Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта таблица предназначена для сбора событий в формате common Event, которые чаще всего отправляются из различных устройств безопасности, таких как Check Point, Palo Alto и многое другое.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/virtualmachines microsoft.compute/virtualmachinescalesets |
| Категории | Безопасность |
| Решения | Безопасность, Аналитика безопасности |
| Базовый журнал | Да |
| Преобразование на этапе приема данных | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Тип | Описание |
|---|---|---|
| Вид занятий | строка | Строка, представляющая понятное описание события. |
| Дополнительные расширения | строка | Заполнитель для дополнительных полей. Поля записываются в виде пар "ключ-значение". |
| протокол приложения | строка | Протокол, используемый в приложении, например HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAP и т. д. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| ИмяХостаКоллектора | строка | Имя хоста машины сбора данных, на которой запущен агент. |
| Направление связи | строка | Любые сведения о направлении наблюдаемого обмена данными. Допустимые значения: 0 = входящий трафик, 1 = исходящий трафик. |
| Компьютер | строка | Хост из системного журнала. |
| Доменное имя назначения DNS | строка | Часть DNS полностью квалифицированного доменного имени (FQDN). |
| DestinationHostName | строка | Цель, к которой относится событие в IP-сети. Формат должен представлять собой полное доменное имя, связанное с узлом назначения, если узел доступен. Например, host.domain.com или хост. |
| IP-адрес назначения | строка | Адрес IPv4 назначения, к которому обращается событие в IP-сети. |
| MAC-адрес назначения | строка | MAC-адрес назначения (FQDN). |
| Домен назначения NT | строка | Доменное имя Windows для адреса назначения. |
| Порт назначения | INT | Порт назначения. Допустимые значения: 0 – 65535. |
| Идентификатор процесса назначения | INT | Идентификатор целевого процесса, связанного с событием. |
| Имя процесса назначения | строка | Имя целевого процесса события, например telnetd или sshd. |
| Название службы назначения | строка | Служба, на которую направлено событие. Например: sshd. |
| Адрес назначения после перевода | строка | Определяет переведённый пункт назначения, к которому обращается событие в IP-сети, в виде IPv4-адреса. |
| Переведённый порт назначения | INT | Порт после перевода, например допустимые номера портов брандмауэра: 0 – 65535. |
| DestinationUserID | строка | Определяет пользователя назначения по идентификатору. Например, в Unix корневой пользователь обычно связан с идентификатором пользователя 0. |
| Имя пользователя назначения | строка | Определяет пользователя назначения по имени. |
| Права пользователя назначения | строка | Определяет разрешения пользователя назначения. Допустимые значения: Admninistrator, User, Guest. |
| Действие устройства | строка | Действие, указанное в событии. |
| Адрес устройства | строка | Адрес IPv4 устройства, создающего событие. |
| ПараметрУстройстваДата1 | строка | Один из двух полей метки времени, доступных для сопоставления полей, которые не соответствуют другим в этом словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| НестандартнаяДатаУстройства1Метка | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Настроенная дата устройства 2 | строка | Один из двух полей метки времени, доступных для сопоставления полей, которые не соответствуют другим в этом словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| ЯрлыкПользовательскаяДатаУстройства2 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| КонфигурацияУстройствоИндивидуальнаяПлавающаяТочка1 | реальный | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| МеткаПользовательскийПлавающийТочка1Устройство | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Пользовательское устройство с плавающей запятой 2 | реальный | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| МеткаПользовательскогоЧислаСПлавЗапятой2 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| УстройствоПользовательскаяПлавающаяТочка3 | реальный | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| ИндивидуальнаяМеткаВещественногоЧисла3Устройства | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Индивидуальная плав. точка устройства 4 | реальный | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. |
| Пользовательская метка с плавающей запятой устройства 4 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Настраиваемый IPv6-адрес устройства1 | строка | Одно из четырех полей адреса IPv6, доступных для сопоставления полей, которые не применяются ни к какому другому в этом словаре. |
| МеткаПользовательскогоIPv6АдресаУстройства1 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| ПользовательскийIPv6АдресУстройства2 | строка | Одно из четырех полей адреса IPv6, доступных для сопоставления полей, которые не применяются ни к какому другому в этом словаре. |
| МеткаПользовательскогоIPv6Адреса2Устройства | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address3 | строка | Одно из четырех полей адреса IPv6, доступных для сопоставления полей, которые не применяются ни к какому другому в этом словаре. |
| Пользовательский IPv6-адрес устройства 3 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomIPv6Address4 | строка | Одно из четырех полей адреса IPv6, доступных для сопоставления полей, которые не применяются ни к какому другому в этом словаре. |
| ЯрлыкДляПользовательскогоIPv6АдресаУстройства4 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| ПользовательскоеЧислоУстройства1 | INT | Скоро станет устаревшим полем. Будет заменено на FieldDeviceCustomNumber1. |
| ЯрлыкПользовательскоеЧислоУстройства1 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomNumber2 | INT | Скоро станет устаревшим полем. Будет заменено на FieldDeviceCustomNumber2. |
| МеткаПользовательскийНомерУстройства2 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Пользовательский номер устройства 3 | INT | Скоро станет устаревшим полем. Будет заменен на FieldDeviceCustomNumber3. |
| ЯрлыкСвойственногоНомераПрибора3 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString1 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString1Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString2 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString2Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString3 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString3Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString4 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString4Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString5 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| DeviceCustomString5Label | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| DeviceCustomString6 | строка | Одна из шести строк, доступных для сопоставления полей, которые не относятся ни к одному другому в данном словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| ЯрлыкПользовательскойСтрокиУстройства6 | строка | Все настраиваемые поля имеют соответствующее поле метки. Каждое из этих полей представляет собой строку и описывает назначение настраиваемого поля. |
| Домен DNS устройства | строка | Часть домена DNS в полностью квалифицированном доменном имени (FQDN). |
| Категория событий устройства | строка | Относится к категории, назначенной исходным устройством. Устройства часто используют собственную схему классификации для классификации событий. Пример: '/Monitor/Disk/Read'. |
| DeviceEventClassID | строка | Строка или целое число, служащие уникальным идентификатором для каждого типа событий. |
| ВнешнийИдентификаторУстройства | строка | Имя, которое однозначно идентифицирует устройство, создающее событие. |
| УстройствоОбъект | строка | Оборудование, создающее событие. Например: аутентификация или local1. |
| Интерфейс входящих данных устройства | строка | Интерфейс, по которому пакет или данные поступили на устройство. Например, ethernet1/2. |
| MAC-адрес устройства | строка | MAC-адрес устройства, создающего событие. |
| Имя устройства | строка | Полное доменное имя, связанное с узлом устройства, если узел доступен. Например, host.domain.com или хост. |
| DeviceNtDomain | строка | Домен Windows для адреса устройства. |
| Интерфейс исходящих данных устройства | строка | Интерфейс, по которому пакет или данные покинули устройство. |
| DevicePayloadId | строка | Уникальный идентификатор полезной нагрузки, связанной с событием. |
| УстройствоПродукт | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| Часовой пояс устройства | строка | Часовой пояс устройства, создающего событие. |
| АдресУстройстваПереведенный | строка | Определяет преобразованный адрес устройства, к которому обращается событие, в IP-сети. Формат — адрес IPv4. |
| Поставщик устройств | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| Версия устройства | строка | Строка, которая вместе с определениями продуктов и версий устройства однозначно определяет тип отправки устройства. |
| Время окончания | дата и время | Время окончания действия, связанного с событием. |
| Количество событий | INT | Связанное с событием число, которое показывает, сколько раз наблюдалось одно и то же событие. |
| РезультатСобытия | строка | Отображает результат, как правило, как "успешно" или "сбой". |
| Тип события | INT | Тип события. Значения включают: 0: базовое событие, 1: агрегированное, 2: событие корреляции, 3: событие действия. Примечание. Для базовых событий это событие можно опустить. |
| Внешний ID | INT | Скоро станет устаревшим полем. Будет заменено ExtID. |
| ExtID | строка | Идентификатор, используемый исходным устройством (заменит устаревший ExternalID). Как правило, эти значения имеют возрастающие значения, каждое из которых связано с событием. |
| ПользовательскийНомерУстройства1 | длинный | Одно из трех числовых полей, доступных для сопоставления с полями, которые не применяются ни к каким другим в этом словаре (заменяет устаревшее поле DeviceCustomNumber1). Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| ПользовательскийНомерУстройстваПоля2 | длинный | Одно из трех полей чисел, доступных для сопоставления полей, которые не относятся к другим полям в этом словаре (заменит ранее использовавшиеся поля DeviceCustomNumber2). Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| ПользовательскийНомерУстройства3 | длинный | Одно из трех полей, доступных для сопоставления полей, которые не соответствуют всем другим в этом словаре (заменит старый DeviceCustomNumber3). Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. |
| Время создания файла | строка | Время создания файла. |
| Хеш файла | строка | Хеш-код файла. |
| ИдентификаторФайла | строка | Идентификатор, связанный с файлом, например inode. |
| ВремяИзмененияФайла | строка | Время последнего изменения файла. |
| Имя файла | строка | Имя файла без пути. |
| FilePath | строка | Полный путь к файлу, включая имя файла. Например: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip. |
| Разрешение на файл | строка | Разрешения файла. Например: "2,1,1". |
| Размер файла | INT | Размер файла в байтах. |
| Тип файла | строка | Тип файла, например канал связи, разъем и т. д. |
| FlexDate1 | строка | Поле временной метки, предназначенное для сопоставления временной метки, которая не относится ни к одному другому определенному полю временной метки в этом словаре. Используйте гибкие поля экономно и, по возможности, выбирайте более конкретные поля, предоставленные из словаря. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| FlexDate1Label | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| FlexNumber1 | INT | Числовые поля, доступные для сопоставления данных Int, которые не применяются к другому полю в этом словаре. |
| FlexNumber1Label | строка | Метка, описывающая значение в FlexNumber1 |
| FlexNumber2 | INT | Числовые поля, доступные для сопоставления данных Int, которые не применяются к другому полю в этом словаре. |
| FlexNumber2Label | строка | Метка, описывающая значение в FlexNumber2 |
| FlexString1 | строка | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| FlexString1Label | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| FlexString2 | строка | Один из четырех полей с плавающей запятой, доступных для сопоставления полей, которые не применяются к другим в этом словаре. Используйте экономно и, когда возможно, ищите более конкретную графу, предоставленную словарем. Эти поля обычно зарезервированы для использования клиентами и не должны устанавливаться поставщиками, если это не необходимо. |
| ФлексСтринг2Лейбл | строка | Поле метки представляет собой строку и описывает назначение поля flex. |
| Тип угрозы индикатора | строка | Тип угрозы вредоносного IP в соответствии с нашим источником информации TI. |
| _Платно | строка | Указывает, является ли загрузка данных платной. Если _IsBillable false, прием данных не учитывается в вашей учетной записи Azure. |
| LogSeverity | строка | Строка или целое число, описывающие важность события. Допустимые строковые значения: Неизвестно, Низкий, Средний, Высокий, Очень высокий. Допустимые целочисленные значения: 0-3 = Низкий, 4-6 = Средний, 7-8 = Высокий, 9-10 = Очень высокий. |
| вредоносный IP-адрес | строка | Если IP-адрес из сообщения совпадает с текущим источником потоковых данных TI, он будет отображаться здесь. |
| Страна вредоносного IP | строка | Страна вредоносного IP-адреса в соответствии с данными GEO во время приема записей. |
| Широта злонамеренного IP | реальный | Широта вредоносного IP в соответствии с данными GEO на момент обработки данных. |
| ДолготаВредоносногоIP | реальный | Долгота вредоносного IP-адреса согласно геоинформации в момент получения записи. |
| Сообщение | строка | Сообщение, содержащее дополнительные сведения о событии. |
| ВремяСозданияСтарогоФайла | строка | Время создания старого файла. |
| Хэш старого файла | строка | Хеш-код старого файла. |
| СтарыйИдентификаторФайла | строка | Идентификатор, связанный со старым файлом, например inode. |
| ВремяИзмененияСтарогоФайла | строка | Время последнего изменения старого файла. |
| СтароеИмяФайла | строка | Имя старого файла. |
| OldFilePath | строка | Полный путь к старому файлу, включая имя файла. Например: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe или /usr/bin/zip. |
| OldFilePermission | строка | Разрешения старого файла. Например: "2,1,1". |
| СтарыйРазмерФайла | INT | Размер старого файла в байтах. |
| СтарыйТипФайла | строка | Тип предыдущего файла, например канал, сокет и т. д. |
| OriginalLogSeverity | строка | Не сопоставленная версия LogSeverity. Например: предупреждение/критическое/информация вместо нормализированного низкого/среднего/высокого уровня в поле LogSeverity |
| Идентификатор процесса | INT | Определяет идентификатор процесса на устройстве, создающем событие. |
| Имя процесса | строка | Имя процесса, связанного с событием. Например, в UNIX процесс, создающий запись системного журнала. |
| Протокол | строка | Транспортный протокол, определяющий используемый протокол уровня 4. Возможные значения включают имена протоколов, такие как TCP или UDP. |
| Причина | строка | Причина создания события аудита. Например, "недопустимый пароль" или "неизвестный пользователь". Это также может быть ошибка или код возврата. Пример: "0x1234". |
| Время получения | строка | Время, когда было получено событие, связанное с деятельностью. Отличается от поля "Timegenerated", которое указывает время получения события на машине сбора журналов. |
| Полученные байты | длинный | Общее число байтов, переданных во входящем трафике. |
| Удаленный IP-адрес | строка | Удаленный IP-адрес, производный от значения направления события, если это возможно. |
| RemotePort | строка | Удаленный порт, производный от значения направления события, если это возможно. |
| ОтчетСсылкаНаИсточник | строка | Ссылка на отчет потока TI. |
| Запрос клиентского приложения | строка | Агент пользователя, связанный с запросом. |
| КонтекстЗапроса | строка | Описывает содержимое, от которого поступил запрос, например источник ссылки HTTP. |
| RequestCookies | строка | Файлы cookie, связанные с запросом. |
| requestMethod | строка | Метод, используемый для доступа к URL-адресу. Допустимые значения включают такие методы, как POST, GET и т. д. |
| RequestURL (РеквестЮРЛ) | строка | URL-адрес, к которому обращается HTTP-запрос, включая протокол. Например: http://www/secure.com. |
| _ResourceId (идентификатор ресурса) | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| Отправленные байты | длинный | Общее число байтов, переданных в исходящем трафике. |
| Упрощенное действие устройства | строка | Сопоставленная версия DeviceAction, например Отказано > Отклонить. |
| ИсходныйDnsДомейн | строка | Часть полного FQDN, относящаяся к домену DNS. |
| SourceHostName | строка | Определяет источник, к которому обращается событие, в IP-сети. Формат должен представлять собой полное доменное имя (FQDN), связанное с исходным узлом, если узел доступен. Например, хост или host.domain.com. |
| ИсточникIP-адрес | строка | Источник, к которому обращается событие в IP-сети, как адрес IPv4. |
| исходный MAC-адрес (SourceMACAddress) | строка | MAC-адрес источника. |
| SourceNTDomain | строка | Доменное имя Windows для адреса источника. |
| SourcePort | INT | Номер исходного порта. Допустимые номера портов : 0 – 65535. |
| Идентификатор исходного процесса | INT | Идентификатор исходного процесса, связанного с событием. |
| ИмяИсходногоПроцесса | строка | Имя исходного процесса события. |
| ИмяИсходногоСервиса | строка | Служба, отвечающая за создание события. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows прямое подключение или Operations Manager Linux для всех агентов Linux или Azure для Azure Diagnostics |
| ИсточникПереведённыйАдрес | строка | Определяет преобразованный источник, к которому обращается событие, в IP-сети. |
| SourceTranslatedPort | INT | Исходный порт после преобразования, например брандмауэр. Допустимые номера портов : 0 – 65535. |
| SourceUserID | строка | Определяет исходного пользователя по идентификатору. |
| SourceUserName | строка | Определяет исходного пользователя по имени. Адреса электронной почты также сопоставляются с полями UserName. Отправитель является кандидатом, который должен быть помещен в это поле. |
| ПривилегииИсходногоПользователя | строка | Привилегии исходного пользователя. Допустимые значения: администратор, пользователь, гость. |
| Время начала | дата и время | Время начала действия, о котором идёт речь в событии. |
| _ИдентификаторПодписки | строка | Уникальный идентификатор подписки, с которой связана запись |
| ИдентификаторАрендатора | строка | Идентификатор рабочей области Log Analytics |
| Уверенность в угрозе | строка | Уровень уверенности в отношении вредоносного IP согласно данным из нашего канала угрозы безопасности. |
| Описание угрозы | строка | Описание угрозы вредоносного IP в соответствии с нашими аналитическими данными TI. |
| Уровень угрозы | INT | Степень серьезности угрозы от вредоносного IP согласно нашему потоку данных о угрозах (TI) на момент обработки записей. |
| Время генерации | дата и время | Время фиксирования событий по UTC. |
| Тип | строка | Имя таблицы. |