Microsoft Sentinel规范化资产实体事件表。 存储与安全事件和警报关联的事件,确保跨不同数据源进行一致且高效的分析。
数据表属性
| Attribute |
价值 |
|
资源类型 |
microsoft.securityinsights/assetentitynormalized |
|
Categories |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
Yes |
Columns
| 列 |
类型 |
说明 |
| AADTenantId |
字符串 |
与资产或实体关联的Azure Active Directory 租户标识符。 |
| AdditionalAssetOwners |
dynamic |
与资产关联的其他所有者或共同所有者的动态集合。 |
| AdditionalFields |
dynamic |
有关架构中的其他字段未捕获的实体的其他信息。 |
| AssetClassificationLastScanDateTime |
日期/时间 |
时间戳 (UTC) 上次扫描资产进行数据分类的时间。 |
| AssetIsProtectedByDlp |
布尔 |
指示资产是否受数据丢失防护 (DLP) 策略的保护。 |
| AssetOriginalDataClassificationType |
dynamic |
原始数据分类类型 () 分配给源系统报告的资产。 |
| AssetOriginalPermissions |
dynamic |
分配给资产的原始权限集,由源系统报告。 |
| AssetOriginalRiskDetails |
dynamic |
源系统提供的资产的完整风险详细信息。 |
| AssetOriginalRiskLevel |
字符串 |
在规范化之前,由源系统报告分配给资产的风险级别。 |
| AssetOriginalSensitivityLevel |
字符串 |
规范化前源系统报告的敏感度级别。 |
| AssetOriginalType |
字符串 |
源系统报告的资产的原始类型。 |
| AssetOwnerId |
字符串 |
拥有资产的用户或主体的标识符。 |
| AssetOwnerIdType |
字符串 |
资产所有者标识符的类型或格式,例如 UPN 或 SID。 |
| AssetOwnerScope |
字符串 |
资产所有者所属的组织或管理范围。 |
| AssetOwnerScopeId |
字符串 |
资产所有者所属范围的标识符。 |
| AssetOwnerType |
字符串 |
资产所有者的类型,例如 User、Group 或 ServicePrincipal。 |
| AssetPath |
字符串 |
FilePath 或 SitePath 的别名。 |
| AssetRelatedIndicators |
dynamic |
与资产相关的威胁指示器或信号的动态集合。 |
| AssetRiskFirstReportedTime |
日期/时间 |
时间戳 (UTC) 首次报告与资产关联的风险的时间。 |
| AssetRiskLastReportedTime |
日期/时间 |
时间戳 (UTC) 最近报告与资产关联的风险的时间。 |
| AssetRiskLevel |
字符串 |
分配给资产的规范化风险级别,例如“低”、“中”、“高”或“严重”。 |
| AssetRiskName |
字符串 |
与资产关联的风险或威胁的规范化名称。 |
| AssetSensitivityLabel |
字符串 |
应用于资产的敏感度标签,例如机密或公共。 |
| 资产类型 |
字符串 |
资产的高级类型,例如“文件”或“站点”。 |
| _BilledSize |
real |
记录大小(字节) |
| EntityCreatedTime |
日期/时间 |
最初在源系统中创建实体的时间戳 (UTC) 。 |
| EntityFeedType |
字符串 |
提供实体记录的数据馈送的类型或类别。 |
| 实体标识 (EntityId) |
字符串 |
规范化架构中实体的唯一标识符。 |
| EntityIngestionTime |
日期/时间 |
实体记录引入到系统中时的时间戳(UTC)。 |
| EntityIsDeleted |
布尔 |
指示是否已在源系统中删除实体。 |
| EntityLastAccessedTime |
日期/时间 |
上次访问实体的时间戳 (UTC) 。 |
| EntityLastModifiedTime |
日期/时间 |
时间戳 (UTC) 上次在源系统中修改实体的时间。 |
| EntityName |
字符串 |
实体的显示名称或标识符。 |
| EntityNameType |
字符串 |
实体名称的类型或格式,如 UPN 或用户名。 |
| EntityOriginalId |
字符串 |
源系统报告的实体的原始标识符。 |
| EntityOriginalSource |
字符串 |
提供实体记录的原始数据源或连接器。 |
| EntityProduct |
字符串 |
与报告实体的源关联的产品名称。 |
| EntitySchema |
字符串 |
此实体记录的 ASIM 架构名称。 |
| EntitySchemaVersion |
字符串 |
用于此实体记录的 ASIM 架构的版本。 |
| EntitySource |
字符串 |
提供实体记录的数据源或连接器。 |
| EntitySubProduct |
字符串 |
与报告实体的源关联的子产品或组件名称。 |
| EntityUpdatedTime |
日期/时间 |
上次更新实体记录时的时间戳(UTC)。 |
| EntityVendor |
字符串 |
报告实体的供应商或提供商。 |
| ExternalUsersCount |
int |
与资产关联或有权访问资产的外部用户数。 |
| FileExtension |
字符串 |
与资产关联的文件的文件扩展名,例如 .exe 或 .pdf。 |
| FileIsSignatureValid |
布尔 |
指示文件的数字签名是否有效。 |
| FileMD5 |
字符串 |
与资产关联的文件的 MD5 哈希。 |
| FilePath |
字符串 |
与资产关联的文件的完整路径。 |
| FileSHA1 |
字符串 |
与资产关联的文件的 SHA-1 哈希。 |
| FileSHA256 |
字符串 |
与资产关联的文件的 SHA-256 哈希。 |
| FileSHA512 |
字符串 |
与资产关联的文件的 SHA-512 哈希。 |
| FileSignatureDetails |
字符串 |
有关文件的数字签名的详细信息,例如签名者或证书信息。 |
| 文件大小 |
long |
以字节为单位的文件的大小。 |
| IdentityDirectoryId |
字符串 |
与实体关联的标识目录的标识符。 |
| IdentityDirectoryName |
字符串 |
与实体关联的标识目录的名称,例如Active Directory或Azure AD。 |
| InternalUsersCount |
int |
与资产关联或有权访问资产的内部用户数。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| _ResourceId |
字符串 |
与记录关联的资源的唯一标识符 |
| SitePath |
字符串 |
与资产关联的站点或存储位置的路径。 |
| SitePrimaryUri |
字符串 |
与资产关联的站点或存储位置的主 URI。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| _SubscriptionId |
字符串 |
唯一标识符,用于识别与此记录关联的订阅 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
生成日志的时间戳 (UTC)。 |
| 类型 |
字符串 |
表的名称 |
| 用户 |
字符串 |
AssetOwnerId 的别名。 |