此表用于收集通用事件格式的事件,这些事件通常发送自不同的安全设备(如 Check Point、Palo Alto 等)。
表特性
| 特征 | 值 |
|---|---|
| 资源类型 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 类别 | 安全性 |
| 解决方案 | Security、SecurityInsights |
| 基本日志 | 是 |
| 引入时转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 说明 |
|---|---|---|
| 活动 | 字符串 | 一个字符串,表示用户可读且可理解的事件说明。 |
| 附加扩展 | 字符串 | 附加字段的占位符。 字段以键值对的形式记录。 |
| 应用协议 | 字符串 | 应用程序中使用的协议,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| 采集器主机名 | 字符串 | 运行代理的收集器计算机的主机名。 |
| 通信方向 | 字符串 | 有关已观察到的通信所采用的方向的任何信息。 有效值:0 = 入站,1 = 出站。 |
| 电脑 | 字符串 | Syslog 中的主机。 |
| 目标DNS域 | 字符串 | 完全限定的域名 (FQDN) 的 DNS 部分。 |
| 目标主机名 | 字符串 | 事件在 IP 网络中引用的目标。 格式应是与目标节点(如果节点可用)关联的 FQDN。 例如:host.domain.com 或 host。 |
| 目标IP地址 | 字符串 | 事件在 IP 网络中引用的目标 IPv4 地址。 |
| 目标MAC地址 | 字符串 | 目标 MAC 地址 (FQDN)。 |
| DestinationNTDomain | 字符串 | 目标地址的 Windows 域名。 |
| 目的港 | 整数 (int) | 目标端口。 有效值:0 - 65535。 |
| 目标进程ID | 整数 (int) | 与事件关联的目标进程的 ID。 |
| 目标进程名称 | 字符串 | 事件目标进程的名称,例如 telnetd 或 sshd。 |
| 目的服务名称 | 字符串 | 事件所针对的服务。 例如,sshd。 |
| 目的地变译地址 | 字符串 | 标识 IP 网络中由事件引用的已转换目标,用作 IPv4 IP 地址。 |
| 目标翻译端口 | 整数 (int) | 转换后的端口,如防火墙有效端口号:0 - 65535。 |
| 目标用户ID | 字符串 | 按 ID 标识目标用户。 例如:在 Unix 中,根用户通常与用户 ID 0 关联。 |
| 目标用户名 | 字符串 | 按名称标识目标用户。 |
| 目标用户权限 | 字符串 | 定义目标用户的特权。 有效值:Admninistrator、User、Guest。 |
| DeviceAction | 字符串 | 事件中提到的操作。 |
| 设备地址 | 字符串 | 生成事件的设备的 IPv4 地址。 |
| DeviceCustomDate1 | 字符串 | 可用于映射字段的两个时间戳字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| 设备自定义日期1标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 设备自定义日期2 | 字符串 | 可用于映射字段的两个时间戳字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| 设备自定义日期2标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomFloatingPoint1 | 真实 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
| 自定义设备浮点数1标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 设备自定义浮点2 | 真实 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
| 设备自定义浮点2标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 设备自定义浮点数3 | 真实 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
| 设备自定义浮点数3标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomFloatingPoint4 | 真实 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
| 设备自定义浮点4标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 设备自定义IPv6地址1 | 字符串 | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomIPv6Address1Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomIPv6Address2 | 字符串 | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
| 设备自定义IPv6地址2标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomIPv6Address3 | 字符串 | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
| 设备自定义IPv6地址3标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomIPv6Address4 | 字符串 | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
| 设备自定义IPv6地址4标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 设备自定义编号1 | 整数 (int) | 即将被弃用的字段。 将被 FieldDeviceCustomNumber1 代替。 |
| 设备自定义编号1标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomNumber2 | 整数 (int) | 即将被弃用的字段。 将被 FieldDeviceCustomNumber2 代替。 |
| 设备自定义数字2标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomNumber3 | 整数 (int) | 即将被弃用的字段。 将被 FieldDeviceCustomNumber3 代替。 |
| 设备自定义数字3标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 自定义设备字符串1 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString1Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString2 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString2Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString3 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| 设备自定义字符串3标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString4 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString4Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString5 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| 设备自定义字符串5标签 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 设备自定义字符串6 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| 自定义设备字符串标签6 | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 设备DNS域 | 字符串 | 完全限定的域名 (FQDN) 的 DNS 域部分。 |
| 设备事件类别 | 字符串 | 表示由原始设备分配的类别。 设备通常使用自己的分类架构对事件进行分类。 示例:“/Monitor/Disk/Read”。 |
| DeviceEventClassID | 字符串 | 充当每个事件类型的唯一标识符的字符串或整数。 |
| 设备外部ID | 字符串 | 一个用于唯一标识生成事件的设备的名称。 |
| 设备设施 | 字符串 | 生成事件的设施。 例如:auth 或 local1。 |
| 设备入站接口 | 字符串 | 数据包或数据进入设备时所用的接口。 例如:ethernet1/2。 |
| 设备MAC地址 | 字符串 | 生成事件的设备的 MAC 地址。 |
| 设备名称 | 字符串 | 与设备节点(如果节点可用)关联的 FQDN。 例如:host.domain.com 或 host。 |
| DeviceNtDomain | 字符串 | 设备地址的 Windows 域。 |
| 设备出站接口 | 字符串 | 数据包或数据离开设备时所用的接口。 |
| DevicePayloadId (设备载荷标识符) | 字符串 | 与事件关联的有效负载的唯一标识符。 |
| 设备产品 | 字符串 | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
| 设备时区 | 字符串 | 生成事件的设备的时区。 |
| 设备翻译地址 | 字符串 | 标识事件在 IP 网络中引用的已转换设备地址。 格式为 IPv4 地址。 |
| DeviceVendor | 字符串 | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
| 设备版本 | 字符串 | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
| 结束时间 | 日期/时间 | 与事件相关的活动的结束时间。 |
| 事件计数 | 整数 (int) | 与事件关联的计数,显示观察到同一事件的次数。 |
| 事件结果 | 字符串 | 显示结果,通常为“成功”或“失败”。 |
| 事件类型 | 整数 (int) | 事件类型。 值包括:0:基本事件,1:聚合,2:相关事件,3:操作事件。 注意:对于基本事件,可以省略此事件。 |
| 外部ID | 整数 (int) | 即将被弃用的字段。 将被 ExtID 取代。 |
| ExtID | 字符串 | 原始设备使用的 ID(将取代旧版的 ExternalID)。 通常,这些值具有一些递增值,其中每个递增值均与某个事件相关联。 |
| 现场设备自定义编号1 | 长整型 | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber1)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| FieldDeviceCustomNumber2(现场设备自定义编号2) | 长整型 | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber2)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| 现场设备自定义编号3 | 长整型 | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber3)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| 文件创建时间 | 字符串 | 文件的创建时间。 |
| 文件哈希 | 字符串 | 文件的哈希。 |
| 文件ID | 字符串 | 与文件关联的 ID,例如 inode。 |
| 文件修改时间 | 字符串 | 文件的上次修改时间。 |
| 文件名 | 字符串 | 文件的名称,不包括路径。 |
| 文件路径 | 字符串 | 文件的完整路径,包括文件名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
| 文件权限 | 字符串 | 文件的权限。 例如:“2,1,1”。 |
| 文件大小 | 整数 (int) | 以字节为单位的文件的大小。 |
| 文件类型 | 字符串 | 文件类型,例如管道、套接字等。 |
| FlexDate1 | 字符串 | 用于映射时间戳的时间戳字段,该时间戳不适用于本字典中任何其他已定义的时间戳字段。 尽量少用所有弹性字段,尽可能使用字典提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
| FlexDate1Label | 字符串 | 标签字段是一个字符串,用于描述弹性字段的用途。 |
| FlexNumber1 | 整数 (int) | 可用于映射 Int 数据的编号字段,不适用于本字典中的任何其他字段。 |
| FlexNumber1Label | 字符串 | 述 FlexNumber1 中数值的标签 |
| FlexNumber2 | 整数 (int) | 可用于映射 Int 数据的编号字段,不适用于本字典中的任何其他字段。 |
| FlexNumber2Label | 字符串 | 述 FlexNumber2 中数值的标签 |
| FlexString1 | 字符串 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
| FlexString1Label | 字符串 | 标签字段是一个字符串,用于描述弹性字段的用途。 |
| FlexString2 | 字符串 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
| FlexString2Label | 字符串 | 标签字段是一个字符串,用于描述弹性字段的用途。 |
| 指标威胁类型 | 字符串 | MaliciousIP 威胁类型,视 TI 源而定。 |
| _是否计费 | 字符串 | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LogSeverity | 字符串 | 用于描述事件重要性的字符串或整数。 有效字符串值:未知、低、中、高、高。有效整数值为:0-3 = 低,4-6 = 中,7-8 = 高,9-10 = 非常高。 |
| 恶意IP地址 | 字符串 | 如果消息中的某个 IP 与当前的 TI 源相关联,它就会显示在这里。 |
| 恶意IP国家 | 字符串 | MaliciousIP 所在的国家/地区,视记录引入时的 GEO 信息而定。 |
| MaliciousIPLatitude | 真实 | MaliciousIP 所在的纬度,视记录引入时的 GEO 信息而定。 |
| 恶意IP经度 | 真实 | MaliciousIP 所在的经度,视记录引入时的 GEO 信息而定。 |
| 消息 | 字符串 | 一条消息,提供有关事件的更多详细信息。 |
| 旧文件创建时间 | 字符串 | 旧文件的创建时间。 |
| OldFileHash | 字符串 | 旧文件的哈希。 |
| OldFileID | 字符串 | 与旧文件相关联的 ID,例如 inode。 |
| 旧文件修改时间 | 字符串 | 旧文件的上次修改时间。 |
| OldFileName | 字符串 | 旧文件的名称。 |
| OldFilePath | 字符串 | 旧文件的完整路径,包括文件名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
| OldFilePermission | 字符串 | 旧文件的权限。 例如:“2,1,1”。 |
| OldFileSize | 整数 (int) | 文件的大小(以字节为单位)。 |
| 旧文件类型 | 字符串 | 旧文件的文件类型,例如管道、套接字等。 |
| OriginalLogSeverity | 字符串 | LogSeverity 的非映射版本。 例如:LogSeverity 字段中的 Warning/Critical/Info,而不是规范化的 Low/Medium/High |
| 进程ID | 整数 (int) | 定义生成事件的设备上进程的 ID。 |
| ProcessName | 字符串 | 与事件关联的进程名称。 例如,在 UNIX 中,这是生成 syslog 条目的进程。 |
| 协议 | 字符串 | 用于标识所用第 4 层协议的传输协议。 可能的值包括协议名称,例如 TCP 或 UDP。 |
| 原因 | 字符串 | 生成审核事件的原因。 例如“密码错误”或“未知用户”。 这也可能是错误或返回代码。 示例:“0x1234”。 |
| 收货时间 | 字符串 | 收到活动相关事件的时间。 与“Timegenerated”字段不同,后者为日志收集器接收事件的时间。 |
| 接收字节数 | 长整型 | 入站传输的字节数。 |
| RemoteIP | 字符串 | 从事件的方向值派生(如果可能)的远程 IP 地址。 |
| RemotePort | 字符串 | 从事件的方向值派生(如果可能)的远程端口。 |
| 报告参考链接 | 字符串 | 到 TI 源报表的链接。 |
| RequestClientApplication | 字符串 | 与请求关联的用户代理。 |
| 请求上下文 | 字符串 | 描述从中发起请求的内容,例如 HTTP 引用网站。 |
| RequestCookies | 字符串 | 与请求关联的 Cookie。 |
| RequestMethod | 字符串 | 用于访问 URL 的方法。 有效值包括 POST、GET 等方法。 |
| RequestURL (请求URL) | 字符串 | 为 HTTP 请求访问的 URL,包括协议。 例如:http://www/secure.com. |
| _资源ID | 字符串 | 与记录关联的资源的唯一标识符 |
| SentBytes | 长整型 | 出站传输的字节数。 |
| 简化设备操作 | 字符串 | DeviceAction 的映射版本,如 Denied > Deny。 |
| SourceDnsDomain | 字符串 | 完整 FQDN 的 DNS 域部分。 |
| SourceHostName | 字符串 | 标识事件在 IP 网络中引用的源。 格式应是与源节点(如果节点可用)关联的完全限定域名 (DQDN)。 例如:host 或 host.domain.com。 |
| SourceIP | 字符串 | 事件在 IP 网络中引用的源,用作 IPv4 地址。 |
| 源MAC地址 | 字符串 | 源 MAC 地址。 |
| SourceNTDomain | 字符串 | 源地址的 Windows 域名。 |
| SourcePort | 整数 (int) | 源端口号。 有效端口号为 0 - 65535。 |
| 源进程ID | 整数 (int) | 与事件关联的源进程的 ID。 |
| 源流程名称 | 字符串 | 事件的源进程名称。 |
| 源服务名称 | 字符串 | 负责生成事件的服务。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 源翻译地址 | 字符串 | 标识事件在 IP 网络中引用的已转换源。 |
| SourceTranslatedPort | 整数 (int) | 转换后的源端口(例如防火墙)。 有效端口号为 0 - 65535。 |
| SourceUserID | 字符串 | 按 ID 标识源用户。 |
| SourceUserName | 字符串 | 按名称标识源用户。 电子邮件地址也会映射到 UserName 字段中。 发件人是输入此字段中的候选项。 |
| 源用户权限 | 字符串 | 源用户的特权。 有效值包括:Administrator、User、Guest。 |
| 开始时间 | 日期/时间 | 事件引用的活动的开始时间。 |
| _SubscriptionId(订阅编号) | 字符串 | 与记录关联的订阅的唯一标识符 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| 威胁可信度 | 字符串 | MaliciousIP 威胁置信度,视 TI 源而定。 |
| 威胁描述 | 字符串 | MaliciousIP 威胁说明,视 TI 源而定。 |
| 威胁严重性 | 整数 (int) | MaliciousIP 的威胁严重性,视记录引入时的 TI 源而定。 |
| TimeGenerated | 日期/时间 | 事件收集时间 (UTC)。 |
| 类型 | 字符串 | 表的名称 |