CommonSecurityLog
Esta tabela destina-se à recolha de eventos no Formato de Evento Comum, que na maioria das vezes são enviados a partir de diferentes dispositivos de segurança, como Check Point, Palo Alto e muito mais.
Atributos da tabela
| Atributo | Value |
|---|---|
| Tipos de recursos | Microsoft.SecurityInsights/CEF, microsoft.compute/virtualmachines, Microsoft.ConenctedVMWarevsphere/VirtualMachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, Microsoft.Compute/VirtualMachineScaleSets |
| Categorias | Segurança |
| Soluções | Segurança, SecurityInsights |
| Log básico | Não |
| Transformação do tempo de ingestão | Sim |
| Consultas de Exemplo | Sim |
Colunas
| Column | Tipo | Description |
|---|---|---|
| Atividade | string | Uma cadeia de caracteres que representa uma descrição compreensível e legível por humanos do evento. |
| Extensões adicionais | string | Um espaço reservado para campos adicionais. Os campos são registrados como pares chave-valor. |
| ApplicationProtocol | string | O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS e assim por diante. |
| _BilledSize | real | O tamanho do registo em bytes |
| CollectorHostName | string | O nome do host da máquina coletora que executa o agente. |
| ComunicaçãoDireção | string | Qualquer informação sobre a direção que a comunicação observada tomou. Valores válidos: 0 = Entrada, 1 = Saída. |
| Computador | string | Host, do Syslog. |
| DestinationDnsDomain | string | A parte DNS do nome de domínio totalmente qualificado (FQDN). |
| DestinationHostName | string | O destino ao qual o evento se refere em uma rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó estiver disponível. Por exemplo: host.domain.com ou host. |
| DestinoIP | string | O endereço IpV4 de destino ao qual o evento se refere em uma rede IP. |
| DestinoMACAddress | string | O endereço MAC de destino (FQDN). |
| DestinoNTDomain | string | O nome de domínio do Windows do endereço de destino. |
| DestinationPort | número inteiro | Porta de destino. Valores válidos: 0 - 65535. |
| DestinationProcessId | número inteiro | A ID do processo de destino associado ao evento. |
| DestinationProcessName | string | O nome do processo de destino do evento, como telnetd ou sshd. |
| DestinationServiceName | string | O serviço que é alvo do evento. Por exemplo: sshd. |
| DestinoEndereço traduzido | string | Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4. |
| DestinoTranslatedPort | número inteiro | Porta após tradução, como um firewall Números de porta válidos: 0 - 65535. |
| DestinationUserID | string | Identifica o usuário de destino por ID. Por exemplo: no Unix, o usuário root é geralmente associado ao ID de usuário 0. |
| DestinationUserName | string | Identifica o usuário de destino pelo nome. |
| DestinationUserPrivileges | string | Define os privilégios do uso de destino. Valores válidos: Admninistrator, User, Guest. |
| DeviceAction | string | A ação mencionada no evento. |
| Endereço do dispositivo | string | O endereço IPv4 do dispositivo que gera o evento. |
| DeviceCustomDate1 | string | Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomDate1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomDate2 | string | Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomDate2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint1 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint2 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint3 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint4 | real | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address1 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address2 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address3 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address4 | string | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber1 | número inteiro | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber2 | número inteiro | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber3 | número inteiro | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString1 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString1Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString2 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString2Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString3 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString3Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString4 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString4Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString5 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString5Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceCustomString6 | string | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString6Label | string | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma cadeia de caracteres e descreve a finalidade do campo personalizado. |
| DeviceDnsDomain | string | A parte do domínio DNS do nome de domínio qualificado completo (FQDN). |
| DeviceEventCategory | string | Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam seu próprio esquema de categorização para classificar o evento. Exemplo: '/Monitor/Disk/Read'. |
| DeviceEventClassID | string | String ou inteiro que serve como um identificador exclusivo por tipo de evento. |
| DeviceExternalID | string | Um nome que identifica exclusivamente o dispositivo que gera o evento. |
| DeviceFacility | string | A instalação geradora do evento. Por exemplo: auth ou local1. |
| DeviceInboundInterface | string | A interface na qual o pacote ou os dados entraram no dispositivo. Por exemplo: ethernet1/2. |
| DeviceMacAddress | string | O endereço MAC do dispositivo que gera o evento. |
| Nome do dispositivo | string | O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo: host.domain.com ou host. |
| DeviceNtDomain | string | O domínio do Windows do endereço do dispositivo. |
| DeviceOutboundInterface | string | Interface na qual o pacote ou os dados saíram do dispositivo. |
| DevicePayloadId | string | Identificador exclusivo da carga associada ao evento. |
| DispositivoProduto | string | String que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| DeviceTimeZone | string | Fuso horário do dispositivo que gera o evento. |
| DeviceTranslatedAddress | string | Identifica o endereço do dispositivo traduzido ao qual o evento se refere, em uma rede IP. O formato é um endereço Ipv4. |
| DeviceVendor | string | String que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| Versão do dispositivo | string | String que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| EndTime | datetime | O momento em que a atividade relacionada com o evento terminou. |
| EventCount | número inteiro | Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado. |
| EventoResultado | string | Exibe o resultado, geralmente como "sucesso" ou "fracasso". |
| EventType | número inteiro | Tipo de evento. Os valores de valor incluem: 0: evento base, 1: agregado, 2: evento de correlação, 3: evento de ação. Nota: Este evento pode ser omitido para eventos base. |
| ID Externo | número inteiro | Em breve será um campo obsoleto. Será substituído por ExtID. |
| ExtID | string | Um ID usado pelo dispositivo de origem (substituirá o ExternalID herdado). Normalmente, esses valores têm valores crescentes que estão associados a um evento. |
| FieldDeviceCustomNumber1 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber1 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| FieldDeviceCustomNumber2 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber2 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| FieldDeviceCustomNumber3 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá DeviceCustomNumber3 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| FileCreateTime | string | Hora em que o ficheiro foi criado. |
| Hash de Ficheiro | string | Hash de um ficheiro. |
| ID do ficheiro | string | Um ID associado a um arquivo, como o inode. |
| FileModificationTime | string | Hora em que o arquivo foi modificado pela última vez. |
| FileName | string | O nome do arquivo, sem o caminho. |
| FilePath | string | Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| FilePermission | string | As permissões do arquivo. Por exemplo: '2,1,1'. |
| Tamanho do arquivo | número inteiro | O tamanho de ficheiro em bytes. |
| Tipo de ficheiro | string | Tipo de arquivo, como pipe, soquete e assim por diante. |
| FlexDate1 | string | Um campo de carimbo de data/hora disponível para mapear um carimbo de data/hora que não se aplica a nenhum outro campo de carimbo de data/hora definido neste dicionário. Use todos os campos flexíveis com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que necessário. |
| FlexDate1Label | string | O campo label é uma cadeia de caracteres e descreve a finalidade do campo flex. |
| FlexNumber1 | número inteiro | Campos numéricos disponíveis para mapear dados Int que não se aplicam a nenhum outro campo neste dicionário. |
| FlexNumber1Label | string | O rótulo que descreve o valor em FlexNumber1 |
| FlexNumber2 | número inteiro | Campos numéricos disponíveis para mapear dados Int que não se aplicam a nenhum outro campo neste dicionário. |
| FlexNumber2Label | string | O rótulo que descreve o valor em FlexNumber2 |
| FlexString1 | string | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que necessário. |
| FlexString1Label | string | O campo label é uma cadeia de caracteres e descreve a finalidade do campo flex. |
| FlexString2 | string | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que necessário. |
| FlexString2Label | string | O campo label é uma cadeia de caracteres e descreve a finalidade do campo flex. |
| IndicatorThreatType | string | O tipo de ameaça do MaliciousIP de acordo com o nosso feed de TI. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure |
| LogSeverity | string | Uma cadeia de caracteres ou inteiro que descreve a importância do evento. Valores de cadeia de caracteres válidos: Desconhecido, Baixo, Médio, Alto, Muito Alto Os valores inteiros válidos são: 0-3 = Baixo, 4-6 = Médio, 7-8 = Alto, 9-10 = Muito Alto. |
| MaliciousIP | string | Se um dos IP na mensagem foi correlacionado com o feed de TI atual que temos, ele aparecerá aqui. |
| MaliciosoIPCountry | string | O país do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro. |
| MaliciosoIPLatitude | real | A latitude do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro. |
| MaliciousIPLongitude | real | A longitude do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro. |
| Mensagem | string | Uma mensagem que dá mais detalhes sobre o evento. |
| OldFileCreateTime | string | Hora em que o ficheiro antigo foi criado. |
| OldFileHash | string | Hash do ficheiro antigo. |
| OldFileID | string | E ID associado ao arquivo antigo, como o inode. |
| OldFileModificationTime | string | Hora em que o arquivo antigo foi modificado pela última vez. |
| OldFileName | string | Nome do arquivo antigo. |
| OldFilePath | string | Caminho completo para o arquivo antigo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| OldFilePermission | string | Permissões do arquivo antigo. Por exemplo: '2,1,1'. |
| OldFileSize | número inteiro | O tamanho do arquivo antigo em bytes. |
| OldFileType | string | Tipo de arquivo do arquivo antigo, como um pipe, soquete e assim por diante. |
| OriginalLogSeverity | string | Uma versão não mapeada do LogSeverity. Por exemplo: Warning/Critical/Info em vez do normilizado Low/Medium/High no campo LogSeverity |
| ProcessID | número inteiro | Define a ID do processo no dispositivo que gera o evento. |
| ProcessName | string | Nome do processo associado ao evento. Por exemplo: no UNIX, o processo que gera a entrada syslog. |
| Protocolo | string | Protocolo de transporte que identifica o protocolo de camada 4 usado. Os valores possíveis incluem nomes de protocolo, como TCP ou UDP. |
| Razão | string | O motivo pelo qual um evento de auditoria foi gerado. Por exemplo, 'bad password' ou 'unknown user'. Isso também pode ser um erro ou código de retorno. Exemplo: «0x1234». |
| Tempo de Recebimento | string | O momento em que o evento relacionado à atividade foi recebido. Diferente do campo 'Timegenerated', que é quando o evento foi recebido na máquina coletora de log. |
| ReceivedBytes | long | Número de bytes transferidos de entrada. |
| RemoteIP | string | O endereço IP remoto, derivado do valor de direção do evento, se possível. |
| Porta Remota | string | A porta remota, derivada do valor de direção do evento, se possível. |
| ReportReferenceLink | string | Link para o relatório do feed de TI. |
| RequestClientApplication | string | O agente de usuário associado à solicitação. |
| RequestContext | string | Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP. |
| PedidoCookies | string | Cookies associados ao pedido. |
| RequestMethod | string | O método usado para acessar uma URL. Os valores válidos incluem métodos como POST, GET e assim por diante. |
| RequestURL | string | A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo: http://www/secure.com. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registro está associado |
| SentBytes | long | Número de bytes transferidos de saída. |
| SimplifiedDeviceAction | string | Uma versão mapeada do DeviceAction, como Denied > Deny. |
| SourceDnsDomain | string | A parte do domínio DNS do FQDN completo. |
| SourceHostName | string | Identifica a origem a que o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (DQDN) associado ao nó de origem, quando um nó estiver disponível. Por exemplo: host ou host.domain.com. |
| FonteIP | string | A origem a que um evento se refere em uma rede IP, como um endereço IPv4. |
| FonteMACAddress | string | Endereço MAC de origem. |
| FonteNTDomain | string | O nome de domínio do Windows para o endereço de origem. |
| FontePort | número inteiro | O número da porta de origem. Os números de porta válidos são 0 - 65535. |
| SourceProcessId | número inteiro | A ID do processo de origem associado ao evento. |
| SourceProcessName | string | O nome do processo de origem do evento. |
| SourceServiceName | string | O serviço responsável pela geração do evento. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| SourceTranslatedAddress | string | Identifica a fonte traduzida à qual o evento se refere em uma rede IP. |
| SourceTranslatedPort | número inteiro | Porta de origem após a tradução, como um firewall. Os números de porta válidos são 0 - 65535. |
| SourceUserID | string | Identifica o usuário de origem por ID. |
| SourceUserName | string | Identifica o usuário de origem pelo nome. Os endereços de e-mail também são mapeados nos campos UserName. O remetente é um candidato a colocar neste campo. |
| SourceUserPrivileges | string | Os privilégios do usuário de origem. Os valores válidos incluem: Administrador, Utilizador, Convidado. |
| StartTime | datetime | A hora em que a atividade a que o evento se refere começou. |
| _SubscriptionId | string | Um identificador exclusivo para a assinatura à qual o registro está associado |
| TenantId | cadeia | O ID do espaço de trabalho do Log Analytics |
| ThreatConfidence | string | A confiança da ameaça do MaliciousIP de acordo com o nosso feed de TI. |
| AmeaçaDescrição | string | A descrição da ameaça do MaliciousIP de acordo com o nosso feed de TI. |
| ThreatSeverity | número inteiro | A gravidade da ameaça do MaliciousIP de acordo com nosso feed de TI no momento da ingestão do registro. |
| TimeGenerated | datetime | Hora de recolha de eventos em UTC. |
| Type | string | O nome da tabela |