ASim身份验证事件日志

Microsoft Sentinel 规范化身份验证事件表。 存储与用户身份验证、登录和注销等关联的事件。

表属性

特征
资源类型 microsoft.securityinsights/authenticationevent
类别 安全性
解决方案 SecurityInsights
基本日志
引入时转换
示例查询 -

类型​​ 说明
ActingAppId 字符串 代表参与者授权的应用程序的 ID,包括进程、浏览器或服务。
ActingAppName 字符串 代表参与者授权的应用程序的名称,包括进程、浏览器或服务。
代理应用类型 字符串 操作应用程序的类型。
ActingOriginalAppType 字符串 报告设备报告的操作应用程序类型。
演员原始用户类型 字符串 报告设备报告的用户类型。
ActorScope 字符串 定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。
ActorScopeId 字符串 在其中定义了 ActorUserId 和 ActorUsername 的范围 ID(例如 Azure AD 租户 ID)。
“ActorSessionId” 字符串 参与者登录会话的唯一 ID。
ActorUserId 字符串 参与者的计算机可读的唯一字母数字表示形式。
演员用户ID类型 字符串 ActorUserId 字段中存储的 ID 的类型。
演员用户名 字符串 参与者的用户名,包括域信息(如果可用)。
演员用户名类型 (ActorUsernameType) 字符串 指定 ActorUsername 字段中存储的用户名的类型。
演员用户类型 字符串 参与者的类型。
附加字段 动态 附加信息,使用源提供的不映射到 ASim 的键/值对表示。
_BilledSize(账单大小) 真正 记录大小(字节)
DvcAction 字符串 对于报告安全系统,为系统执行的操作。
DvcDescription 字符串 与设备关联的描述性文本。
DvcDomain 字符串 报告事件的设备的域。
DvcDomainType 字符串 DvcDomain 的类型。
DvcFQDN 字符串 发生了事件或报告了事件的设备的主机名。
DvcHostname 字符串 报告事件的设备的主机名。
“DvcId” 字符串 发生了事件或报告了事件的设备的唯一 ID。
DvcIdType 字符串 DvcId 的类型。
DvcInterface 字符串 捕获数据的网络接口。
DvcIpAddr 字符串 报告事件的设备的 IP 地址。
DvcMacAddr 字符串 发生了事件或报告了事件的设备的 MAC 地址。
DvcOriginalAction 字符串 报告设备提供的原始 DvcAction。
DvcOs 字符串 发生了事件或报告了事件的设备上运行的操作系统。
DvcOsVersion 字符串 发生了事件或报告了事件的设备上的操作系统版本。
DvcScope 字符串 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
DvcScopeId 字符串 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
DvcZone 字符串 发生了事件或报告了事件的网络。
事件计数 整数 (int) 记录描述的事件数。
事件结束时间 日期时间 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
事件信息 字符串 常规消息或说明。
事件原始结果详情 字符串 源提供的原始结果详细信息。
EventOriginalSeverity 字符串 报告设备提供的原始严重性。
事件初始子类型 字符串 原始事件子类型或 ID(如果已由源提供)。
“EventOriginalType” 字符串 原始事件类型或 ID(如果已由源提供)。
EventOriginalUid 字符串 原始记录的唯一 ID(如果已由源提供)。
活动主办方 字符串 事件的所有者,通常是生成事件的部门或子公司。
EventProduct 字符串 生成事件的产品。
事件产品版本 字符串 生成事件的产品的版本。
事件报告链接 字符串 在资源的事件中提供的 URL,提供有关该事件的更多信息。
事件结果 字符串 事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。
事件结果详情 字符串 与事件结果关联的详细信息。 当结果为失败时,通常会填充此字段。
事件模式版本 字符串 架构的版本。
EventSeverity 字符串 事件的严重性。 有效值为:信息、低、中或高。
事件开始时间 日期时间 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
事件子类型 字符串 登录类型,例如 System、Interactive、RemoteInteractive、Service、RemoteService、Remote 或 AssumeRole。
事件类型 字符串 描述记录报告的操作
EventVendor 字符串 生成事件的产品的供应商。
HTTP用户代理 (HttpUserAgent) 字符串 通过 HTTP 或 HTTPS 执行身份验证时,此字段的值是执行身份验证时操作应用程序提供的 user_agent HTTP 标头。
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
登录方法 字符串 用于执行身份验证的方法。
登录协议 字符串 用于执行身份验证的协议。
_资源ID 字符串 与记录关联的资源的唯一标识符
规则名称 字符串 与检查结果关联的规则的名称或 ID。
规则编号 整数 (int) 与检查结果关联的规则的数量。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
SrcDescription 字符串 与源设备关联的描述性文本。
SrcDeviceType 字符串 源设备的类型。
SrcDomain 字符串 源设备的域。
SrcDomainType 字符串 SrcDomain 的类型。
SrcDvcId 字符串 源设备的 ID。
SrcDvcIdType 字符串 SrcDvcId 的类型。
SrcDvcOs 字符串 源设备的 OS。
SrcDvcScope 字符串 源设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
SrcDvcScopeId 字符串 源设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
SrcFQDN 字符串 源设备主机名,包括域信息(如果可用)。
SrcGeoCity 字符串 与源 IP 地址关联的城市。
SrcGeoCountry 字符串 与源 IP 地址关联的国家/地区。
SrcGeoLatitude 真正 与源 IP 地址关联的地理坐标的纬度。
SrcGeoLongitude 真正 与源 IP 地址关联的地理坐标的经度。
SrcGeoRegion 字符串 与源 IP 地址关联的国家/地区中的区域。
SrcHostname 字符串 源设备主机名,不包括域信息。
SrcIpAddr 字符串 源设备的 IP 地址。
SrcIsp 字符串 源设备用于连接到 Internet 的 Internet 服务提供商 (ISP)。
SrcOriginalRiskLevel 字符串 由报告设备报告的与已识别源相关联的风险级别。
SrcPortNumber 整数 (int) 从中发起了连接的 IP 端口。
Src风险等级 整数 (int) 与已识别的源关联的风险级别。
_SubscriptionId(订阅编号) 字符串 与记录关联的订阅的唯一标识符
目标应用程序ID 字符串 需要授权的应用程序的 ID,该 ID 通常由报告设备分配。
TargetAppName 字符串 需要授权的应用程序的名称,包括服务、URL 或 SaaS 应用程序。
目标应用类型 字符串 代表参与者授权的应用程序的类型。
目标描述 字符串 与目标设备关联的描述性文本。
目标设备类型 字符串 目标设备的类型。
目标领域 字符串 目标设备的域。
目标域类型 字符串 TargetDomain 的类型。
TargetDvcId 字符串 目标设备的 ID。
TargetDvcIdType 字符串 TargetDvcId 的类型。
TargetDvcOs 字符串 目标设备的 OS。
TargetDvcScope 字符串 目标设备所属的云平台范围。 TargetDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
TargetDvcScopeId 字符串 目标设备所属的云平台范围 ID。 TargetDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
TargetFQDN 字符串 目标设备主机名,包括域信息(如果可用)。
TargetGeoCity 字符串 与目标 IP 地址关联的城市。
TargetGeoCountry 字符串 与目标 IP 地址关联的国家/地区。
目标地理纬度 真正 与目标 IP 地址关联的地理坐标的纬度。
TargetGeoLongitude 真正 与目标 IP 地址关联的地理坐标的经度。
TargetGeoRegion 字符串 与目标 IP 地址关联的国家/地区中的区域。
目标主机名 字符串 目标设备主机名,不包括域信息。
目标IP地址 字符串 目标设备的 IP 地址。
目标原始应用类型 字符串 报告设备报告的目标应用程序类型。
目标原始风险水平 字符串 与目标关联的风险级别,由报告设备报告。
目标原始用户类型 字符串 报告设备报告的用户类型。
TargetPortNumber 整数 (int) 目标设备的端口。
目标风险级别 整数 (int) 与目标关联的风险级别。
目标会话ID 字符串 目标参与者登录会话的唯一 ID。
目标URL 字符串 与目标应用程序相关联的 URL。
目标用户ID 字符串 参与者的计算机可读的唯一字母数字表示形式。
“TargetUserIdType” 字符串 TargetUserId 字段中存储的 ID 的类型。
目标用户名 字符串 目标参与者的用户名,包括域信息(如果可用)。
目标用户名类型 字符串 TargetUsername 字段中指定的目标参与者的用户名的类型
目标用户范围 字符串 定义 TargetUserId 和 TargetUsername 的范围,例如 Azure AD 租户。
TargetUserScopeId 字符串 在其中定义了 TargetUserId 和 TargetUsername 的范围 ID(例如 Azure AD 租户 ID)。
目标用户类型 字符串 目标参与者的类型。
租户ID 字符串 Log Analytics 工作区 ID
威胁类别 字符串 在文件活动中识别到的威胁或恶意软件的类别。
威胁信心 整数 (int) 已识别威胁的可信度,规范化为 0 到 100 之间的值。
威胁领域 (ThreatField) 字符串 已识别出威胁的字段。
威胁首次报告时间 日期时间 IP 地址或域首次被识别为威胁的时间。
威胁编号 (ThreatId) 字符串 在审核活动中识别到的威胁或恶意软件的 ID。
威胁IP地址 字符串 已识别出威胁的 IP 地址。
威胁处于活跃状态 布尔 如果已识别的威胁被视为活动威胁,则为 True。
最后一次报告威胁时间 日期时间 上次将 IP 地址或域识别为威胁的时间。
威胁名称 字符串 在审核活动中识别到的威胁或恶意软件的名称。
威胁原始可信度 字符串 报告设备报告的已识别威胁的原始可信度。
威胁原始风险级别 字符串 报告设备报告的风险级别。
威胁风险级别 整数 (int) 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。
TimeGenerated 日期时间 时间戳 (UTC),反映生成事件的时间。
类型​​ 字符串 表的名称