共用方式為


ASimAuthenticationEventLogs

Microsoft Sentinel 正規化驗證事件數據表。 儲存與使用者驗證、登入和註銷相關聯的事件。

數據表屬性

屬性
資源類型 microsoft.securityinsights/authenticationevent
類別 安全性
方案 SecurityInsights
基本記錄 No
擷取時間轉換 Yes
範例查詢 -

資料行

資料行 類型​ 描述
ActingAppId 字串 代表動作專案授權的應用程式識別碼,包括進程、瀏覽器或服務。
ActingAppName 字串 代表動作專案授權的應用程式名稱,包括進程、瀏覽器或服務。
ActingAppType 字串 代理應用程式的類型。
ActingOriginalAppType 字串 報告裝置所回報的代理應用程式類型。
ActorOriginalUserType 字串 報告裝置所報告的用戶類型。
ActorScope 字串 定義 ActorUserId 和 ActorUsername 的 Azure AD 租使用者等範圍。
ActorScopeId 字串 定義 ActorUserId 和 ActorUsername 的範圍識別碼,例如 Azure AD 租使用者識別碼。
ActorSessionId 字串 動作專案之登入會話的唯一標識符。
ActorUserId 字串 機器可讀取、英數位元、動作專案的唯一表示法。
ActorUserIdType 字串 儲存在 ActorUserId 字段中的識別碼類型。
ActorUsername 字串 動作項目的用戶名稱,包括可用時的網域資訊。
ActorUsernameType 字串 指定儲存在 ActorUsername 欄位中的使用者名稱類型。
ActorUserType 字串 動作項目的類型。
AdditionalFields dynamic 其他資訊,使用來源所提供的索引鍵/值組來表示,該組不會對應至 ASim。
_BilledSize real 以位元組為單位的記錄大小
DvcAction 字串 針對報告安全性系統,系統所採取的動作。
DvcDescription 字串 與裝置相關聯的描述性文字。
DvcDomain 字串 報告事件的裝置網域。
DvcDomainType 字串 DvcDomain 的類型。
DvcFQDN 字串 發生事件或報告事件的裝置主機名。
DvcHostname 字串 報告事件的裝置主機名。
DvcId 字串 發生事件或報告事件之裝置的唯一標識符。
DvcIdType 字串 DvcId 的類型。
DvcInterface 字串 擷取資料的網路介面。
DvcIpAddr 字串 報告事件的裝置IP位址。
DvcMacAddr 字串 發生事件或報告事件裝置的 MAC 位址,視結構描述而定。
DvcOriginalAction 字串 報告裝置所提供原始的 DvcAction。
DvcOs 字串 在發生事件或報告事件裝置的作業系統執行。
DvcOsVersion 字串 在發生事件或報告事件裝置的作業系統版本。
DvcScope 字串 裝置所屬的雲端平台範圍。 DvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
DvcScopeId 字串 裝置所屬的雲端平台範圍識別碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。
DvcZone 字串 發生事件或報告事件的網路。
EventCount int 記錄所描述的事件數目。
EventEndTime Datetime 事件結束的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生最後一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。
EventMessage 字串 一般訊息或描述。
EventOriginalResultDetails 字串 來源所提供的原始結果詳細數據。
EventOriginalSeverity 字串 報告裝置所提供的原始嚴重性。
EventOriginalSubType 字串 如果來源提供,則為原始事件子類型或標識符。
EventOriginalType 字串 來源所提供的原始事件類型或標識碼。
EventOriginalUid 字串 如果來源提供,則為原始記錄的唯一標識符。
EventOwner 字串 事件的擁有者,通常是產生事件的部門或子公司。
EventProduct 字串 產生事件的產品。
EventProductVersion 字串 產生事件的產品版本。
EventReportUrl 字串 事件中提供的 URL,此資源會提供事件的詳細資訊。
EventResult 字串 事件的結果,以下列其中一個值表示:Success、Partial、Failure、NA (不適用)。 來源可能不會直接提供此值,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。
EventResultDetails 字串 與事件結果相關聯的詳細數據。 當結果失敗時,通常會填入此欄位。
EventSchemaVersion 字串 結構描述的版本。
EventSeverity 字串 事件的嚴重性。 有效值為:資訊、低、中或高。
EventStartTime Datetime 事件開始的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生第一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。
EventSubType 字串 登入類型,例如 System、Interactive、RemoteInteractive、Service、RemoteService、Remote 或 AssumeRole。
EventType 字串 描述記錄所報告的作業
EventVendor 字串 產生事件的產品的廠商。
HttpUserAgent 字串 透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。
_IsBillable 字串 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費
LogonMethod 字串 用來執行驗證的方法。
LogonProtocol 字串 用來執行驗證的通訊協定。
_ResourceId string 記錄相關資源的唯一識別碼
RuleName 字串 與檢查結果相關聯的規則名稱或標識碼。
RuleNumber int 與檢查結果相關聯的規則數目。
SourceSystem 字串 收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷
SrcDescription 字串 與來源裝置相關聯的描述性文字。
SrcDeviceType 字串 來源裝置的類型。
SrcDomain 字串 來源裝置的網域。
SrcDomainType 字串 SrcDomain 的類型。
SrcDvcId 字串 來源裝置的標識碼。
SrcDvcIdType 字串 SrcDvcId 的類型。
SrcDvcOs 字串 來源裝置的OS。
SrcDvcScope 字串 來源裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
SrcDvcScopeId 字串 來源裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。
SrcFQDN 字串 來源裝置主機名,包括可用時的網域資訊。
SrcGeoCity 字串 與來源IP位址相關聯的城市。
SrcGeoCountry 字串 與來源IP位址相關聯的國家/地區。
SrcGeoLatitude real 與來源IP位址相關聯的地理座標緯度。
SrcGeoLongitude real 與來源IP位址相關聯的地理座標經度。
SrcGeoRegion 字串 與來源IP位址相關聯的國家/地區內區域。
SrcHostname 字串 來源裝置主機名,不包括網域資訊。
SrcIpAddr 字串 來源裝置的 IP 位址。
SrcIsp 字串 來源裝置用來連線到因特網的因特網服務提供者 (ISP)。
SrcOriginalRiskLevel 字串 報告裝置所報告之已識別來源的風險層級。
SrcPortNumber int 線上來源 IP 連接埠。
SrcRiskLevel int 與識別的來源相關聯的風險層級。
_SubscriptionId string 與記錄相關的訂用帳戶唯一識別碼
TargetAppId 字串 需要授權的應用程式識別碼,通常是由報告裝置指派。
TargetAppName 字串 需要授權的應用程式名稱,包括服務、URL 或 SaaS 應用程式。
TargetAppType 字串 代表動作專案授權的應用程式類型。
TargetDescription 字串 與目標裝置相關聯的描述性文字。
TargetDeviceType 字串 目標裝置的類型。
TargetDomain 字串 目標裝置的網域。
TargetDomainType 字串 TargetDomain 的類型。
TargetDvcId 字串 目標裝置的標識碼。
TargetDvcIdType 字串 TargetDvcId 的類型。
TargetDvcOs 字串 目標裝置的OS。
TargetDvcScope 字串 目標裝置所屬的雲端平台範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
TargetDvcScopeId 字串 目標裝置所屬的雲端平臺範圍標識碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。
TargetFQDN 字串 目標裝置主機名,包括可用時的網域資訊。
TargetGeoCity 字串 與目標IP位址相關聯的城市。
TargetGeoCountry 字串 與目標IP位址相關聯的國家/地區。
TargetGeoLatitude real 與目標IP位址相關聯的地理座標緯度。
TargetGeoLongitude real 與目標IP位址相關聯的地理座標經度。
TargetGeoRegion 字串 與目標IP位址相關聯的國家/地區內區域。
TargetHostname 字串 目標裝置主機名,不包括網域資訊。
TargetIpAddr 字串 目標裝置的IP位址。
TargetOriginalAppType 字串 報告裝置所報告的目標應用程式類型。
TargetOriginalRiskLevel 字串 與目標相關聯的風險層級,如報告裝置所報告。
TargetOriginalUserType 字串 報告裝置所報告的用戶類型。
TargetPortNumber int 目標裝置的埠。
TargetRiskLevel int 與目標相關聯的風險層級。
TargetSessionId 字串 目標動作專案之登入會話的唯一標識碼。
TargetUrl 字串 與目標應用程式相關聯的URL。
TargetUserId 字串 機器可讀取、英數位元、動作專案的唯一表示法。
TargetUserIdType 字串 儲存在 TargetUserId 字段中的標識碼類型。
TargetUsername 字串 目標動作專案的用戶名稱,包括可用時的網域資訊。
TargetUsernameType 字串 TargetUsername 欄位中指定之目標動作專案使用者名稱的類型
TargetUserScope 字串 定義 TargetUserId 和 TargetUsername 的 Azure AD 租使用者等範圍。
TargetUserScopeId 字串 定義 TargetUserId 和 TargetUsername 的範圍標識碼,例如 Azure AD 租使用者標識碼。
TargetUserType 字串 目標動作專案的型別。
TenantId 字串 Log Analytics 工作區識別碼
ThreatCategory 字串 稽核活動中識別的威脅或惡意代碼類別。
ThreatConfidence int 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。
ThreatField 字串 識別威脅的欄位。
ThreatFirstReportedTime Datetime 第一次將IP位址或網域識別為威脅。
ThreatId 字串 稽核活動中識別的威脅或惡意代碼標識碼。
ThreatIpAddr 字串 識別威脅的IP位址。
ThreatIsActive bool 如果識別的威脅被視為作用中威脅,則為 True。
ThreatLastReportedTime Datetime 上次將IP位址或網域識別為威脅的時間。
ThreatName 字串 稽核活動中識別的威脅或惡意代碼名稱。
ThreatOriginalConfidence 字串 所識別威脅的原始信賴等級,如報告裝置所報告。
ThreatOriginalRiskLevel 字串 報告裝置所報告的風險層級。
ThreatRiskLevel int 與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。
TimeGenerated Datetime 時間戳 (UTC)會反映產生事件的時間。
型別 string 資料表的名稱