CommonSecurityLog
下表用於收集 Common Event Format 中的事件,這些事件最常從不同的安全性設備傳送,例如 Check Point、Palo Alto 等等。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 類別 | 安全性 |
| 方案 | Security、SecurityInsights |
| 基本記錄 | No |
| 擷取時間轉換 | Yes |
| 範例查詢 | 是 |
資料行
| 資料行 | 類型 | 描述 |
|---|---|---|
| Activity | 字串 | 字串,表示人類可讀且可理解的事件描述。 |
| AdditionalExtensions | 字串 | 其他欄位元的佔位元。 欄位會記錄為索引鍵/值組。 |
| ApplicationProtocol | 字串 | 應用程式中所使用的通訊協定,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| CollectorHostName | 字串 | 執行代理程式之收集器計算機的主機名。 |
| CommunicationDirection | 字串 | 所觀察通訊方向的任何資訊。 有效值:0 = 輸入,1 = 輸出。 |
| 電腦 | 字串 | 主機,來自 Syslog。 |
| DestinationDnsDomain | 字串 | 完整功能變數名稱 (FQDN) 的 DNS 部分。 |
| DestinationHostName | 字串 | 事件在IP網路中參考的目的地。 當節點可用時,格式應該是與目的地節點相關聯的 FQDN。 例如:host.domain.com 或主機。 |
| DestinationIP | 字串 | 事件在IP網路中參考的目的地IpV4位址。 |
| DestinationMACAddress | 字串 | 目的地 MAC 位址 (FQDN)。 |
| DestinationNTDomain | 字串 | 目的地地址的 Windows 功能變數名稱。 |
| DestinationPort | int | 目的地連接埠。 有效值:0 - 65535。 |
| DestinationProcessId | int | 與事件相關聯的目的地進程標識碼。 |
| DestinationProcessName | 字串 | 事件目的地進程的名稱,例如 telnetd 或 sshd。 |
| DestinationServiceName | 字串 | 事件的目標服務。 例如:sshd。 |
| DestinationTranslatedAddress | 字串 | 將IP網路中事件所參考的已轉譯目的地識別為IPv4IP位址。 |
| DestinationTranslatedPort | int | 轉譯后的埠,例如防火牆有效的埠號碼:0 - 65535。 |
| DestinationUserID | 字串 | 依標識碼識別目的地使用者。 例如:在 Unix 中,根使用者通常會與使用者標識碼 0 相關聯。 |
| DestinationUserName | 字串 | 依名稱識別目的地使用者。 |
| DestinationUserPrivileges | 字串 | 定義目的地使用的許可權。 有效值:Admninistrator、User、Guest。 |
| DeviceAction | 字串 | 事件中所提及的動作。 |
| DeviceAddress | 字串 | 產生事件的裝置 IPv4 位址。 |
| DeviceCustomDate1 | 字串 | 兩個時間戳欄位的其中一個,可用來對應此字典中未套用至任何其他的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| DeviceCustomDate1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomDate2 | 字串 | 兩個時間戳欄位的其中一個,可用來對應此字典中未套用至任何其他的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| DeviceCustomDate2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomFloatingPoint1 | real | 四個浮點欄位的其中之一,可用於對應此字典中未套用至任何其他欄位的欄位。 |
| DeviceCustomFloatingPoint1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomFloatingPoint2 | real | 四個浮點欄位的其中之一,可用於對應此字典中未套用至任何其他欄位的欄位。 |
| DeviceCustomFloatingPoint2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomFloatingPoint3 | real | 四個浮點欄位的其中之一,可用於對應此字典中未套用至任何其他欄位的欄位。 |
| DeviceCustomFloatingPoint3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomFloatingPoint4 | real | 四個浮點欄位的其中之一,可用於對應此字典中未套用至任何其他欄位的欄位。 |
| DeviceCustomFloatingPoint4Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomIPv6Address1 | 字串 | 四個 IPv6 位址欄位的其中之一,可用來對應此字典中任何其他不適用的欄位。 |
| DeviceCustomIPv6Address1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomIPv6Address2 | 字串 | 四個 IPv6 位址欄位的其中之一,可用來對應此字典中任何其他不適用的欄位。 |
| DeviceCustomIPv6Address2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomIPv6Address3 | 字串 | 四個 IPv6 位址欄位的其中之一,可用來對應此字典中任何其他不適用的欄位。 |
| DeviceCustomIPv6Address3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomIPv6Address4 | 字串 | 四個 IPv6 位址欄位的其中之一,可用來對應此字典中任何其他不適用的欄位。 |
| DeviceCustomIPv6Address4Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomNumber1 | int | 即將成為已被取代的欄位。 將會由 FieldDeviceCustomNumber1 取代。 |
| DeviceCustomNumber1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomNumber2 | int | 即將成為已被取代的欄位。 將會取代為 FieldDeviceCustomNumber2。 |
| DeviceCustomNumber2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomNumber3 | int | 即將成為已被取代的欄位。 將會由 FieldDeviceCustomNumber3 取代。 |
| DeviceCustomNumber3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString1 | 字串 | 六個字串之一,可用來對應此字典中未套用至任何其他字段的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString2 | 字串 | 六個字串之一,可用來對應此字典中未套用至任何其他字段的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString3 | 字串 | 六個字串之一,可用來對應此字典中未套用至任何其他字段的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString4 | 字串 | 六個字串之一,可用來對應此字典中未套用至任何其他字段的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString4Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString5 | 字串 | 六個字串之一,可用來對應此字典中未套用至任何其他字段的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString5Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceCustomString6 | 字串 | 六個字串之一,可用來對應此字典中未套用至任何其他字段的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| DeviceCustomString6Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
| DeviceDnsDomain | 字串 | 完整功能變數名稱的 DNS 網域部分(FQDN)。 |
| DeviceEventCategory | 字串 | 表示原始裝置指派的類別。 裝置通常會使用自己的分類架構來分類事件。 範例:『Monitor/Disk/Read』。 |
| DeviceEventClassID | 字串 | 做為每個事件類型唯一標識碼的字串或整數。 |
| DeviceExternalID | 字串 | 可唯一識別產生事件的裝置名稱。 |
| DeviceFacility | 字串 | 產生事件的設施。 例如:驗證或local1。 |
| DeviceInboundInterface | 字串 | 封包或數據進入裝置的介面。 例如:乙太網路1/2。 |
| DeviceMacAddress | 字串 | 產生事件的裝置 MAC 位址。 |
| DeviceName | 字串 | 當節點可用時,與裝置節點相關聯的 FQDN。 例如:host.domain.com 或主機。 |
| DeviceNtDomain | 字串 | 裝置位址的 Windows 網域。 |
| DeviceOutboundInterface | 字串 | 封包或數據離開裝置的介面。 |
| DevicePayloadId | 字串 | 與事件相關聯之承載的唯一標識符。 |
| DeviceProduct | 字串 | 搭配裝置產品和版本定義的字串,可唯一識別傳送裝置的類型。 |
| DeviceTimeZone | 字串 | 產生事件的裝置時區。 |
| DeviceTranslatedAddress | 字串 | 識別IP網路中事件所參考的已翻譯裝置位址。 格式為 Ipv4 位址。 |
| DeviceVendor | 字串 | 搭配裝置產品和版本定義的字串,可唯一識別傳送裝置的類型。 |
| DeviceVersion | 字串 | 搭配裝置產品和版本定義的字串,可唯一識別傳送裝置的類型。 |
| EndTime | Datetime | 與事件相關的活動結束時間。 |
| EventCount | int | 與事件相關聯的計數,顯示觀察到相同事件的次數。 |
| EventOutcome | 字串 | 顯示結果,通常是「成功」或「失敗」。 |
| EventType | int | 事件類型。 值包括:0:基底事件、1:匯總、2:相互關聯事件、3:動作事件。 注意:基底事件可以省略此事件。 |
| ExternalID | int | 即將成為已被取代的欄位。 將會取代為 ExtID。 |
| ExtID | 字串 | 原始裝置所使用的標識碼(將會取代舊版 ExternalID)。 這些值通常會有遞增的值,每個值都與事件相關聯。 |
| FieldDeviceCustomNumber1 | long | 其中一個數位欄位可用來對應此字典中任何其他不適用的欄位(將取代舊版 DeviceCustomNumber1)。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| FieldDeviceCustomNumber2 | long | 三個數位欄位之一,可用來對應此字典中任何其他不適用的欄位(將取代舊版 DeviceCustomNumber2)。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| FieldDeviceCustomNumber3 | long | 其中一個數位欄位可用來對應此字典中任何其他不適用的欄位(將取代舊版 DeviceCustomNumber3)。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 |
| FileCreateTime | 字串 | 建立檔案的時間。 |
| FileHash | 字串 | 檔案的哈希。 |
| FileID | 字串 | 與檔案相關聯的標識碼,例如 inode。 |
| FileModificationTime | 字串 | 上次修改檔案的時間。 |
| FileName | 字串 | 檔名,不含路徑。 |
| FilePath | 字串 | 檔案的完整路徑,包括檔名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
| FilePermission | 字串 | 檔案的許可權。 例如:『2,1,1』。 |
| FileSize | int | 檔案的大小 (以位元組為單位)。 |
| FileType | 字串 | 檔類型,例如管道、套接字等等。 |
| FlexDate1 | 字串 | 時間戳欄位,可用來對應不套用至此字典中任何其他已定義時間戳欄位的時間戳欄位。 請謹慎使用所有彈性欄位,並盡可能搜尋更具體的字典提供欄位。 這些欄位通常保留給客戶使用,除非必要,否則不應由廠商設定。 |
| FlexDate1Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
| FlexNumber1 | int | 可用於對應此字典中任何其他欄位的 Int 資料可用的欄位。 |
| FlexNumber1Label | 字串 | 描述 FlexNumber1 中值的標籤 |
| FlexNumber2 | int | 可用於對應此字典中任何其他欄位的 Int 資料可用的欄位。 |
| FlexNumber2Label | 字串 | 描述 FlexNumber2 中值的標籤 |
| FlexString1 | 字串 | 四個浮點欄位的其中之一,可用於對應此字典中未套用至任何其他欄位的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 這些欄位通常保留給客戶使用,除非必要,否則不應由廠商設定。 |
| FlexString1Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
| FlexString2 | 字串 | 四個浮點欄位的其中之一,可用於對應此字典中未套用至任何其他欄位的欄位。 盡可能謹慎地使用 ,並搜尋更具體的字典提供欄位。 這些欄位通常保留給客戶使用,除非必要,否則不應由廠商設定。 |
| FlexString2Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
| IndicatorThreatType | 字串 | 根據我們的 TI 摘要,惡意資訊的威脅類型。 |
| _IsBillable | 字串 | 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| LogSeverity | 字串 | 描述事件重要性的字串或整數。 有效的字串值:未知、低、中、高、高有效整數值包括:0-3 = Low、4-6 = 中、7-8 = High、9-10 = High。 |
| MaliciousIP | 字串 | 如果訊息中的其中一個IP與目前TI摘要相互關聯,則會在此顯示。 |
| MaliciousIPCountry | 字串 | 根據記錄擷取時的 GEO 資訊,惡意資訊的國家/地區。 |
| MaliciousIPLatitude | real | 惡意代碼的緯度,根據記錄擷取時的 GEO 資訊。 |
| MaliciousIPLongitude | real | 根據記錄擷取時的 GEO 資訊,惡意 IP 的經度。 |
| 訊息 | 字串 | 訊息,提供事件的詳細數據。 |
| OldFileCreateTime | 字串 | 建立舊檔案的時間。 |
| OldFileHash | 字串 | 舊檔案的哈希。 |
| OldFileID | 字串 | 與舊檔案相關聯的標識符,例如 inode。 |
| OldFileModificationTime | 字串 | 上次修改舊檔案的時間。 |
| OldFileName | 字串 | 舊檔案的名稱。 |
| OldFilePath | 字串 | 舊檔案的完整路徑,包括檔名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
| OldFilePermission | 字串 | 舊檔案的許可權。 例如:『2,1,1』。 |
| OldFileSize | int | 舊檔案的大小,以位元組為單位。 |
| OldFileType | 字串 | 舊檔案的檔類型,例如管道、套接字等等。 |
| OriginalLogSeverity | 字串 | LogSeverity 的非對應版本。 例如:LogSeverity 字段中的警告/重大/資訊,而不是標準化的低/中/高 |
| ProcessID | int | 定義裝置上產生事件的處理程式標識碼。 |
| ProcessName | 字串 | 與事件相關聯的進程名稱。 例如:在 UNIX 中,產生 syslog 項目的程式。 |
| 通訊協定 | 字串 | 識別所使用第 4 層通訊協定的傳輸通訊協定。 可能的值包括通訊協定名稱,例如 TCP 或 UDP。 |
| 原因 | 字串 | 產生稽核事件的原因。 例如「不正確的密碼」或「未知的使用者」。 這可能是錯誤或傳回碼。 範例:『0x1234』。 |
| ReceiptTime | 字串 | 收到與活動相關的事件的時間。 不同於 [Timegenerated] 字段,也就是在記錄收集器機器中收到事件時。 |
| ReceivedBytes | long | 傳輸的輸入位元組數目。 |
| RemoteIP | 字串 | 可能的話,衍生自事件方向值的遠端IP位址。 |
| RemotePort | 字串 | 可能的話,衍生自事件方向值的遠端埠。 |
| ReportReferenceLink | 字串 | TI 摘要報表的連結。 |
| RequestClientApplication | 字串 | 與要求相關聯的使用者代理程式。 |
| RequestContext | 字串 | 描述要求的來源內容,例如 HTTP 查閱者。 |
| RequestCookies | 字串 | 與要求相關聯的Cookie。 |
| RequestMethod | 字串 | 用來存取 URL 的方法。 有效值包括 POST、GET 等方法。 |
| RequestURL | 字串 | HTTP 要求存取的 URL,包括通訊協定。 例如:http://www/secure.com. |
| _ResourceId | string | 記錄相關資源的唯一識別碼 |
| SentBytes | long | 傳輸輸出的位元組數目。 |
| SimplifiedDeviceAction | 字串 | DeviceAction 的對應版本,例如拒絕拒絕 > 。 |
| SourceDnsDomain | 字串 | 完整 FQDN 的 DNS 網域部分。 |
| SourceHostName | 字串 | 識別事件在IP網路中參考的來源。 當節點可用時,格式應該是與來源節點相關聯的完整功能變數名稱 (DQDN)。 例如:主機或 host.domain.com。 |
| SourceIP | 字串 | 事件在IP網路中參考的來源,作為IPv4位址。 |
| SourceMACAddress | 字串 | 來源 MAC 位址。 |
| SourceNTDomain | 字串 | 來源位址的 Windows 功能變數名稱。 |
| SourcePort | int | 來源埠號碼。 有效的埠號碼為 0 - 65535。 |
| SourceProcessId | int | 與事件相關聯的來源進程標識碼。 |
| SourceProcessName | 字串 | 事件來源進程的名稱。 |
| SourceServiceName | 字串 | 負責產生事件的服務。 |
| SourceSystem | 字串 | 收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| SourceTranslatedAddress | 字串 | 識別事件在IP網路中參考的已翻譯來源。 |
| SourceTranslatedPort | int | 轉譯后的來源埠,例如防火牆。 有效的埠號碼為 0 - 65535。 |
| SourceUserID | 字串 | 依標識碼識別來源使用者。 |
| SourceUserName | 字串 | 依名稱識別來源使用者。 電子郵件位址也會對應到 UserName 欄位。 寄件者是要放入此欄位的候選專案。 |
| SourceUserPrivileges | 字串 | 來源用戶的許可權。 有效值包括:系統管理員、使用者、來賓。 |
| StartTime | Datetime | 事件所參考之活動開始的時間。 |
| _SubscriptionId | string | 與記錄相關的訂用帳戶唯一識別碼 |
| TenantId | 字串 | Log Analytics 工作區識別碼 |
| ThreatConfidence | 字串 | 根據我們的 TI 摘要,惡意信息的威脅信心。 |
| ThreatDescription | 字串 | 根據我們的 TI 摘要,惡意資訊的威脅描述。 |
| ThreatSeverity | int | 根據記錄擷取時 TI 摘要的威脅嚴重性。 |
| TimeGenerated | Datetime | UTC 的事件收集時間。 |
| 型別 | string | 資料表的名稱 |