdarzenie. |
DvcMacAddr |
string |
Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOriginalAction |
string |
Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
DvcOs |
string |
System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOsVersion |
string |
Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS. |
DvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcZone |
string |
Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
EventCount |
int |
Liczba zdarzeń opisanych przez rekord. |
EventEndTime |
datetime |
Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventMessage |
string |
Ogólny komunikat lub opis. |
EventOriginalResultDetails |
string |
Oryginalne szczegóły wyniku dostarczone przez źródło. |
EventOriginalSeverity |
string |
Oryginalna ważność podana przez urządzenie raportowania. |
EventOriginalSubType |
string |
Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło. |
EventOriginalType |
string |
Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło. |
EventOriginalUid |
string |
Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło. |
Właściciel zdarzenia |
string |
Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
EventProduct |
string |
Produkt generujący zdarzenie. |
EventProductVersion |
string |
Wersja produktu generująca zdarzenie. |
EventReportUrl |
string |
Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
EventResult |
string |
Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
EventResultDetails |
string |
Szczegóły skojarzone z wynikiem zdarzenia. To pole jest zwykle wypełniane, gdy wynik jest błędem. |
EventSchemaVersion |
string |
Wersja schematu. |
EventSeverity |
string |
Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
EventStartTime |
datetime |
Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventSubType |
string |
Typ logowania, na przykład System, Interactive, RemoteInteractive, Service, RemoteService, RemoteService, Remote Lub AssumeRole. |
EventType |
string |
Opisuje operację zgłoszoną przez rekord |
EventVendor |
string |
Dostawca produktu generującego zdarzenie. |
HttpUserAgent |
string |
W przypadku uwierzytelniania za pośrednictwem protokołu HTTP lub HTTPS wartość tego pola to user_agent nagłówek HTTP udostępniany przez działającą aplikację podczas przeprowadzania uwierzytelniania. |
_IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
LogonMethod |
string |
Metoda używana do przeprowadzania uwierzytelniania. |
LogonProtocol |
string |
Protokół używany do przeprowadzania uwierzytelniania. |
_ResourceId |
string |
Unikatowy identyfikator zasobu skojarzonego z rekordem |
RuleName |
string |
Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
RuleNumber |
int |
Liczba reguł skojarzonych z wynikami inspekcji. |
SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
SrcDescription |
string |
Tekst opisowy skojarzony z urządzeniem źródłowym. |
SrcDeviceType |
string |
Typ urządzenia źródłowego. |
SrcDomain |
string |
Domena urządzenia źródłowego. |
SrcDomainType |
string |
Typ SrcDomain. |
SrcDvcId |
string |
Identyfikator urządzenia źródłowego. |
SrcDvcIdType |
string |
Typ SrcDvcId. |
SrcDvcOs |
string |
System operacyjny urządzenia źródłowego. |
SrcDvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie źródłowe. SrcDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
SrcDvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. SrcDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
SrcFQDN |
string |
Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
SrcGeoCity |
string |
Miasto skojarzone ze źródłowym adresem IP. |
SrcGeoCountry |
string |
Kraj skojarzony ze źródłowym adresem IP. |
SrcGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
SrcGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
SrcGeoRegion |
string |
Region w kraju skojarzonym z źródłowym adresem IP. |
SrcHostname |
string |
Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. |
SrcIpAddr |
string |
Adres IP urządzenia źródłowego. |
SrcIsp |
string |
Dostawca usług internetowych (ISP) używany przez urządzenie źródłowe do łączenia się z Internetem. |
SrcOriginalRiskLevel |
string |
Poziom ryzyka jest jednokrotny ze zidentyfikowanym źródłem zgłoszonym przez urządzenie raportowania. |
SrcPortNumber |
int |
Port IP, z którego pochodzi połączenie. |
SrcRiskLevel |
int |
Poziom ryzyka skojarzony z zidentyfikowanym źródłem. |
_SubscriptionId |
string |
Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TargetAppId |
string |
Identyfikator aplikacji, do której jest wymagana autoryzacja, często przypisywana przez urządzenie raportowania. |
TargetAppName |
string |
Nazwa aplikacji, do której jest wymagana autoryzacja, w tym usługa, adres URL lub aplikacja SaaS. |
TargetAppType |
string |
Typ aplikacji autoryzującej w imieniu aktora. |
TargetDescription |
string |
Tekst opisowy skojarzony z urządzeniem docelowym. |
TargetDeviceType |
string |
Typ urządzenia docelowego. |
TargetDomain |
string |
Domena urządzenia docelowego. |
TargetDomainType |
string |
Typ elementu TargetDomain. |
TargetDvcId |
string |
Identyfikator urządzenia docelowego. |
TargetDvcIdType |
string |
Typ TargetDvcId. |
TargetDvcOs |
string |
System operacyjny urządzenia docelowego. |
TargetDvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie docelowe. TargetDvcScope mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
TargetDvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. TargetDvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
Nazwa docelowaFQDN |
string |
Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
TargetGeoCity |
string |
Miasto skojarzone z docelowym adresem IP. |
TargetGeoCountry |
string |
Kraj skojarzony z docelowym adresem IP. |
TargetGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
TargetGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
TargetGeoRegion |
string |
Region w kraju skojarzonym z docelowym adresem IP. |
TargetHostname |
string |
Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
TargetIpAddr |
string |
Adres IP urządzenia docelowego. |
TargetOriginalAppType |
string |
Typ aplikacji docelowej zgłoszony przez urządzenie raportowania. |
TargetOriginalRiskLevel |
string |
Poziom ryzyka skojarzony z obiektem docelowym, zgodnie z raportem urządzenia raportowania. |
TargetOriginalUserType |
string |
Typ użytkownika zgłoszony przez urządzenie raportowania. |
TargetPortNumber |
int |
Port urządzenia docelowego. |
TargetRiskLevel |
int |
Poziom ryzyka skojarzony z celem. |
TargetSessionId |
string |
Unikatowy identyfikator sesji logowania aktora docelowego. |
TargetUrl |
string |
Adres URL skojarzony z aplikacją docelową. |
TargetUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. |
TargetUserIdType |
string |
Typ identyfikatora przechowywanego w polu TargetUserId. |
TargetUsername |
string |
Nazwa użytkownika aktora docelowego, w tym informacje o domenie, gdy są dostępne. |
TargetUsernameType |
string |
Typ nazwy użytkownika aktora docelowego określony w polu TargetUsername |
TargetUserScope |
string |
Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano identyfikator TargetUserId i TargetUsername. |
TargetUserScopeId |
string |
Identyfikator zakresu, taki jak identyfikator dzierżawy usługi Azure AD, w którym zdefiniowano identyfikator TargetUserId i TargetUsername. |
TargetUserType |
string |
Typ aktora docelowego. |
TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory |
string |
Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
ThreatConfidence |
int |
Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField |
string |
Pole, dla którego zidentyfikowano zagrożenie. |
ThreatFirstReportedTime |
datetime |
Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatId |
string |
Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
ThreatIpAddr |
string |
Adres IP, dla którego zidentyfikowano zagrożenie. |
ThreatIsActive |
bool |
Prawda, jeśli zidentyfikowane zagrożenie jest uznawane za aktywne zagrożenie. |
ThreatLastReportedTime |
datetime |
Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName |
string |
Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu inspekcji. |
ThreatOriginalConfidence |
string |
Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
ThreatOriginalRiskLevel |
string |
Poziom ryzyka zgłoszony przez urządzenie raportowania. |
ThreatRiskLevel |
int |
Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
TimeGenerated |
datetime |
Znacznik czasu (UTC) odzwierciedla czas wygenerowania zdarzenia. |
Typ |
string |
Nazwa tabeli |