SecurityEvent
由 Azure 安全中心或 Azure Sentinel 从 Windows 计算机收集的安全事件。
表属性
Attribute | 值 |
---|---|
资源类型 | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
类别 | 安全性 |
解决方案 | Security、SecurityInsights |
基本日志 | 否 |
引入时转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 描述 |
---|---|---|
AccessMask | string | 请求或已执行操作的十六进制掩码。 |
帐户 | string | 服务或用户的安全上下文。 |
AccountDomain | string | 主体的域或计算机名称。 |
AccountExpires | string | 帐户到期的日期。 |
AccountName | string | 请求执行“删除域信任”操作的帐户名称。 |
AccountSessionIdentifier | string | 创建会话时计算机生成的唯一标识符。 |
AccountType | string | 标识帐户是计算机帐户(计算机)还是用户帐户。 |
活动 | string | 所发生事件的描述性标题。 |
AdditionalInfo | string | 源提供的附加信息,这些信息不与以列表表示的其他字段相对应。 |
AdditionalInfo2 | string | 源提供的附加信息,这些信息不与以列表表示的其他字段相对应。 |
AllowedToDelegateTo | string | 此帐户可向其提交委派凭据的 SPN 列表。 |
特性 | string | 有关事件的其他信息。 |
AuditPolicyChanges | string | 对系统审核策略或文件或注册表键的审核设置进行更改时生成的事件。 |
AuditsDiscarded | int | 被丢弃的审核消息数量。 |
AuthenticationLevel | int | 被丢弃的审核消息数量。 |
AuthenticationPackageName | string | 已加载的身份验证包的名称。 格式为:DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME。 |
AuthenticationProvider | string | 负责身份验证过程的提供程序的表示(可包括证书颁发机构、用户名、密码身份验证系统等)。 |
AuthenticationServer | string | 身份验证提供程序所在的服务器。 |
AuthenticationService | int | 身份验证提供程序所在的服务。 |
AuthenticationType | string | 事件使用的身份验证类型(双重身份验证、生物识别身份验证等)。 |
AzureDeploymentID | string | 日志所属的云服务的 Azure 部署 ID。 |
_BilledSize | real | 记录大小(字节) |
CACertificateHash | string | 证书颁发机构 (CA) 证书的哈希值,该证书用于对执行事件的用户进行身份验证。 |
CalledStationID | string | 有关启动导致安全事件的操作的工作站的 ID 的信息。 |
CallerProcessId | string | 尝试登录的进程的十六进制进程 ID。 进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。 |
CallerProcessName | string | 进程的完整路径和可执行文件的名称。 |
CallingStationID | string | 有关启动导致安全事件的操作的工作站的 ID 的信息。 |
CAPublicKeyHash | string | 用于标识颁发证书的证书颁发机构 (CA) 的公钥的哈希值。 |
CategoryId | string | 发生的安全事件类别(登录尝试、数据泄露等)。 |
CertificateDatabaseHash | string | 用于标识颁发证书的数据库的哈希值。 |
Channel | string | 记录事件的通道。 |
ClassId | string | 设备的 'Class Guid' 属性。 |
ClassName | string | 设备的 'Class' 属性。 |
ClientAddress | string | 从其接收 TGT 请求的计算机的 IP 地址。 |
ClientIPAddress | string | 启动导致事件发生的操作的计算机的 IP 地址。 |
ClientName | string | 用户从其进行重新连接的计算机名称。 控制台会话的 'Unknown' 值。 |
CommandLine | string | 传递给参与事件的应用程序或进程的命令行参数。 |
CompatibleIds | string | 设备的 'Compatible Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”: |
Computer | string | 发生该事件的计算机的名称。 |
关联 | string | 使用者可用于将相关事件分组到一起的活动标识符。 |
DCDNSName | string | 事件涉及的域控制器的 DNS 名称。 |
DeviceDescription | string | 事件所涉设备的说明。 |
DeviceId | string | 事件中涉及的设备的唯一标识符。 |
DisplayName | string | 这是一个显示在特定帐户的通讯簿中的名称。 它通常为用户的名字、中间名和姓氏的组合。 |
Disposition | string | 事件结果/解决方案,例如事件是否得到解决,或是否针对事件采取了任何行动。 |
DomainBehaviorVersion | string | msDS-Behavior-Version 域属性已修改。 数值。 |
DomainName | string | 已删除的受信任域的名称。 |
DomainPolicyChanged | string | 指明事件中是否更改了任何域策略(密码策略、安全策略等)。 |
DomainSid | string | 信任合作伙伴的 SID。 事件中可能没有捕获到该参数,在这种情况下,会显示为“NULL SID”。 |
EAPType | string | 事件身份验证过程中使用的可扩展身份验证协议 (EAP) 类型。 |
ElevatedToken | string | “是”或“否”标志。 如果为“是”,则表示该事件所代表的会话已升级并具有管理员权限。 |
ErrorCode | int | 包含故障事件的错误代码。 对于 Success 事件,此参数具有 '0x0' 值。 |
EventData | string | 与事件相关的事件特定数据。 |
事件 ID | int | 提供程序用于识别事件的标识符。 |
EventLevelName | string | 事件中指定级别的呈现消息字符串。 |
EventRecordId | string | 记录事件时分配给该事件的记录号。 |
EventSourceName | string | 记录事件的软件名称(应用程序或 succomponent)。 |
ExtendedQuarantineState | string | 网络隔离过程的状态(如果适用)。 网络隔离是一种阻止未经授权的设备访问网络,直到这些设备满足特定的安全要求或经过恶意软件检查的过程。 |
FailureReason | string | 状态字段值的文本说明。 对于此事件,它通常具有 'Account locked out' 值。 |
FileHash | string | 在事件中被访问或修改的任何文件的哈希值,或在身份验证或授权过程中使用的任何文件的哈希值。 |
文件路径 | string | 执行操作的密钥文件的完整路径和文件名。 |
FilePathNoUser | string | 与事件相关的任何文件的路径,不包括用户名或其他用户特定信息。 |
筛选器 | string | 在已执行事件中使用的筛选器。 |
ForceLogoff | string | “\安全设置\本地策略\安全选项\网络安全:在登录时间过期时强制注销”组策略。 |
Fqbn | string | 与事件相关的任何文件的完全限定二进制名称 (FQBN)。 |
FullyQualifiedSubjectMachineName | string | 发起事件的计算机的完全限定域名 (FQDN)。 |
FullyQualifiedSubjectUserName | string | 以 FQDN 格式表示的发起事件的用户或服务的用户名。 |
GroupMembership | string | 记录的帐户所属(为其成员)的组 SID 列表。 事件查看器会自动尝试解析 SID 并显示帐户名称。 如果无法解析 SID,则会在事件中看到源数据。 |
HandleId | string | 对象名称句柄的十六进制值。 此字段可用于与其他事件相关联。 |
HardwareIds | string | 设备的 'Hardware Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”: |
HomeDirectory | string | 用户的主目录。 如果设置了 homeDrive 属性并指定了驱动器盘符,则 homeDirectory 应为 UNC 路径。 路径必须是形式为 \Server\Share\Directory 的网络 UNC。 |
HomePath | string | 用户的主路径。 路径必须是形式为 \Server\Share\Directory 的网络 UNC。 |
InterfaceUuid | string | 事件所用网络接口的唯一标识符 (UUID)。 |
IpAddress | string | 与事件关联的网络地址(通常为 IPv4 或 IPv6)。 |
IpPort | string | 与事件关联的网络端口号。 |
_IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
KeyLength | int | NTLM 会话安全密钥的长度。 其长度通常为 128 位或 56 位。 |
关键字 | string | 事件中定义的关键字的位掩码。 |
级别 | string | Windows 会根据严重性级别对每个事件进行分类。 严重性级别依次为信息、详细、警告、错误和关键,均以数字表示。 |
LmPackageName | string | 当前在生成事件的计算机上使用本地安全机构 (LSA) 的包或软件组件的名称。 |
LocationInformation | string | 设备的 'Location information' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”: |
LockoutDuration | string | “\安全设置\帐户策略\帐户锁定策略\帐户锁定持续时间”组策略。 数值。 |
LockoutObservationWindow | string | “\安全设置\帐户策略\帐户锁定策略\在此时间后重置帐户锁定计数器”组策略。 数值。 |
LockoutThreshold | string | “\安全设置\帐户策略\帐户锁定策略\帐户锁定阈值”组策略。 数值。 |
LoggingResult | string | 登录进程的结果。 |
LogonGuid | string | 一个有助于将此事件与另一个包含相同登录 GUID 的事件关联起来的 GUID。 |
LogonHours | string | 允许帐户登录域的小时数。 |
LogonID | string | 十六进制值,有助于将此事件与可能包含相同登录 ID 的最近事件关联起来。 |
LogonProcessName | string | 已注册登录进程的名称。 |
LogonType | int | 已执行的登录类型。 |
LogonTypeName | string | 事件日志捕获的登录或身份验证事件类型(常用值:Interactive、Network、RemoteInteractive、Unlock)。 |
MachineAccountQuota | string | ms-DS-MachineAccountQuota 域属性已修改。 数值。 |
MachineInventory | string | 有关生成事件的计算机的硬件配置和软件环境信息。 它可以包括不同的数据点,例如:计算机的品牌和型号、可用的 RAM 或存储空间大小、各种软件应用程序的版本号等。 |
MachineLogon | string | 有关计算机中成功登录事件的信息。 |
ManagementGroupName | string | 基于资源类型的附加信息。 |
MandatoryLabel | string | 分配给新进程的完整性标签的 ID。 |
MaxPasswordAge | string | 在系统要求用户更改密码之前,密码可以使用的时间(天数)。 |
MemberName | string | 事件中所涉及的用户帐户。 |
MemberSid | string | 与事件中所涉用户帐户相关联的安全标识符 (SID)。 |
MinPasswordAge | string | 在系统要求用户更改密码之前,密码必须使用的时间(天数)。 |
MinPasswordLength | string | 用户帐户密码的最少字符数。 |
MixedDomainMode | string | 系统或域控制器的域模式。 |
NASIdentifier | string | 事件中所涉及的网络访问服务器 (NAS) 的标识符。 |
NASIPv4Address | string | 事件中所涉及的网络访问服务器 (NAS) 的 IPv4 地址(如果适用)。 |
NASIPv6Address | string | 事件中所涉及的网络访问服务器 (NAS) 的 IPv6 地址(如果适用)。 |
NASPort | string | 事件中所使用的网络访问服务器上的端口。 |
NASPortType | string | 事件中所使用的网络访问服务器 (NAS) 类型。 |
NetworkPolicyName | string | 与事件相关的网络策略名称。 |
NewDate | string | UTC 时区的新日期。 格式为 YYYY-MM-DD。 |
NewMaxUsers | string | 事件中某一资源允许的最大新用户数量。 |
NewProcessId | string | 新进程的十六进制进程 ID。 进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。 |
NewProcessName | string | 新进程的完整路径和可执行文件的名称。 |
NewRemark | string | 网络共享“注释:”字段的新值。 如果未设置,则具有“N/A”值。 |
NewShareFlags | string | 事件中与资源相关的共享标志,例如:有关资源是只读还是读/写、是否隐藏的信息,以及其他可能影响访问和权限的参数。 |
NewTime | string | 在 UTC 时区设置的新时间。 格式为 YYYY-MM-DDThh:mm:ss.nnnnnnnZ |
NewUacValue | string | 指定用于控制用户帐户密码、锁定、禁用/启用、脚本和其他行为的标志。 |
NewValue | string | 注册表项值更改后的新值。 |
NewValueType | string | 已更改注册表项值的新类型。 |
ObjectName | string | 请求访问的对象的名称和其他标识信息。 例如,对于文件,路径将被包含在内。 |
ObjectServer | string | 包含调用例程的 Windows 子系统名称。 |
ObjectType | string | 在操作过程中访问的对象类型。 |
ObjectValueName | string | 已修改的注册表项值的名称。 |
OemInformation | string | 与事件中的设备或系统相关的原始设备制造商 (OEM)。 |
OldMaxUsers | string | 事件中某一资源先前允许的最大用户数。 |
OldRemark | string | 网络共享“注释:”字段的旧值。 如果未设置,则具有“N/A”值。 |
OldShareFlags | string | 事件中与资源相关的先前共享标志,例如:有关资源是只读还是读/写、是否隐藏的信息,以及其他可能影响访问和权限的参数。 |
OldUacValue | string | 指定用于控制用户帐户密码、锁定、禁用/启用、脚本和其他行为的标志。 此参数包含用户对象的 userAccountControl 属性的先前值。 |
OldValue | string | 注册表项值更改后的旧值。 |
OldValueType | string | 已更改注册表项值的旧类型。 |
操作码 | string | opcode 元素由 SystemPropertiesType 复杂类型定义。 |
OperationType | string | 对对象执行的操作类型 |
PackageName | string | 登录时使用的 LAN 管理器子包名称(NTLM 系列协议名称)。 |
ParentProcessName | string | 与事件相关的父进程名称。 |
PasswordHistoryLength | string | \安全设置\帐户策略\密码策略\强制执行密码历史记录”组策略。 数值。 |
PasswordLastSet | string | 上次修改帐户密码的时间。 |
PasswordProperties | string | 与事件相关的密码策略或属性,例如:密码长度、复杂性和有效期。 |
PreviousDate | string | 与事件相关的上一个日期。 |
PreviousTime | string | UTC 时区中的上一个时间。 格式为 YYYY-MM-DDThh:mm:ss.nnnnnnnZ。 |
PrimaryGroupId | string | 用户对象主组的相对标识符 (RID)。 |
PrivateKeyUsageCount | string | 私钥的已使用次数。 |
PrivilegeList | string | 与事件相关的权限,包括用户、组或系统权限。 |
处理 | string | 生成事件的进程名称。 |
ProcessId | string | 标识生成事件的进程。 |
ProcessName | string | 进程的完整路径和可执行文件的名称。 |
ProfilePath | string | 指定帐户配置文件的路径。 此值可以是空字符串、本地绝对路径或 UNC 路径。 |
属性 | string | 取决于对象类型。 此字段可以为空,也可以包含被访问的对象属性列表。 |
ProtocolSequence | string | 有关尝试身份验证时使用的协议信息。 |
ProxyPolicyName | string | 用于配置代理服务器连接网络的策略名称。 |
QuarantineHelpURL | string | 帮助排除网络隔离问题的 URL。 |
QuarantineSessionID | string | 对文件进行隔离评估的会话标识符。 |
QuarantineSessionIdentifier | string | 对文件进行隔离评估的会话标识符。 |
QuarantineState | string | 它显示文件是否被隔离。 |
QuarantineSystemHealthResult | string | 显示已隔离文件状态的报告。 |
RelativeTargetName | string | 访问的目标文件或文件夹的相对名称。 此文件路径与网络共享相对。 如果请求访问的是共享本身,则此字段显示为 ""。 |
RemoteIpAddress | string | 发起远程连接的计算机的 IP 地址。 |
RemotePort | string | 发起连接的远程计算机的端口号。 |
申请者 | string | 事件请求者标识符。 |
RequestId | string | 与特定请求(如通过 HTTP 提出的请求)相关联的唯一标识符。 |
_ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
RestrictedAdminMode | string | 仅为 RemoteInteractive 登录类型会话填充。 这是一个“是/否”标志,指明所提供的凭据是否在“受限管理”模式下传递。 受限管理模式是在 Win8.1/2012R2 中添加的,但在 Win10 中事件中添加了此标记。 |
RowsDeleted | string | 作为特定操作的一部分被删除的行数。 |
SamAccountName | string | 用于支持以前版本 Windows 客户端和服务器的帐户登录名(Windows 2000 以前的登录名)。 |
ScriptPath | string | 指定帐户登录脚本的路径。 |
SecurityDescriptor | string | 有关特定对象或资源的安全设置和权限的信息。 |
ServiceAccount | string | 服务启动时运行的安全上下文。 |
ServiceFileName | string | 指明在服务控制管理器中注册的服务类型。 |
ServiceName | string | 已安装服务的名称。 |
ServiceStartType | int | 包含有关如何启动特定服务的信息,无论是应自动启动还是手动启动。 |
ServiceType | string | 指明在服务控制管理器中注册的服务类型。 |
SessionName | string | 用户重新连接的会话名称。 |
ShareLocalPath | string | 所访问网络共享的本地路径。 |
ShareName | string | 所访问网络共享的名称。 格式为:\*\SHARE_NAME。 |
SidHistory | string | 如果对象是从其他域移动过来的,则包含对象以前使用的 SID。 |
SourceComputerId | string | 分配给 Windows 域中每台计算机的唯一标识符。 |
SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager 、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
Status | string | 登录失败的原因。 对于此事件,其值通常为“0xC0000234”。 “表 12. Windows 登录状态代码”中列出了最常见的 状态代码。 |
StorageAccount | string | 设置存储帐户访问密钥。 |
SubcategoryGuid | string | 已更改子类别的唯一 GUID。 |
SubcategoryId | string | 特定类型事件的唯一标识符。 |
Subject | string | 有关发起事件的安全主体(例如:用户帐户)的信息。 |
SubjectAccount | string | 有关发起事件的帐户的信息。 |
SubjectDomainName | string | 有关主题帐户所属域或工作组的信息。 |
SubjectKeyIdentifier | string | 特定证书主题的唯一标识符。 |
SubjectLogonId | string | 与主体帐户相关的登录会话的唯一标识符。 |
SubjectMachineName | string | 创建事件的计算机或系统的相关信息。 |
SubjectMachineSID | string | 生成事件的计算机的安全标识符 (SID)。 |
SubjectUserName | string | 生成事件的用户帐户名称。 |
SubjectUserSid | string | 生成事件的用户帐户的安全标识符 (SID)。 |
_SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
SubStatus | string | 有关登录失败的其他信息。 “表 12. Windows 登录状态代码”中列出了最常见的子状态代码。 |
SystemProcessId | int | 标识生成事件的进程。 |
SystemThreadId | int | 标识生成事件的线程。 |
SystemUserId | string | 负责该事件的用户的 ID。 |
TableId | string | 存储事件数据的特定数据表标识符。 |
TargetAccount | string | 事件的目标帐户(用户名、计算机名等)。 |
TargetDomainName | string | 目标帐户所属域的名称。 |
TargetInfo | string | 有关事件目标的其他信息(例如:文件或文件夹的路径、注册表项值的名称等)。 |
TargetLinkedLogonId | string | 有助于通过登录尝试 ID 将相关事件联系在一起的信息。 它可以帮助整理所有相关事件,跟踪多个会话的活动以及确定攻击源。 |
TargetLogonGuid | string | 与事件相关的登录会话关联的全局唯一标识符 (GUID)。 |
TargetLogonId | string | 与事件相关的登录会话的唯一标识符。 |
TargetOutboundDomainName | string | TargetAccount 字段中指定的帐户在一次出站身份验证尝试中通过身份验证的域。 |
TargetOutboundUserName | string | 在出站身份验证尝试中通过身份验证的用户帐户名称。 |
TargetServerName | string | 运行新进程的服务器名称。 如果进程在本地运行,则值为“localhost”。 |
TargetSid | string | 运行新进程的服务器的安全标识符 (SID)。 |
TargetUser | string | 生成新进程的用户帐户标识符。 |
TargetUserName | string | 生成新进程的用户帐户名称。 |
TargetUserSid | string | 与事件所涉用户或资源相关联的安全标识符 (SID)。 |
任务 | int | 事件中定义的任务。 |
TemplateContent | string | 事件消息或通知的结构化内容。 |
TemplateDSObjectFQDN | string | 表示 GPO 模板的 DS 对象的 FQDN。 |
TemplateInternalName | string | GPO 模板的内部名称。 |
TemplateOID | string | 用于创建事件的模板的唯一标识符。 |
TemplateSchemaVersion | string | 用于定义要包含在事件中的数据的模板架构的版本。 |
TemplateVersion | string | 用于定义要包含在事件中的数据的模板的版本。 |
TenantId | string | Log Analytics 工作区 ID |
TimeGenerated | datetime | 事件在计算机上生成时的时间戳。 |
TokenElevationType | string | 根据用户帐户控制策略分配给新进程的令牌类型。 |
TransmittedServices | string | 传送的服务的列表。 如果登录是 S4U(用户服务)登录过程的结果,则会填充传输的服务。 S4U 是 Kerberos 协议的一个 Microsoft 扩展,以允许应用程序服务代表用户获取 Kerberos 服务票证,最常见的做法是前端网站代表用户访问内部资源。 有关 S4U 的更多信息,请参阅https://msdn.microsoft.com/library/cc246072.aspx。 |
类型 | 字符串 | 表的名称 |
UserAccountControl | string | 显示 userAccountControl 属性中的更改列表。 将看到每项更改的一行文字。 |
UserParameters | string | 如果使用 Active Directory 用户和计算机管理控制台在用户帐户属性的“拨入”选项卡中更改任何设置,则会看到<值已更改,但未在此字段中显示>。 对于本地帐户,此字段不适用,且值始终为<值未设置>。 |
UserPrincipalName | string | 基于 Internet 标准 RFC 822 的 Internet 样式帐户登录名。 按照惯例,这应该与帐户的电子邮件名称相对应。 |
UserWorkstations | string | 包含用户可以从中登录的计算机的 NetBIOS 或 DNS 名称列表。 每个计算机名称之间以逗号隔开。 计算机名称是计算机对象的 sAMAccountName 属性。 |
VendorIds | string | 设备的 'Hardware Ids' 属性。 要查看设备属性,请启动设备管理器,打开特定设备属性,然后单击“详细信息”。 |
版本 | int | 包含事件定义的版本号。 |
VirtualAccount | string | “是”或“否”标志,指明帐户是否为虚拟帐户(如”托管服务帐户“),该标记在 Windows 7 和 Windows Server 2008 R2 中引入,目的是提供识别特定服务使用的帐户的能力,而不是仅仅使用”NetworkService"。 |
工作站 | string | 用于执行事件的计算机的名称。 |
WorkstationName | string | 尝试在上面登录的计算机名称。 |