Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
ASim 注册表事件架构表示创建、修改或删除 Windows 注册表实体的 Windows 活动。 注册表事件特定于 Windows 系统,但由监视 Windows 的不同系统报告,例如 EDR(终结点检测和响应)系统、Sysmon 或 Windows 本身。
表属性
| 特征 | 值 |
|---|---|
| 资源类型 | microsoft.securityinsights/asimtables |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是 |
| 引入时转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| 执行进程命令行 | 字符串 | 用于运行进程的命令行。 |
| “ActingProcessGuid” | 字符串 | 为操作进程生成的唯一标识符。 |
| 执行过程编号 | 字符串 | 操作进程的进程 ID。 |
| “ActingProcessName” | 字符串 | 操作进程映像文件的文件名。 |
| ActorOriginalUserType | 字符串 | 原始参与者用户类型(如果源已提供)。 |
| ActorScope | 字符串 | 定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。 |
| ActorScopeId | 字符串 | 在其中定义了 ActorUserId 和 ActorUsername 的范围 ID(例如 Azure AD 租户 ID)。 |
| “ActorSessionId” | 字符串 | Actor 登录会话的唯一 ID。 |
| ActorUserAadId | 字符串 | 参与者的 Azure Active Directory ID。 |
| ActorUserId | 字符串 | Actor 的唯一 ID。 |
| 演员用户ID类型 | 字符串 | ActorUserId 字段中存储的 ID 的类型。 |
| 演员用户名 | 字符串 | 发起事件的用户的用户名。 |
| 演员用户名类型 (ActorUsernameType) | 字符串 | 指定 ActorUsername 字段中存储的用户名的类型。 |
| ActorUserSid | 字符串 | 参与者的 Windows 用户 ID (SID)。 |
| 演员用户类型 | 字符串 | 参与者的类型。 |
| 附加字段 | 动态 | 附加信息,使用源提供的不映射到 ASim 的键/值对表示。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| DvcAction | 字符串 | 对于报告安全系统,为系统执行的操作。 |
| DvcDescription | 字符串 | 与设备关联的描述性文本。 |
| DvcDomain | 字符串 | 报告事件的设备的域。 |
| DvcDomainType | 字符串 | DvcDomain 的类型。 |
| DvcFQDN | 字符串 | 发生了事件或报告了事件的设备的主机名。 |
| DvcHostname | 字符串 | 报告事件的设备的主机名。 |
| “DvcId” | 字符串 | 发生了事件或报告了事件的设备的唯一 ID。 |
| DvcIdType | 字符串 | DvcId 的类型。 |
| DvcInterface | 字符串 | 捕获数据的网络接口。 |
| DvcIpAddr | 字符串 | 报告事件的设备的 IP 地址。 |
| DvcMacAddr | 字符串 | 发生了事件或报告了事件的设备的 MAC 地址。 |
| DvcOriginalAction | 字符串 | 报告设备提供的原始 DvcAction。 |
| DvcOs | 字符串 | 发生了事件或报告了事件的设备上运行的操作系统。 |
| DvcOsVersion | 字符串 | 发生了事件或报告了事件的设备上的操作系统版本。 |
| DvcScope | 字符串 | 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅名称和 AWS 上的帐户 ID。 |
| DvcScopeId | 字符串 | 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcZone | 字符串 | 发生了事件或报告了事件的网络。 |
| 事件计数 | 整数 (int) | 记录描述的事件数。 |
| 事件结束时间 | 日期/时间 | 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| 事件信息 | 字符串 | 常规消息或说明。 |
| 事件原始结果详情 | 字符串 | 源提供的原始结果详细信息。 |
| EventOriginalSeverity | 字符串 | 报告设备提供的原始严重性。 |
| 事件原始子类型 | 字符串 | 原始事件子类型或 ID(如果已由源提供)。 |
| “EventOriginalType” | 字符串 | 原始记录的唯一 ID(如果已由源提供)。 |
| EventOriginalUid | 字符串 | 。 |
| 活动主办方 | 字符串 | 事件的所有者,通常是生成事件的部门或子公司。 |
| EventProduct | 字符串 | 生成事件的产品。 |
| 事件产品版本 | 字符串 | 生成事件的产品的版本。 |
| 事件报告链接 | 字符串 | 在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
| 事件结果 | 字符串 | 事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
| 事件结果详情 | 字符串 | EventResult 字段中报告的结果的原因或详细信息。 |
| 事件架构 | 字符串 | 架构的名称。 |
| 事件模式版本 | 字符串 | 架构的版本。 |
| EventSeverity | 字符串 | 事件的严重性。 有效值为:信息、低、中或高。 |
| 事件开始时间 | 日期/时间 | 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| 事件子类型 | 字符串 | 描述 EventType 字段中报告的操作的细分。 |
| 事件类型 | 字符串 | 描述记录报告的操作。 |
| EventVendor | 字符串 | 生成事件的产品的供应商。 |
| _是否计费 | 字符串 | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 父进程命令行 | 字符串 | 用于运行进程的命令行。 |
| “ParentProcessGuid” | 字符串 | 父进程的生成的唯一标识符。 |
| 父进程ID | 字符串 | 父进程的进程 ID。 |
| 父进程名称 | 字符串 | 父进程映像文件的文件名。 |
| RegistryKey | 字符串 | 与操作关联的注册表项,规范化为标准根密钥命名约定。 |
| RegistryPreviousKey | 字符串 | 对于修改注册表的操作,原始注册表项规范化为标准根项命名。 |
| 注册表先前值 | 字符串 | 对于修改注册表的操作,原始值类型规范化为标准格式。 |
| 注册表先前值数据 | 字符串 | 原始注册表数据,用于修改注册表的操作。 |
| 注册表先前值类型 (RegistryPreviousValueType) | 字符串 | 用于修改注册表的操作,为原始值类型。 |
| 注册表值 | 字符串 | 与操作关联的注册表值。 |
| 注册表值数据 | 字符串 | 存储在注册表值中的数据。 |
| 注册表值类型 | 字符串 | 注册表值的类型,规范化为标准格式。 |
| _资源ID | 字符串 | 与记录关联的资源的唯一标识符 |
| 规则名称 | 字符串 | 与检查结果关联的规则的名称或 ID。 |
| 规则编号 | 整数 (int) | 与检查结果关联的规则的数量。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| _SubscriptionId(订阅编号) | 字符串 | 与记录关联的订阅的唯一标识符 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| 威胁类别 | 字符串 | 在活动中识别到的威胁或恶意软件的类别。 |
| 威胁可信度 | 整数 (int) | 已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| 威胁领域 (ThreatField) | 字符串 | 已识别出威胁的字段。 |
| 威胁首次报告时间 | 日期/时间 | IP 地址或域首次被识别为威胁的时间。 |
| 威胁编号 (ThreatId) | 字符串 | 在活动中识别到的威胁或恶意软件的 ID。 |
| 威胁处于活跃状态 | 布尔 | 已识别威胁被视为活动威胁的真实 ID。 |
| 威胁上次报告时间 | 日期/时间 | 上次将 IP 地址或域识别为威胁的时间。 |
| 威胁名称 | 字符串 | 在活动中识别到的威胁或恶意软件的名称。 |
| 威胁原始信心 | 字符串 | 报告设备报告的已识别威胁的原始可信度。 |
| 威胁原始风险等级 | 字符串 | 报告设备报告的风险级别。 |
| 威胁风险级别 | 整数 (int) | 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 |
| TimeGenerated | 日期/时间 | 时间戳 (UTC),反映生成事件的时间。 |
| 类型 | 字符串 | 表的名称 |