SecurityEvent

由 Azure 安全中心或 Azure Sentinel 从 Windows 计算机收集的安全事件。

表属性

Attribute
资源类型 microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
类别 安全性
解决方案 Security、SecurityInsights
基本日志
引入时转换
示例查询

类型​​ 描述
AccessMask string 请求或已执行操作的十六进制掩码。
帐户 string 服务或用户的安全上下文。
AccountDomain string 主体的域或计算机名称。
AccountExpires string 帐户到期的日期。
AccountName string 请求执行“删除域信任”操作的帐户名称。
AccountSessionIdentifier string 创建会话时计算机生成的唯一标识符。
AccountType string 标识帐户是计算机帐户(计算机)还是用户帐户。
活动 string 所发生事件的描述性标题。
AdditionalInfo string 源提供的附加信息,这些信息不与以列表表示的其他字段相对应。
AdditionalInfo2 string 源提供的附加信息,这些信息不与以列表表示的其他字段相对应。
AllowedToDelegateTo string 此帐户可向其提交委派凭据的 SPN 列表。
特性 string 有关事件的其他信息。
AuditPolicyChanges string 对系统审核策略或文件或注册表键的审核设置进行更改时生成的事件。
AuditsDiscarded int 被丢弃的审核消息数量。
AuthenticationLevel int 被丢弃的审核消息数量。
AuthenticationPackageName string 已加载的身份验证包的名称。 格式为:DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME。
AuthenticationProvider string 负责身份验证过程的提供程序的表示(可包括证书颁发机构、用户名、密码身份验证系统等)。
AuthenticationServer string 身份验证提供程序所在的服务器。
AuthenticationService int 身份验证提供程序所在的服务。
AuthenticationType string 事件使用的身份验证类型(双重身份验证、生物识别身份验证等)。
AzureDeploymentID string 日志所属的云服务的 Azure 部署 ID。
_BilledSize real 记录大小(字节)
CACertificateHash string 证书颁发机构 (CA) 证书的哈希值,该证书用于对执行事件的用户进行身份验证。
CalledStationID string 有关启动导致安全事件的操作的工作站的 ID 的信息。
CallerProcessId string 尝试登录的进程的十六进制进程 ID。 进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。
CallerProcessName string 进程的完整路径和可执行文件的名称。
CallingStationID string 有关启动导致安全事件的操作的工作站的 ID 的信息。
CAPublicKeyHash string 用于标识颁发证书的证书颁发机构 (CA) 的公钥的哈希值。
CategoryId string 发生的安全事件类别(登录尝试、数据泄露等)。
CertificateDatabaseHash string 用于标识颁发证书的数据库的哈希值。
Channel string 记录事件的通道。
ClassId string 设备的 'Class Guid' 属性。
ClassName string 设备的 'Class' 属性。
ClientAddress string 从其接收 TGT 请求的计算机的 IP 地址。
ClientIPAddress string 启动导致事件发生的操作的计算机的 IP 地址。
ClientName string 用户从其进行重新连接的计算机名称。 控制台会话的 'Unknown' 值。
CommandLine string 传递给参与事件的应用程序或进程的命令行参数。
CompatibleIds string 设备的 'Compatible Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”:
Computer string 发生该事件的计算机的名称。
关联 string 使用者可用于将相关事件分组到一起的活动标识符。
DCDNSName string 事件涉及的域控制器的 DNS 名称。
DeviceDescription string 事件所涉设备的说明。
DeviceId string 事件中涉及的设备的唯一标识符。
DisplayName string 这是一个显示在特定帐户的通讯簿中的名称。 它通常为用户的名字、中间名和姓氏的组合。
Disposition string 事件结果/解决方案,例如事件是否得到解决,或是否针对事件采取了任何行动。
DomainBehaviorVersion string msDS-Behavior-Version 域属性已修改。 数值。
DomainName string 已删除的受信任域的名称。
DomainPolicyChanged string 指明事件中是否更改了任何域策略(密码策略、安全策略等)。
DomainSid string 信任合作伙伴的 SID。 事件中可能没有捕获到该参数,在这种情况下,会显示为“NULL SID”。
EAPType string 事件身份验证过程中使用的可扩展身份验证协议 (EAP) 类型。
ElevatedToken string “是”或“否”标志。 如果为“是”,则表示该事件所代表的会话已升级并具有管理员权限。
ErrorCode int 包含故障事件的错误代码。 对于 Success 事件,此参数具有 '0x0' 值。
EventData string 与事件相关的事件特定数据。
事件 ID int 提供程序用于识别事件的标识符。
EventLevelName string 事件中指定级别的呈现消息字符串。
EventRecordId string 记录事件时分配给该事件的记录号。
EventSourceName string 记录事件的软件名称(应用程序或 succomponent)。
ExtendedQuarantineState string 网络隔离过程的状态(如果适用)。 网络隔离是一种阻止未经授权的设备访问网络,直到这些设备满足特定的安全要求或经过恶意软件检查的过程。
FailureReason string 状态字段值的文本说明。 对于此事件,它通常具有 'Account locked out' 值。
FileHash string 在事件中被访问或修改的任何文件的哈希值,或在身份验证或授权过程中使用的任何文件的哈希值。
文件路径 string 执行操作的密钥文件的完整路径和文件名。
FilePathNoUser string 与事件相关的任何文件的路径,不包括用户名或其他用户特定信息。
筛选器 string 在已执行事件中使用的筛选器。
ForceLogoff string “\安全设置\本地策略\安全选项\网络安全:在登录时间过期时强制注销”组策略。
Fqbn string 与事件相关的任何文件的完全限定二进制名称 (FQBN)。
FullyQualifiedSubjectMachineName string 发起事件的计算机的完全限定域名 (FQDN)。
FullyQualifiedSubjectUserName string 以 FQDN 格式表示的发起事件的用户或服务的用户名。
GroupMembership string 记录的帐户所属(为其成员)的组 SID 列表。 事件查看器会自动尝试解析 SID 并显示帐户名称。 如果无法解析 SID,则会在事件中看到源数据。
HandleId string 对象名称句柄的十六进制值。 此字段可用于与其他事件相关联。
HardwareIds string 设备的 'Hardware Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”:
HomeDirectory string 用户的主目录。 如果设置了 homeDrive 属性并指定了驱动器盘符,则 homeDirectory 应为 UNC 路径。 路径必须是形式为 \Server\Share\Directory 的网络 UNC。
HomePath string 用户的主路径。 路径必须是形式为 \Server\Share\Directory 的网络 UNC。
InterfaceUuid string 事件所用网络接口的唯一标识符 (UUID)。
IpAddress string 与事件关联的网络地址(通常为 IPv4 或 IPv6)。
IpPort string 与事件关联的网络端口号。
_IsBillable string 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
KeyLength int NTLM 会话安全密钥的长度。 其长度通常为 128 位或 56 位。
关键字 string 事件中定义的关键字的位掩码。
级别 string Windows 会根据严重性级别对每个事件进行分类。 严重性级别依次为信息、详细、警告、错误和关键,均以数字表示。
LmPackageName string 当前在生成事件的计算机上使用本地安全机构 (LSA) 的包或软件组件的名称。
LocationInformation string 设备的 'Location information' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”:
LockoutDuration string “\安全设置\帐户策略\帐户锁定策略\帐户锁定持续时间”组策略。 数值。
LockoutObservationWindow string “\安全设置\帐户策略\帐户锁定策略\在此时间后重置帐户锁定计数器”组策略。 数值。
LockoutThreshold string “\安全设置\帐户策略\帐户锁定策略\帐户锁定阈值”组策略。 数值。
LoggingResult string 登录进程的结果。
LogonGuid string 一个有助于将此事件与另一个包含相同登录 GUID 的事件关联起来的 GUID。
LogonHours string 允许帐户登录域的小时数。
LogonID string 十六进制值,有助于将此事件与可能包含相同登录 ID 的最近事件关联起来。
LogonProcessName string 已注册登录进程的名称。
LogonType int 已执行的登录类型。
LogonTypeName string 事件日志捕获的登录或身份验证事件类型(常用值:Interactive、Network、RemoteInteractive、Unlock)。
MachineAccountQuota string ms-DS-MachineAccountQuota 域属性已修改。 数值。
MachineInventory string 有关生成事件的计算机的硬件配置和软件环境信息。 它可以包括不同的数据点,例如:计算机的品牌和型号、可用的 RAM 或存储空间大小、各种软件应用程序的版本号等。
MachineLogon string 有关计算机中成功登录事件的信息。
ManagementGroupName string 基于资源类型的附加信息。
MandatoryLabel string 分配给新进程的完整性标签的 ID。
MaxPasswordAge string 在系统要求用户更改密码之前,密码可以使用的时间(天数)。
MemberName string 事件中所涉及的用户帐户。
MemberSid string 与事件中所涉用户帐户相关联的安全标识符 (SID)。
MinPasswordAge string 在系统要求用户更改密码之前,密码必须使用的时间(天数)。
MinPasswordLength string 用户帐户密码的最少字符数。
MixedDomainMode string 系统或域控制器的域模式。
NASIdentifier string 事件中所涉及的网络访问服务器 (NAS) 的标识符。
NASIPv4Address string 事件中所涉及的网络访问服务器 (NAS) 的 IPv4 地址(如果适用)。
NASIPv6Address string 事件中所涉及的网络访问服务器 (NAS) 的 IPv6 地址(如果适用)。
NASPort string 事件中所使用的网络访问服务器上的端口。
NASPortType string 事件中所使用的网络访问服务器 (NAS) 类型。
NetworkPolicyName string 与事件相关的网络策略名称。
NewDate string UTC 时区的新日期。 格式为 YYYY-MM-DD。
NewMaxUsers string 事件中某一资源允许的最大新用户数量。
NewProcessId string 新进程的十六进制进程 ID。 进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。
NewProcessName string 新进程的完整路径和可执行文件的名称。
NewRemark string 网络共享“注释:”字段的新值。 如果未设置,则具有“N/A”值。
NewShareFlags string 事件中与资源相关的共享标志,例如:有关资源是只读还是读/写、是否隐藏的信息,以及其他可能影响访问和权限的参数。
NewTime string 在 UTC 时区设置的新时间。 格式为 YYYY-MM-DDThh:mm:ss.nnnnnnnZ
NewUacValue string 指定用于控制用户帐户密码、锁定、禁用/启用、脚本和其他行为的标志。
NewValue string 注册表项值更改后的新值。
NewValueType string 已更改注册表项值的新类型。
ObjectName string 请求访问的对象的名称和其他标识信息。 例如,对于文件,路径将被包含在内。
ObjectServer string 包含调用例程的 Windows 子系统名称。
ObjectType string 在操作过程中访问的对象类型。
ObjectValueName string 已修改的注册表项值的名称。
OemInformation string 与事件中的设备或系统相关的原始设备制造商 (OEM)。
OldMaxUsers string 事件中某一资源先前允许的最大用户数。
OldRemark string 网络共享“注释:”字段的旧值。 如果未设置,则具有“N/A”值。
OldShareFlags string 事件中与资源相关的先前共享标志,例如:有关资源是只读还是读/写、是否隐藏的信息,以及其他可能影响访问和权限的参数。
OldUacValue string 指定用于控制用户帐户密码、锁定、禁用/启用、脚本和其他行为的标志。 此参数包含用户对象的 userAccountControl 属性的先前值。
OldValue string 注册表项值更改后的旧值。
OldValueType string 已更改注册表项值的旧类型。
操作码 string opcode 元素由 SystemPropertiesType 复杂类型定义。
OperationType string 对对象执行的操作类型
PackageName string 登录时使用的 LAN 管理器子包名称(NTLM 系列协议名称)。
ParentProcessName string 与事件相关的父进程名称。
PasswordHistoryLength string \安全设置\帐户策略\密码策略\强制执行密码历史记录”组策略。 数值。
PasswordLastSet string 上次修改帐户密码的时间。
PasswordProperties string 与事件相关的密码策略或属性,例如:密码长度、复杂性和有效期。
PreviousDate string 与事件相关的上一个日期。
PreviousTime string UTC 时区中的上一个时间。 格式为 YYYY-MM-DDThh:mm:ss.nnnnnnnZ。
PrimaryGroupId string 用户对象主组的相对标识符 (RID)。
PrivateKeyUsageCount string 私钥的已使用次数。
PrivilegeList string 与事件相关的权限,包括用户、组或系统权限。
处理 string 生成事件的进程名称。
ProcessId string 标识生成事件的进程。
ProcessName string 进程的完整路径和可执行文件的名称。
ProfilePath string 指定帐户配置文件的路径。 此值可以是空字符串、本地绝对路径或 UNC 路径。
属性 string 取决于对象类型。 此字段可以为空,也可以包含被访问的对象属性列表。
ProtocolSequence string 有关尝试身份验证时使用的协议信息。
ProxyPolicyName string 用于配置代理服务器连接网络的策略名称。
QuarantineHelpURL string 帮助排除网络隔离问题的 URL。
QuarantineSessionID string 对文件进行隔离评估的会话标识符。
QuarantineSessionIdentifier string 对文件进行隔离评估的会话标识符。
QuarantineState string 它显示文件是否被隔离。
QuarantineSystemHealthResult string 显示已隔离文件状态的报告。
RelativeTargetName string 访问的目标文件或文件夹的相对名称。 此文件路径与网络共享相对。 如果请求访问的是共享本身,则此字段显示为 ""。
RemoteIpAddress string 发起远程连接的计算机的 IP 地址。
RemotePort string 发起连接的远程计算机的端口号。
申请者 string 事件请求者标识符。
RequestId string 与特定请求(如通过 HTTP 提出的请求)相关联的唯一标识符。
_ResourceId 字符串 与记录关联的资源的唯一标识符
RestrictedAdminMode string 仅为 RemoteInteractive 登录类型会话填充。 这是一个“是/否”标志,指明所提供的凭据是否在“受限管理”模式下传递。 受限管理模式是在 Win8.1/2012R2 中添加的,但在 Win10 中事件中添加了此标记。
RowsDeleted string 作为特定操作的一部分被删除的行数。
SamAccountName string 用于支持以前版本 Windows 客户端和服务器的帐户登录名(Windows 2000 以前的登录名)。
ScriptPath string 指定帐户登录脚本的路径。
SecurityDescriptor string 有关特定对象或资源的安全设置和权限的信息。
ServiceAccount string 服务启动时运行的安全上下文。
ServiceFileName string 指明在服务控制管理器中注册的服务类型。
ServiceName string 已安装服务的名称。
ServiceStartType int 包含有关如何启动特定服务的信息,无论是应自动启动还是手动启动。
ServiceType string 指明在服务控制管理器中注册的服务类型。
SessionName string 用户重新连接的会话名称。
ShareLocalPath string 所访问网络共享的本地路径。
ShareName string 所访问网络共享的名称。 格式为:\*\SHARE_NAME。
SidHistory string 如果对象是从其他域移动过来的,则包含对象以前使用的 SID。
SourceComputerId string 分配给 Windows 域中每台计算机的唯一标识符。
SourceSystem string 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
Status string 登录失败的原因。 对于此事件,其值通常为“0xC0000234”。 “表 12. Windows 登录状态代码”中列出了最常见的 状态代码。
StorageAccount string 设置存储帐户访问密钥。
SubcategoryGuid string 已更改子类别的唯一 GUID。
SubcategoryId string 特定类型事件的唯一标识符。
Subject string 有关发起事件的安全主体(例如:用户帐户)的信息。
SubjectAccount string 有关发起事件的帐户的信息。
SubjectDomainName string 有关主题帐户所属域或工作组的信息。
SubjectKeyIdentifier string 特定证书主题的唯一标识符。
SubjectLogonId string 与主体帐户相关的登录会话的唯一标识符。
SubjectMachineName string 创建事件的计算机或系统的相关信息。
SubjectMachineSID string 生成事件的计算机的安全标识符 (SID)。
SubjectUserName string 生成事件的用户帐户名称。
SubjectUserSid string 生成事件的用户帐户的安全标识符 (SID)。
_SubscriptionId 字符串 与记录关联的订阅的唯一标识符
SubStatus string 有关登录失败的其他信息。 “表 12. Windows 登录状态代码”中列出了最常见的子状态代码。
SystemProcessId int 标识生成事件的进程。
SystemThreadId int 标识生成事件的线程。
SystemUserId string 负责该事件的用户的 ID。
TableId string 存储事件数据的特定数据表标识符。
TargetAccount string 事件的目标帐户(用户名、计算机名等)。
TargetDomainName string 目标帐户所属域的名称。
TargetInfo string 有关事件目标的其他信息(例如:文件或文件夹的路径、注册表项值的名称等)。
TargetLinkedLogonId string 有助于通过登录尝试 ID 将相关事件联系在一起的信息。 它可以帮助整理所有相关事件,跟踪多个会话的活动以及确定攻击源。
TargetLogonGuid string 与事件相关的登录会话关联的全局唯一标识符 (GUID)。
TargetLogonId string 与事件相关的登录会话的唯一标识符。
TargetOutboundDomainName string TargetAccount 字段中指定的帐户在一次出站身份验证尝试中通过身份验证的域。
TargetOutboundUserName string 在出站身份验证尝试中通过身份验证的用户帐户名称。
TargetServerName string 运行新进程的服务器名称。 如果进程在本地运行,则值为“localhost”。
TargetSid string 运行新进程的服务器的安全标识符 (SID)。
TargetUser string 生成新进程的用户帐户标识符。
TargetUserName string 生成新进程的用户帐户名称。
TargetUserSid string 与事件所涉用户或资源相关联的安全标识符 (SID)。
任务 int 事件中定义的任务。
TemplateContent string 事件消息或通知的结构化内容。
TemplateDSObjectFQDN string 表示 GPO 模板的 DS 对象的 FQDN。
TemplateInternalName string GPO 模板的内部名称。
TemplateOID string 用于创建事件的模板的唯一标识符。
TemplateSchemaVersion string 用于定义要包含在事件中的数据的模板架构的版本。
TemplateVersion string 用于定义要包含在事件中的数据的模板的版本。
TenantId string Log Analytics 工作区 ID
TimeGenerated datetime 事件在计算机上生成时的时间戳。
TokenElevationType string 根据用户帐户控制策略分配给新进程的令牌类型。
TransmittedServices string 传送的服务的列表。 如果登录是 S4U(用户服务)登录过程的结果,则会填充传输的服务。 S4U 是 Kerberos 协议的一个 Microsoft 扩展,以允许应用程序服务代表用户获取 Kerberos 服务票证,最常见的做法是前端网站代表用户访问内部资源。 有关 S4U 的更多信息,请参阅https://msdn.microsoft.com/library/cc246072.aspx
类型 字符串 表的名称
UserAccountControl string 显示 userAccountControl 属性中的更改列表。 将看到每项更改的一行文字。
UserParameters string 如果使用 Active Directory 用户和计算机管理控制台在用户帐户属性的“拨入”选项卡中更改任何设置,则会看到<值已更改,但未在此字段中显示>。 对于本地帐户,此字段不适用,且值始终为<值未设置>。
UserPrincipalName string 基于 Internet 标准 RFC 822 的 Internet 样式帐户登录名。 按照惯例,这应该与帐户的电子邮件名称相对应。
UserWorkstations string 包含用户可以从中登录的计算机的 NetBIOS 或 DNS 名称列表。 每个计算机名称之间以逗号隔开。 计算机名称是计算机对象的 sAMAccountName 属性。
VendorIds string 设备的 'Hardware Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”。
版本 int 包含事件定义的版本号。
VirtualAccount string “是”或“否”标志,指明帐户是否为虚拟帐户(如”托管服务帐户“),该标记在 Windows 7 和 Windows Server 2008 R2 中引入,目的是提供识别特定服务使用的帐户的能力,而不是仅仅使用”NetworkService"。
工作站 string 用于执行事件的计算机的名称。
WorkstationName string 尝试在上面登录的计算机名称。