CommonSecurityLog
Den här tabellen används för att samla in händelser i Common Event Format, som oftast skickas från olika säkerhetsenheter, till exempel Check Point, Palo Alto med mera.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorier | Säkerhet |
| Lösningar | Säkerhet, SecurityInsights |
| Grundläggande logg | Nej |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | Ja |
Kolumner
| Column | Type | Beskrivning |
|---|---|---|
| Aktivitet | sträng | En sträng som representerar en läsbar och begriplig beskrivning av händelsen. |
| Ytterligareextensioner | sträng | En platshållare för ytterligare fält. Fält loggas som nyckel/värde-par. |
| ApplicationProtocol | sträng | Protokollet som används i programmet, till exempel HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS och så vidare. |
| _BilledSize | real | Poststorleken i byte |
| CollectorHostName | sträng | Värdnamnet för den insamlardator som kör agenten. |
| CommunicationDirection | sträng | All information om den riktning som den observerade kommunikationen har tagit. Giltiga värden: 0 = Inkommande, 1 = Utgående. |
| Dator | sträng | Värd, från Syslog. |
| DestinationDnsDomain | sträng | DNS-delen av det fullständigt kvalificerade domännamnet (FQDN). |
| DestinationHostName | sträng | Målet som händelsen refererar till i ett IP-nätverk. Formatet ska vara ett FQDN som är associerat med målnoden när en nod är tillgänglig. Till exempel: host.domain.com eller värd. |
| Mål-IP | sträng | IpV4-måladressen som händelsen refererar till i ett IP-nätverk. |
| DestinationMACAddress | sträng | Målets MAC-adress (FQDN). |
| DestinationNTDomain | sträng | Måladressens Windows-domännamn. |
| DestinationPort | heltal | Målport. Giltiga värden: 0 –65535. |
| DestinationProcessId | heltal | ID:t för målprocessen som är associerad med händelsen. |
| DestinationProcessName | sträng | Namnet på händelsens målprocess, till exempel telnetd eller sshd. |
| DestinationServiceName | sträng | Den tjänst som händelsen riktar sig till. Till exempel: sshd. |
| DestinationTranslatedAddress | sträng | Identifierar det översatta mål som händelsen refererar till i ett IP-nätverk som en IP-adress för IPv4. |
| DestinationTranslatedPort | heltal | Port efter översättning, till exempel en brandvägg Giltiga portnummer: 0 – 65535. |
| DestinationUserID | sträng | Identifierar målanvändaren efter ID. Till exempel: i Unix är rotanvändaren vanligtvis associerad med användar-ID 0. |
| DestinationUserName | sträng | Identifierar målanvändaren efter namn. |
| DestinationUserPrivileges | sträng | Definierar målanvändningens behörigheter. Giltiga värden: Admninistrator, Användare, Gäst. |
| DeviceAction | sträng | Åtgärden som nämns i händelsen. |
| DeviceAddress | sträng | IPv4-adressen för enheten som genererar händelsen. |
| DeviceCustomDate1 | sträng | Ett av två tidsstämpelfält som är tillgängliga för mappningsfält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomDate1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomDate2 | sträng | Ett av två tidsstämpelfält som är tillgängliga för mappningsfält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomDate2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomFloatingPoint1 | real | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. |
| DeviceCustomFloatingPoint1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomFloatingPoint2 | real | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. |
| DeviceCustomFloatingPoint2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomFloatingPoint3 | real | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. |
| DeviceCustomFloatingPoint3Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomFloatingPoint4 | real | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. |
| DeviceCustomFloatingPoint4Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomIPv6Address1 | sträng | Ett av fyra IPv6-adressfält som är tillgängliga för mappningsfält som inte gäller för andra i den här ordlistan. |
| DeviceCustomIPv6Address1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomIPv6Address2 | sträng | Ett av fyra IPv6-adressfält som är tillgängliga för mappningsfält som inte gäller för andra i den här ordlistan. |
| DeviceCustomIPv6Address2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomIPv6Address3 | sträng | Ett av fyra IPv6-adressfält som är tillgängliga för mappningsfält som inte gäller för andra i den här ordlistan. |
| DeviceCustomIPv6Address3Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomIPv6Address4 | sträng | Ett av fyra IPv6-adressfält som är tillgängliga för mappningsfält som inte gäller för andra i den här ordlistan. |
| DeviceCustomIPv6Address4Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomNumber1 | heltal | Snart ett inaktuellt fält. Ersätts av FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomNumber2 | heltal | Snart ett inaktuellt fält. Ersätts av FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomNumber3 | heltal | Snart ett inaktuellt fält. Ersätts av FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString1 | sträng | En av sex strängar som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomString1Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString2 | sträng | En av sex strängar som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomString2Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString3 | sträng | En av sex strängar som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomString3Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString4 | sträng | En av sex strängar som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomString4Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString5 | sträng | En av sex strängar som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomString5Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceCustomString6 | sträng | En av sex strängar som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| DeviceCustomString6Label | sträng | Alla anpassade fält har ett motsvarande etikettfält. Vart och ett av dessa fält är en sträng och beskriver syftet med det anpassade fältet. |
| DeviceDnsDomain | sträng | DNS-domändelen av det fullständiga kvalificerade domännamnet (FQDN). |
| DeviceEventCategory | sträng | Representerar den kategori som tilldelats av den ursprungliga enheten. Enheter använder ofta sitt eget kategoriseringsschema för att klassificera händelsen. Exempel: "/Monitor/Disk/Read". |
| DeviceEventClassID | sträng | Sträng eller heltal som fungerar som en unik identifierare per händelsetyp. |
| DeviceExternalID | sträng | Ett namn som unikt identifierar enheten som genererar händelsen. |
| DeviceFacility | sträng | Den anläggning som genererar händelsen. Till exempel: auth eller local1. |
| DeviceInboundInterface | sträng | Gränssnittet där paketet eller data har angetts för enheten. Till exempel: ethernet1/2. |
| DeviceMacAddress | sträng | MAC-adressen för enheten som genererar händelsen. |
| DeviceName | sträng | Det FQDN som är associerat med enhetsnoden när en nod är tillgänglig. Till exempel: host.domain.com eller värd. |
| DeviceNtDomain | sträng | Windows-domänen för enhetsadressen. |
| DeviceOutboundInterface | sträng | Gränssnitt där paketet eller data lämnade enheten. |
| DevicePayloadId | sträng | Unik identifierare för nyttolasten som är associerad med händelsen. |
| DeviceProduct | sträng | Sträng som tillsammans med enhetsprodukt- och versionsdefinitioner unikt identifierar typen av sändande enhet. |
| DeviceTimeZone | sträng | Tidszonen för enheten som genererar händelsen. |
| DeviceTranslatedAddress | sträng | Identifierar den översatta enhetsadress som händelsen refererar till i ett IP-nätverk. Formatet är en Ipv4-adress. |
| DeviceVendor | sträng | Sträng som tillsammans med enhetsprodukt- och versionsdefinitioner unikt identifierar typen av sändande enhet. |
| DeviceVersion | sträng | Sträng som tillsammans med enhetsprodukt- och versionsdefinitioner unikt identifierar typen av sändande enhet. |
| EndTime | datetime | Den tid då aktiviteten som var relaterad till händelsen avslutades. |
| EventCount | heltal | Ett antal som är associerade med händelsen, som visar hur många gånger samma händelse observerades. |
| EventOutcome | sträng | Visar resultatet, vanligtvis som "framgång" eller "misslyckande". |
| EventType | heltal | Händelsetyp. Värdevärden inkluderar: 0: bashändelse, 1: aggregerad, 2: korrelationshändelse, 3: åtgärdshändelse. Obs! Den här händelsen kan utelämnas för bashändelser. |
| ExternalID | heltal | Snart ett inaktuellt fält. Ersätts av ExtID. |
| ExtID | sträng | Ett ID som används av den ursprungliga enheten (ersätter äldre ExternalID). Vanligtvis har dessa värden ökande värden som var och en är associerade med en händelse. |
| FieldDeviceCustomNumber1 | lång | Ett av tre nummerfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan (ersätter äldre DeviceCustomNumber1). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| FieldDeviceCustomNumber2 | lång | Ett av tre nummerfält som är tillgängliga för mappningsfält som inte gäller för andra i den här ordlistan (ersätter äldre DeviceCustomNumber2). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| FieldDeviceCustomNumber3 | lång | Ett av tre nummerfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan (ersätter äldre DeviceCustomNumber3). Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. |
| FileCreateTime | sträng | Tid då filen skapades. |
| FileHash | sträng | Hash för en fil. |
| FileID | sträng | Ett ID som är associerat med en fil, till exempel innoden. |
| FileModificationTime | sträng | Tid då filen senast ändrades. |
| FileName | sträng | Filens namn, utan sökvägen. |
| FilePath | sträng | Fullständig sökväg till filen, inklusive filnamnet. Exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip. |
| FilePermission | sträng | Filens behörigheter. Exempel: "2,1,1". |
| FileSize | heltal | Filstorleken i byte. |
| FileType | sträng | Filtyp, till exempel rör, socket och så vidare. |
| FlexDate1 | sträng | Ett tidsstämpelfält som är tillgängligt för att mappa en tidsstämpel som inte gäller för något annat definierat tidsstämpelfält i den här ordlistan. Använd alla flexfält sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte anges av leverantörer om det inte behövs. |
| FlexDate1Label | sträng | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
| FlexNumber1 | heltal | Talfält som är tillgängliga för att mappa Int-data som inte gäller för något annat fält i den här ordlistan. |
| FlexNumber1Label | sträng | Etiketten som beskriver värdet i FlexNumber1 |
| FlexNumber2 | heltal | Talfält som är tillgängliga för att mappa Int-data som inte gäller för något annat fält i den här ordlistan. |
| FlexNumber2Label | sträng | Etiketten som beskriver värdet i FlexNumber2 |
| FlexString1 | sträng | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte anges av leverantörer om det inte behövs. |
| FlexString1Label | sträng | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
| FlexString2 | sträng | Ett av fyra flyttalsfält som är tillgängliga för att mappa fält som inte gäller för andra i den här ordlistan. Använd sparsamt och sök efter ett mer specifikt ordlistefält när det är möjligt. Dessa fält är vanligtvis reserverade för kundanvändning och bör inte anges av leverantörer om det inte behövs. |
| FlexString2Label | sträng | Etikettfältet är en sträng och beskriver syftet med flexfältet. |
| IndicatorThreatType | sträng | Hottypen för MaliciousIP enligt vårt TI-flöde. |
| _IsBillable | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| LogSeverity | sträng | En sträng eller ett heltal som beskriver händelsens betydelse. Giltiga strängvärden: Unknown , Low, Medium, High, Very-High Valid integer values are: 0-3 = Low, 4-6 = Medium, 7-8 = High, 9-10 = Very-High. |
| MaliciousIP | sträng | Om en av IP-adresserna i meddelandet korrelerades med den aktuella TI-feeden visas den här. |
| MaliciousIPCountry | sträng | Landet för MaliciousIP enligt GEO-informationen vid tidpunkten för postinmatningen. |
| MaliciousIPLatitude | real | Latituden för MaliciousIP enligt GEO-informationen vid tidpunkten för postinmatningen. |
| MaliciousIPLongitude | real | Longitud för MaliciousIP enligt GEO-informationen vid tidpunkten för postinmatningen. |
| Meddelande | sträng | Ett meddelande som ger mer information om händelsen. |
| OldFileCreateTime | sträng | Tidpunkt då den gamla filen skapades. |
| OldFileHash | sträng | Hash för den gamla filen. |
| OldFileID | sträng | Och ID som är associerat med den gamla filen, till exempel innoden. |
| OldFileModificationTime | sträng | Tidpunkt då den gamla filen senast ändrades. |
| OldFileName | sträng | Namnet på den gamla filen. |
| OldFilePath | sträng | Fullständig sökväg till den gamla filen, inklusive filnamnet. Exempel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe eller /usr/bin/zip. |
| OldFilePermission | sträng | Behörigheter för den gamla filen. Exempel: "2,1,1". |
| OldFileSize | heltal | Storleken på den gamla filen i byte. |
| OldFileType | sträng | Filtyp för den gamla filen, till exempel ett rör, socket och så vidare. |
| OriginalLogSeverity | sträng | En icke-mappad version av LogSeverity. Till exempel: Varning/kritisk/information i stället för den normiserade låg/medel/hög i fältet LogSeverity |
| ProcessID | heltal | Definierar ID för processen på enheten som genererar händelsen. |
| ProcessName | sträng | Processnamn som är associerat med händelsen. Till exempel: i UNIX genererar processen syslog-posten. |
| Protokoll | sträng | Transportprotokoll som identifierar det Layer-4-protokoll som används. Möjliga värden inkluderar protokollnamn, till exempel TCP eller UDP. |
| Anledning | sträng | Anledningen till att en granskningshändelse genererades. Till exempel "felaktigt lösenord" eller "okänd användare". Det kan också vara ett fel eller en returkod. Exempel: "0x1234". |
| ReceiptTime | sträng | Den tidpunkt då händelsen som var relaterad till aktiviteten togs emot. Annorlunda än fältet "Tidsgenererad", vilket är när händelsen togs emot på logginsamlarens dator. |
| ReceivedBytes | lång | Antal byte som överförts inkommande. |
| RemoteIP | sträng | Fjärr-IP-adressen, som härleds från händelsens riktningsvärde, om möjligt. |
| RemotePort | sträng | Fjärrporten, som härleds från händelsens riktningsvärde, om möjligt. |
| ReportReferenceLink | sträng | Länka till rapporten för TI-feeden. |
| RequestClientApplication | sträng | Användaragenten som är associerad med begäran. |
| RequestContext | sträng | Beskriver innehållet som begäran kommer från, till exempel HTTP-referensen. |
| RequestCookies | sträng | Cookies som är associerade med begäran. |
| RequestMethod | sträng | Den metod som används för att komma åt en URL. Giltiga värden inkluderar metoder som POST, GET och så vidare. |
| RequestURL | sträng | URL:en som används för en HTTP-begäran, inklusive protokollet. Till exempel: http://www/secure.com. |
| _ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
| SentBytes | lång | Antal byte som överförts utgående. |
| SimplifiedDeviceAction | sträng | En mappad version av DeviceAction, till exempel Nekad > nekad. |
| SourceDnsDomain | sträng | DNS-domändelen av det fullständiga fullständiga fullständiga domännamnet. |
| SourceHostName | sträng | Identifierar källan som händelsen refererar till i ett IP-nätverk. Formatet ska vara ett fullständigt kvalificerat domännamn (DQDN) som är associerat med källnoden när en nod är tillgänglig. Till exempel: värd eller host.domain.com. |
| Käll-IP | sträng | Källan som en händelse refererar till i ett IP-nätverk, som en IPv4-adress. |
| KällaMACAddress | sträng | Källans MAC-adress. |
| SourceNTDomain | sträng | Windows-domännamnet för källadressen. |
| SourcePort | heltal | Källportnumret. Giltiga portnummer är 0–65535. |
| SourceProcessId | heltal | ID:t för källprocessen som är associerad med händelsen. |
| SourceProcessName | sträng | Namnet på händelsens källprocess. |
| SourceServiceName | sträng | Tjänsten som ansvarar för att generera händelsen. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SourceTranslatedAddress | sträng | Identifierar den översatta källa som händelsen refererar till i ett IP-nätverk. |
| SourceTranslatedPort | heltal | Källport efter översättning, till exempel en brandvägg. Giltiga portnummer är 0–65535. |
| SourceUserID | sträng | Identifierar källanvändaren efter ID. |
| SourceUserName | sträng | Identifierar källanvändaren efter namn. E-postadresser mappas också till fälten Användarnamn. Avsändaren är en kandidat att lägga till i det här fältet. |
| SourceUserPrivileges | sträng | Källanvändarens behörigheter. Giltiga värden är: Administratör, Användare, Gäst. |
| StartTime | datetime | Den tid då aktiviteten som händelsen refererar till startades. |
| _SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| ThreatConfidence | sträng | Hotförtroendet för MaliciousIP enligt vårt TI-flöde. |
| ThreatDescription | sträng | Hotbeskrivningen för MaliciousIP enligt vårt TI-flöde. |
| ThreatSeverity | heltal | Hotets allvarlighetsgrad för MaliciousIP enligt vårt TI-flöde vid tidpunkten för postinmatningen. |
| TimeGenerated | datetime | Tid för händelseinsamling i UTC. |
| Typ | sträng | Namnet på tabellen |