CommonSecurityLog
Esta tabela é para coletar eventos no Common Event Format, que são enviados com mais frequência de diferentes dispositivos de segurança, como Check Point, Palo Alto e muito mais.
Atributos da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorias | Segurança |
| Soluções | Segurança, SecurityInsights |
| Log básico | Não |
| Transformação de tempo de ingestão | Sim |
| Consultas de amostras | Sim |
Colunas
| Coluna | Type | Descrição |
|---|---|---|
| Atividade | string | Uma cadeia de caracteres que representa uma descrição legível e compreensível do evento. |
| Extensões adicionais | string | Um espaço reservado para campos adicionais. Os campos são registrados como pares de chave-valor. |
| ApplicationProtocol | string | O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPs e assim por diante. |
| _BilledSize | real | O tamanho do registro em bytes |
| ColetorHostName | string | O nome do host da máquina coletora que executa o agente. |
| CommunicationDirection | string | Todas as informações sobre a direção que a comunicação observada levou. Valores válidos: 0 = Entrada, 1 = Saída. |
| Computador | string | Host, do Syslog. |
| DestinationDnsDomain | string | A parte DNS do FQDN (nome de domínio totalmente qualificado). |
| DestinationHostName | string | O destino ao qual o evento se refere em uma rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó está disponível. Por exemplo: host.domain.com ou host. |
| DestinationIP | string | O endereço IpV4 de destino ao qual o evento se refere em uma rede IP. |
| DestinoMACAddress | string | O endereço MAC de destino (FQDN). |
| DestinationNTDomain | string | O nome de domínio do Windows do endereço de destino. |
| DestinationPort | int | Porta de destino. Valores válidos: 0 - 65535. |
| DestinationProcessId | int | A ID do processo de destino associado ao evento. |
| DestinationProcessName | string | O nome do processo de destino do evento, como telnetd ou sshd. |
| DestinationServiceName | string | O serviço direcionado pelo evento. Por exemplo: sshd. |
| DestinationTranslatedAddress | string | Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4. |
| DestinationTranslatedPort | int | Porta após tradução, como um firewall Números de porta válidos: 0 - 65535. |
| ID do usuário de destino | string | Identifica o usuário de destino por ID. Por exemplo: no Unix, o usuário root geralmente está associado ao ID de usuário 0. |
| DestinationUserName | string | Identifica o usuário de destino por nome. |
| DestinationUserPrivileges | string | Define os privilégios do uso de destino. Valores válidos: Admninistrator, User, Guest. |
| Ação do Dispositivo | string | A ação mencionada no evento. |
| DeviceAddress | string | O endereço IPv4 do dispositivo que gera o evento. |
| DeviceCustomDate1 | string | Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomDate1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomDate2 | string | Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomDate2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint1 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint2 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint3 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint4 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address1 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address2 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address3 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address4 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber1 | int | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber2 | int | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber3 | int | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString1 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString2 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString3 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString4 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString5 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString5Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString6 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString6Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceDnsDomain | string | A parte do domínio DNS do FQDN (nome de domínio qualificado) completo. |
| DeviceEventCategory | string | Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam o próprio esquema de categorização para classificar o evento. Exemplo: '/Monitor/Disk/Read'. |
| DeviceEventClassID | string | Cadeia de caracteres ou inteiro que serve como um identificador exclusivo por tipo de evento. |
| DeviceExternalID | string | Um nome que identifica exclusivamente o dispositivo que gera o evento. |
| DeviceFacility | string | A instalação que gera o evento. Por exemplo: auth ou local1. |
| DeviceInboundInterface | string | A interface na qual o pacote ou os dados foram inseridos no dispositivo. Por exemplo: ethernet1/2. |
| DeviceMacAddress | string | O endereço MAC do dispositivo que gera o evento. |
| DeviceName | string | O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo: host.domain.com ou host. |
| DeviceNtDomain | string | O domínio do Windows do endereço do dispositivo. |
| DeviceOutboundInterface | string | A interface pela qual o pacote ou os dados saíram do dispositivo. |
| DevicePayloadId | string | Identificador exclusivo para o payload associado ao evento. |
| DeviceProduct | string | Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| DeviceTimeZone | string | Fuso horário do dispositivo que gera o evento. |
| DeviceTranslatedAddress | string | Identifica o endereço do dispositivo traduzido ao qual o evento se refere em uma rede IP. O formato é um endereço IPv4. |
| DeviceVendor | string | Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| DeviceVersion | string | Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| EndTime | datetime | A hora em que a atividade relacionada ao evento terminou. |
| EventCount | int | Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado. |
| EventOutcome | string | Exibe o resultado, geralmente como 'sucesso' ou 'falha'. |
| EventType | int | Tipo de evento. Os valores de valor incluem: 0: evento base, 1: agregado, 2: evento de correlação, 3: evento de ação. Observação: este evento pode ser omitido para eventos base. |
| ExternalId | int | Em breve será um campo obsoleto. Será substituído por ExtID. |
| ExtID | string | Uma ID usada pelo dispositivo de origem (substituirá ExternalID herdada). Normalmente, esses valores têm valores crescentes que são associados a um evento. |
| FieldDeviceCustomNumber1 | longo | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber1 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| FieldDeviceCustomNumber2 | longo | Um dos três campos de número disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber2 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| FieldDeviceCustomNumber3 | longo | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber3 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| FileCreateTime | string | Hora que o arquivo foi criado. |
| FileHash | string | Hash de um arquivo. |
| FileID | string | Uma ID associada a um arquivo, como inode. |
| FileModificationTime | string | Hora em que o arquivo foi modificado pela última vez. |
| FileName | string | O nome do arquivo, sem o caminho. |
| FilePath | string | Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| FilePermission | string | As permissões do arquivo. Por exemplo: '2,1,1'. |
| Tamanho do arquivo | int | O tamanho do arquivo em bytes. |
| FileType | string | Tipo de arquivo, como pipe, soquete e assim por diante. |
| FlexDate1 | string | Um campo de carimbo de data/hora disponível para mapear um carimbo de data/hora que não se aplica a nenhum outro campo de carimbo de data/hora definido neste dicionário. Use todos os campos flexíveis com moderação e busque um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexDate1Label | string | O campo label é uma string e descreve a finalidade do campo flex. |
| FlexNumber1 | int | Campos numéricos disponíveis para mapear dados Int que não se aplicam a nenhum outro campo neste dicionário. |
| FlexNumber1Label | string | O rótulo que descreve o valor em FlexNumber1 |
| FlexNumber2 | int | Campos numéricos disponíveis para mapear dados Int que não se aplicam a nenhum outro campo neste dicionário. |
| FlexNumber2Label | string | O rótulo que descreve o valor em FlexNumber2 |
| FlexString1 | string | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexString1Label | string | O campo label é uma string e descreve a finalidade do campo flex. |
| FlexString2 | string | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexString2Label | string | O campo label é uma string e descreve a finalidade do campo flex. |
| IndicatorThreatType | string | O tipo de ameaça do MaliciousIP de acordo com nosso feed de TI. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable ingestão false não é cobrada em sua conta do Azure |
| Gravidade de log | string | Uma cadeia de caracteres ou um inteiro que descreve a importância do evento. Valores de cadeia de caracteres válidos: Desconhecido, Baixo, Médio, Alto, Muito-Alto Os valores inteiros válidos são: 0-3 = Baixo, 4-6 = Médio, 7-8 = Alto, 9-10 = Muito-Alto. |
| MaliciousIP | string | Se um dos IPs na mensagem estiver correlacionado com o feed de TI atual que temos, ele aparecerá aqui. |
| MaliciousIPCountry | string | O país do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro. |
| MaliciousIPLatitude | real | A latitude do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro. |
| MaliciousIPLongitude | real | A longitude do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro. |
| Mensagem | string | Uma mensagem que fornece mais detalhes sobre o evento. |
| OldFileCreateTime | string | Hora em que o arquivo antigo foi criado. |
| OldFileHash | string | Hash do arquivo antigo. |
| ID do arquivo antigo | string | ID associada ao arquivo antigo, como o inode. |
| OldFileModificationTime | string | Hora em que o arquivo antigo foi modificado pela última vez. |
| OldFileName | string | Nome do arquivo antigo. |
| OldFilePath | string | Caminho completo para o arquivo antigo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| OldFilePermission | string | Permissões do arquivo antigo. Por exemplo: '2,1,1'. |
| OldFileSize | int | O tamanho do arquivo antigo em bytes. |
| OldFileType | string | Tipo do arquivo antigo, como um pipe, soquete e assim por diante. |
| OriginalLogSeverity | string | Uma versão não mapeada do LogSeverity. Por exemplo: Warning/Critical/Info em vez do normilizado Low/Medium/High no campo LogSeverity |
| ProcessID | int | Define a ID do processo no dispositivo que gera o evento. |
| ProcessName | string | Nome do processo associado ao evento. Por exemplo: no UNIX, o processo que gera a entrada do syslog. |
| Protocolo | string | Protocolo de transporte que identifica o protocolo Layer-4 usado. Os valores possíveis incluem nomes de protocolo, como TCP ou UDP. |
| Motivo | string | O motivo pelo qual um evento de auditoria foi gerado. Por exemplo, 'senha incorreta' ou 'usuário desconhecido'. Também pode ser um erro ou um código de retorno. Exemplo: '0x1234'. |
| ReceiptTime | string | A hora em que o evento relacionado à atividade foi recebido. Diferente do campo 'Timegenerated', que é quando o evento foi recebido na máquina coletora de logs. |
| ReceivedBytes | longo | Número de bytes transferidos em entrada. |
| RemoteIP | string | O endereço IP remoto, derivado do valor de direção do evento, se possível. |
| RemotePort | string | A porta remota, derivada do valor de direção do evento, se possível. |
| ReportReferenceLink | string | Link para o relatório do feed de TI. |
| RequestClientApplication | string | O agente de usuário associado com a solicitação. |
| RequestContext | string | Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP. |
| RequestCookies | string | Cookies associados com a solicitação. |
| RequestMethod | string | O método usado para acessar uma URL. Os valores válidos incluem métodos como POST, GET e assim por diante. |
| RequestURL | string | A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo: http://www/secure.com. |
| _ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
| SentBytes | longo | Número de bytes transferidos em saída. |
| SimplifiedDeviceAction | string | Uma versão mapeada de DeviceAction, como Negação negada > . |
| SourceDnsDomain | string | A parte do domínio DNS do FQDN completo. |
| SourceHostName | string | Identifica a fonte à qual o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (FQDN) associado ao nó de origem, quando um nó está disponível. Por exemplo: host ou host.domain.com. |
| SourceIP | string | A origem à qual um evento se refere em uma rede IP, como um endereço IPv4. |
| FonteMACAddress | string | Endereço MAC de origem. |
| SourceNTDomain | string | O nome de domínio do Windows para o endereço de origem. |
| SourcePort | int | O número da porta de origem. Os números de porta válidos são 0 - 65535. |
| SourceProcessId | int | A ID do processo de origem associado ao evento. |
| SourceProcessName | string | O nome do processo de origem do evento. |
| SourceServiceName | string | O serviço responsável por gerar o evento. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, a conexão direta ou o Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
| SourceTranslatedAddress | string | Identifica a origem traduzida à qual o evento se refere em uma rede IP. |
| SourceTranslatedPort | int | Porta de origem após a conversão, como um firewall. Os números de porta válidos são 0 - 65535. |
| SourceUserID | string | Identifica o usuário de origem por ID. |
| SourceUserName | string | Identifica o usuário de origem por nome. Os endereços de e-mail também são mapeados para os campos UserName. O remetente é um candidato a ser colocado neste campo. |
| SourceUserPrivileges | string | Os privilégios do usuário de origem. Os valores válidos incluem: Administrador, Usuário, Convidado. |
| StartTime | datetime | A hora em que a atividade à qual o evento se refere foi iniciada. |
| _SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
| TenantId | string | A ID do workspace do Log Analytics |
| ThreatConfidence | string | A confiança da ameaça do MaliciousIP de acordo com nosso feed de TI. |
| ThreatDescription | string | A descrição da ameaça do MaliciousIP de acordo com nosso feed de TI. |
| ThreatSeverity | int | A gravidade da ameaça do MaliciousIP de acordo com nosso feed de TI no momento da ingestão do registro. |
| TimeGenerated | datetime | Tempo de coleta de eventos em UTC. |
| Type | string | O nome da tabela |