Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица событий аудита в Microsoft Sentinel нормализована. Хранит события, связанные с отслеживанием аудита информационных систем, а также ведет журналы активности конфигурации системы и изменений политики. Такие изменения часто выполняются системными администраторами, но также могут выполняться пользователями при настройке параметров собственных приложений.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/auditeventnormalized |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Преобразование момента загрузки | Да |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| ActingAppId | строка | Идентификатор приложения, инициирующего действие, включая процесс, браузер или службу. |
| ActingAppName | строка | Имя приложения, которое инициировало действие, включая службу, URL-адрес или приложение SaaS. |
| Тип действующего приложения | строка | Тип действующего приложения. |
| ТипОригинальногоПриложения | строка | Тип приложения, действующий согласно отчётному устройству. |
| ТипИсходногоПользователяАктера | строка | Тип пользователя, сообщаемый устройством отчетов. |
| ActorScope | строка | Область, например клиент Azure AD, в которой определены ActorUserId и ActorUsername. |
| ActorScopeId | строка | Идентификатор области, например идентификатор клиента Azure AD, в котором определены ActorUserId и ActorUsername. |
| ИдентификаторСессииАктера | строка | Уникальный идентификатор сеанса входа для Актора. |
| ActorUserAadId | строка | Идентификатор участника Azure Active Directory. |
| ActorUserId | строка | Машиночитаемое, буквенно-цифровое, уникальное представление участника. |
| ТипИдентификатораПользователяАктера | строка | Тип идентификатора, который хранится в поле ActorUserId. |
| ИмяПользователяАктера | строка | Имя пользователя актера, включая сведения о домене при наличии. |
| ТипИмениПользователяАктера | строка | Тип имени пользователя актора, заданного в поле ActionUsername |
| ActorUserSid | строка | Идентификатор пользователя Windows (SID) актора. |
| ТипПользователяАктера | строка | Тип Актёра. |
| ДополнительныеПоля | динамичный | Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставляемых источником, которые не соответствуют ASim. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| DvcAction | строка | Для отчетности по системам безопасности действия, предпринятые системой. |
| DvcОписание | строка | Текст описания, связанный с устройством. |
| DvcDomain | строка | Домен устройства, сообщающего о событии. |
| DvcDomainType | строка | Тип DvcDomain. |
| DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcИмяХоста | строка | Имя узла устройства, сообщающее о событии. |
| DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType | строка | Тип DvcId. |
| DvcInterface | строка | Сетевой интерфейс, на котором были зафиксированы данные. |
| DvcIpAddr | строка | IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr | строка | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. |
| DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs | строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcOsVersion | строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcScope | строка | Область облачной платформы, к которой принадлежит устройство. DvcScope сопоставляет с идентификатором подписки в Azure и с идентификатором учетной записи в AWS. |
| DvcScopeId | строка | Идентификатор области облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone | строка | Сеть, в которой произошло событие или которое сообщило о событии. |
| КоличествоСобытий | INT | Количество событий, описываемых записью. |
| ВремяОкончанияСобытия | дата и время | Время (UTC), в котором закончилось событие. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| Сообщение о событии | строка | Общее сообщение или описание. |
| Детали Оригинального Результата События | строка | Исходные сведения о результатах, предоставленные источником. |
| EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная устройством учета. |
| ТипИсходногоСобытия | строка | Исходный идентификатор или подтип события, если предоставлен источником. |
| ТипИсходногоСобытия | строка | Исходный идентификатор или тип события, если он указан источником. |
| СобытиеOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
| Владелец мероприятия | строка | Владелец события, который обычно является отделом или дочерней компанией, в котором оно было создано. |
| EventProduct | строка | Продукт, создающий событие. |
| Версия продукта мероприятия | строка | Версия продукта, создающего событие. |
| URL отчета о событии | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| РезультатСобытия | строка | Результат события, представленный одним из следующих значений: Успешно, Частично, Неудача, Н/Д (Не применимо). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| Подробности результата события | строка | Причина или подробные сведения для результата, полученного в поле EventResult. |
| EventSchemaVersion | строка | Версия схемы. |
| EventSeverity | строка | Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий". |
| ВремяНачалаМероприятия | дата и время | Время (UTC), в котором началось событие. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| ПодтипСобытия | строка | Описывает подразделение операции, записанной в поле EventType. |
| Тип события | строка | Описание операции, сообщаемой записью |
| EventVendor | строка | Поставщик продукта, создающего событие. |
| HttpUserAgent (Идентификатор пользователя HTTP) | строка | Если проверка подлинности выполняется по протоколу HTTP или HTTPS, значение этого поля содержит заголовок HTTP user_agent, предоставленный действующим приложением при выполнении проверки подлинности. |
| _ПодлежитУчету | строка | Указывает, является ли прием данных платной услугой. Если _IsBillable false, плата за использование не взимается с вашей учетной записи Azure. |
| НовоеЗначение | строка | Новое значение Object после выполнения операции. |
| Объект | строка | Имя объекта, на котором выполняется операция, определяемая eventType. |
| ObjectId (идентификатор объекта) | строка | Имя объекта, на котором выполняется операция, определяемая eventType. |
| ТипОбъекта | строка | Тип объекта. |
| Старое значение | строка | Старое значение Объекта до операции. |
| Операция | строка | Операция, о которой сообщается устройством отчетности. |
| ИсходныйТипОбъекта | строка | Тип объекта, как сообщено устройством сбора данных. |
| _ResourceId (идентификатор ресурса) | строка | Уникальный идентификатор ресурса, с которым связана запись. |
| Название правила | строка | Имя или идентификатор правила, связанного с результатами проверки. |
| НомерПравила | INT | Число правил, связанных с результатами проверки. |
| SourceSystem | строка | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux или Azure для Azure Diagnostics |
| SrcDescription | строка | Описательный текст, связанный с исходным устройством. |
| ТипИсходногоУстройства | строка | Тип исходного устройства. |
| SrcDomain | строка | Домен исходного устройства. |
| ТипИсходногоДоменана | строка | Тип SrcDomain. |
| SrcDvcId | строка | Идентификатор исходного устройства. |
| SrcDvcIdType | строка | Тип SrcDvcId. |
| SrcDvcScope | строка | Область облачной платформы, к которой принадлежит исходное устройство. SrcDvcScope сопоставляется с идентификатором подписки в Azure и с идентификатором учетной записи в AWS. |
| SrcDvcScopeId | строка | Идентификатор области облачной платформы, к которому принадлежит исходное устройство. SrcDvcScopeId соответствует идентификатору подписки в Azure и идентификатору учетной записи в AWS. |
| SrcFQDN | строка | Имя узла исходного устройства, включая сведения о домене, если они доступны. |
| SrcGeoCity | строка | Город, связанный с исходным IP-адресом. |
| Страна происхождения (SrcGeoCountry) | строка | Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude | реальный | Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude (источник географической долготы) | реальный | Географическая долгота, связанная с исходным IP-адресом. |
| ИсточникГеоРегион | строка | Регион в стране, связанный с исходным IP-адресом. |
| SrcHostname | строка | Имя узла исходного устройства, исключая сведения о домене. |
| SrcIpAddr | строка | Исходный IP-адрес, из которого возникло подключение или сеанс. |
| УровеньИсходногоРиска | строка | Уровень риска, ассоциированный с указанным источником, как докладывает устройство. |
| Номер исходного порта | INT | Исходный IP-порт, из которого возникло подключение. |
| Уровень риска | INT | Уровень риска, связанный с определенным источником. |
| _SubscriptionId (идентификатор подписки) | строка | Уникальный идентификатор подписки, с которой связана запись |
| ИдентификаторЦелевогоПриложения | строка | Идентификатор приложения, к которому применяется событие, включая процесс, браузер или службу. |
| TargetAppName | строка | Имя приложения, к которому применяется событие, включая службу, URL-адрес или приложение SaaS. |
| ТипЦелевогоПриложения | строка | Тип приложения, которое выполняет авторизацию от имени актера (Actor). |
| ОписаниеЦели | строка | Описательный текст, связанный с целевым устройством. |
| ТипЦелевогоУстройства | строка | Тип целевого устройства. |
| ЦелевойДомен | строка | Домен целевого устройства. |
| ТипЦелиДомена | строка | Тип TargetDomain. |
| TargetDvcId | строка | Идентификатор целевого устройства. |
| TargetDvcIdType | строка | Тип TargetDvcId. |
| TargetDvcOs | строка | ОС целевого устройства. |
| TargetDvcScope | строка | Область облачной платформы, к которой принадлежит целевое устройство. TargetDvcScope сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| TargetDvcScopeId | строка | Идентификатор области облачной платформы, к которому принадлежит целевое устройство. TargetDvcScopeId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| TargetFQDN | строка | Имя узла целевого устройства, включая сведения о домене, если они доступны. |
| TargetGeoCity | строка | Город, связанный с целевым IP-адресом. |
| ЦелеваяГеоСтрана | строка | Страна, связанная с целевым IP-адресом. |
| Целевая географическая широта | реальный | Широта географической координаты, связанной с целевым IP-адресом. |
| TargetGeoLongitude | реальный | Долгота географической координаты, связанной с целевым IP-адресом. |
| TargetGeoRegion | строка | Регион в пределах страны, связанной с целевым IP-адресом. |
| Целевое имя хоста | строка | Имя узла исходного устройства, за исключением сведений о домене. |
| Целевой IP-адрес | строка | Целевой IP-адрес, из которого возникло подключение или сеанс. |
| ТипИсходногоПриложенияЦели | строка | Тип целевого приложения, сообщаемый устройством, предоставляющим отчеты. |
| Целевой исходный уровень риска | строка | Уровень риска, связанный с целевым объектом, о чем сообщается по данным устройства отчетности. |
| ЦелевойНомерПорта | INT | Целевой IP-порт, из которого возникло подключение. |
| ЦелевойУровеньРиска | INT | Уровень риска, связанный с целевым объектом. |
| TargetUrl | строка | URL-адрес, связанный с целевым приложением. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| Категория угроз | строка | Категория угроз или вредоносных программ, определенных в действии аудита. |
| Уверенность в угрозе | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| Поле угроз | строка | Поле, для которого была обнаружена угроза. |
| ВремяПервогоСообщенияОУгрозе | дата и время | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| Идентификатор угрозы | строка | Идентификатор угрозы или вредоносных программ, определенных в действии аудита. |
| УгрозаIPАдрес | строка | IP-адрес или домен, для которого была определена угроза. |
| УгрозаАктивна | булевая переменная (bool) | Значение true, если обнаруженная угроза считается активной. |
| ВремяПоследнегоОтчетаОбУгрозе | дата и время | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| Название угрозы | строка | Имя угрозы или вредоносных программ, определенных в действии аудита. |
| УгрозаОригинальнаяУверенность | строка | Исходный уровень достоверности для обнаруженной угрозы, сообщённый устройством, сообщившим о ней. |
| УровеньИсходногоРискаУгрозы | строка | Уровень риска, сообщаемый устройством, передающим отчеты. |
| УровеньРискаУгрозы | INT | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. |
| Время генерации | дата и время | Метка времени (UTC), отражающая время создания события. |
| Тип | строка | Имя таблицы. |
| ТипЗначения | строка | Тип старых и новых значений. |