你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
高级安全信息模型 (ASIM) 文件事件规范化架构描述文件活动,例如创建、修改或删除文件或文档。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | microsoft.securityinsights/asimtables |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是 |
| 引入时转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| ActingProcessCommandLine | 字符串 | 用于运行操作进程的命令行。 |
| ActingProcessGuid | 字符串 | 操作进程的生成的唯一标识符 (GUID)。 |
| ActingProcessId | 字符串 | 操作进程的进程 ID (PID)。 |
| 行动过程名称 | 字符串 | 操作进程的名称。 |
| ActorOriginalUserType | 字符串 | 报告设备提供的原始参与者用户类型。 |
| ActorScope | 字符串 | 定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。 |
| ActorScopeId | 字符串 | ActorUserId 和 ActorUsername 的定义范围 ID(例如 Azure AD Directory ID)。 |
| ActorSessionId | 字符串 | 参与者的登录会话的唯一 ID。 |
| ActorUserAadId | 字符串 | 参与者的 Azure Active Directory ID。 |
| ActorUserId | 字符串 | 计算机可读的、包含字母和数字的唯一性表示形式,用于描述参与者。 |
| 演员用户ID类型 | 字符串 | ActorUserId 字段中存储的 ID 的类型。 |
| 演员用户名 | 字符串 | 参与者的用户名,包括域信息(如果可用)。 |
| 演员用户名类型 | 字符串 | 指定 ActorUsername 字段中存储的用户名的类型。 |
| ActorUserSid | 字符串 | 参与者的 Windows 用户 ID (SID)。 |
| 演员用户类型 | 字符串 | 参与者的类型。 |
| AdditionalFields | 动态的 | 其他信息,使用源提供的键/值对来表示,这些信息不映射到 ASim。 |
| _BilledSize(账单大小) | 实数 | 记录大小(字节) |
| DvcAction | 字符串 | 对 Web 会话执行的操作。 |
| DvcDescription | 字符串 | 与设备关联的描述性文本。 |
| DvcDomain | 字符串 | 设备报告事件所属的域 |
| DvcDomainType | 字符串 | DvcDomain 的类型。 有效值包括“Windows”和“FQDN”。 |
| DvcFQDN | 字符串 | 发生了事件或报告了事件的设备的主机名。 |
| DvcHostname | 字符串 | 报告事件的设备的主机名。 |
| “DvcId” | 字符串 | 发生了事件或报告了事件的设备的唯一 ID。 |
| DvcIdType | 字符串 | DvcId 的类型。 |
| DvcInterface | 字符串 | 报告设备提供的原始 DvcAction。 |
| DvcIpAddr | 字符串 | 报告事件的设备的 IP 地址。 |
| DvcMacAddr | 字符串 | 发生了事件或报告了事件的设备的 MAC 地址。 |
| DvcOriginalAction | 字符串 | 报告设备提供的原始 DvcAction。 |
| DvcOs | 字符串 | 发生了事件或报告了事件的设备上运行的操作系统。 |
| DvcOsVersion | 字符串 | 发生了事件或报告了事件的设备上的操作系统版本。 |
| DvcScope | 字符串 | 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅名称和 AWS 上的帐户 ID。 |
| DvcScopeId | 字符串 | 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcZone | 字符串 | 发生了事件或报告了事件的网络,具体取决于架构。 |
| EventCount | 整数 | 当源支持聚合且单个记录可以表示多个事件时,将使用此值。 |
| 事件结束时间 | 日期/时间 | 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventMessage | 字符串 | 常规消息或说明。 |
| 事件原始结果详情 | 字符串 | 源提供的原始结果详细信息。 此值用来生成 EventResultDetails,其中每个模式应仅包含其文档中记录的一个值。 |
| EventOriginalSeverity | 字符串 | 由报告设备提供的原始严重性。 此值用于派生 EventSeverity。 |
| EventOriginalSubType | 字符串 | 原始事件子类型或 ID(如果已由源提供)。 例如,此字段用于存储原始 Windows 登录类型。 此值用于派生 EventSubType,其中应只包含针对每个架构记录的一个值。 |
| 事件原始类型 | 字符串 | 原始事件类型或 ID(如果已由源提供)。 |
| EventOriginalUid | 字符串 | 原始记录的唯一 ID(如果已由源提供)。 |
| 活动主办方 | 字符串 | 事件的所有者,通常是生成事件的部门或子公司。 |
| EventProduct | 字符串 | 生成事件的产品。 |
| EventProductVersion | 字符串 | 生成事件的产品的版本。 |
| 事件报告网址 | 字符串 | 在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
| EventResult | 字符串 | 事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
| 事件结果详情 | 字符串 | HTTP 状态代码。 |
| 事件架构 | 字符串 | 事件规范化到的架构。 每个架构会记录其架构名称。 |
| EventSchemaVersion | 字符串 | 架构的版本。 |
| EventSeverity | 字符串 | 事件的严重性。 有效值为:Informational、Low、Medium 或 High。 |
| 事件开始时间 | 日期/时间 | 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| 事件子类型 | 字符串 | 事件类型的附加说明(如果适用)。 |
| 事件类型 | 字符串 | 由记录报告的操作。 |
| EventVendor | 字符串 | 生成事件的产品的供应商。 |
| 哈希类型 | 字符串 | “哈希别名”字段中存储的哈希类型。 |
| HTTP用户代理 | 字符串 | 使用 HTTP 或 HTTPS 启动操作时的 HTTP 用户代理标头。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 网络应用协议 | 字符串 | 当远程系统启动操作时,连接或会话使用的应用程序层协议。 |
| _资源ID | 字符串 | 与记录关联的资源的唯一标识符 |
| 规则名称 | 字符串 | 与检查结果关联的规则的名称或 ID。 |
| RuleNumber | 整数 | 与检查结果关联的规则的数量。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| SrcDescription | 字符串 | 与设备关联的描述性文本。 |
| SrcDeviceType | 字符串 | 源设备的类型。 |
| SrcDomain | 字符串 | 源设备的域。 |
| SrcDomainType | 字符串 | SrcDomain 的类型。 |
| SrcDvcId | 字符串 | 源设备的 ID。 |
| SrcDvcIdType | 字符串 | SrcDvcId 的类型。 |
| SrcDvcScope | 字符串 | 设备所属的云平台范围。 |
| SrcDvcScopeId | 字符串 | 设备所属的云平台范围 ID。 |
| SrcFileCreationTime | 日期/时间 | 创建源文件的时间。 |
| SrcFileDirectory | 字符串 | 源文件所在的文件夹或位置。 |
| SrcFileExtension | 字符串 | 源文件扩展名。 |
| SrcFileMD5 | 字符串 | 源文件的 MD5 哈希。 |
| SrcFileMimeType | 字符串 | 源文件的MIME类型或媒体格式。 |
| SrcFileName | 字符串 | 源文件的名称,不带路径或位置,但带有扩展名(如果相关)。 |
| SrcFilePath | 字符串 | 源文件的完整规范化路径,包括文件夹或位置、文件名和扩展名。 |
| SrcFilePathType | 字符串 | SrcFilePath 的类型。 |
| SrcFileSHA1 | 字符串 | 源文件的 SHA-1 哈希。 |
| SrcFileSHA256 | 字符串 | 源文件的 SHA-256 哈希。 |
| SrcFileSHA512 | 字符串 | 源文件的 SHA-512 哈希。 |
| SrcFileSize | 长整型 | 源文件的大小,以字节为单位。 |
| SrcFQDN | 字符串 | 源设备主机名,包括域信息(如果可用)。 |
| SrcGeoCity | 字符串 | 与源 IP 地址关联的城市。 |
| SrcGeoCountry | 字符串 | 与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude | 实数 | 与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude | 实数 | 与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion | 字符串 | 与源 IP 地址关联的国家/地区中的区域。 |
| SrcHostname | 字符串 | 源设备主机名,不包括域信息。 如果没有可用的设备名称,请在此字段中存储相关的 IP 地址。 |
| SrcIpAddr | 字符串 | 当远程系统启动操作时此系统的 IP 地址。 |
| SrcMacAddr | 字符串 | 源设备的 MAC 地址。 |
| SrcOriginalRiskLevel | 字符串 | 与源关联的风险级别。 由报告设备报告,或扩充的数据。 |
| SrcPortNumber | 整数 | 当远程系统启动操作时,从中启动连接的端口号。 |
| Src风险等级 | 整数 | 与源关联的风险级别。 |
| _SubscriptionId(订阅编号) | 字符串 | 与记录关联的订阅的唯一标识符 |
| 目标应用程序ID | 字符串 | 目标应用程序的 ID,由报告设备报告。 |
| TargetAppName | 字符串 | 目标应用程序的名称。 |
| 目标应用类型 | 字符串 | 目标应用程序的类型。 |
| TargetFileCreationTime | 日期/时间 | 创建目标文件的时间。 |
| 目标文件目录 | 字符串 | 目标文件所在的文件夹或位置。 |
| TargetFileExtension | 字符串 | 目标文件扩展名。 |
| TargetFileMD5 | 字符串 | 目标文件的 MD5 哈希。 |
| 目标文件MIME类型 | 字符串 | 目标文件的 MIME 类型或媒体类型。 |
| 目标文件名称 | 字符串 | 目标文件的名称,不带路径或位置,但带有扩展名(如果相关)。 |
| 目标文件路径 | 字符串 | 目标文件的完整规范化路径,包括文件夹或位置、文件名和扩展名。 |
| 目标文件路径类型 | 字符串 | TargetFilePath 的类型。 |
| TargetFileSHA1 | 字符串 | 目标文件的 SHA-1 哈希。 |
| TargetFileSHA256 | 字符串 | 目标文件的 SHA-256 哈希。 |
| TargetFileSHA512 | 字符串 | 源文件的 SHA-512 哈希。 |
| 目标文件大小 | 长整型 | 目标文件的大小,以字节为单位。 |
| 目标原始应用类型 | 字符串 | 报告设备报告的目标应用程序类型。 |
| 目标URL | 字符串 | 通过 HTTP 或 HTTPS 启动操作时使用的 URL。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| 威胁类别 | 字符串 | 在文件活动中识别到的威胁或恶意软件的类别。 |
| ThreatConfidence | 整数 | 已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| ThreatField | 字符串 | 已识别出威胁的字段。 该值为 SrcFilePath 或 DstFilePath。 |
| ThreatFilePath | 字符串 | 已识别出威胁的文件路径。 字段 ThreatField 包含 ThreatFilePath 表示的字段的名称。 |
| ThreatFirstReportedTime | 日期/时间 | IP 地址或域首次被识别为威胁的时间。 |
| 威胁编号 (ThreatId) | 字符串 | 在文件活动中识别到的威胁或恶意软件的 ID。 |
| 威胁处于活跃状态 | 布尔 | True ID 已识别威胁被视为活动威胁。 |
| ThreatLastReportedTime | 日期/时间 | 上次将 IP 地址或域识别为威胁的时间。 |
| 威胁名称 | 字符串 | 在文件活动中识别到的威胁或恶意软件的名称。 |
| ThreatOriginalConfidence | 字符串 | 报告设备报告的已识别威胁的原始可信度。 |
| ThreatOriginalRiskLevel | 字符串 | 报告设备报告的风险级别。 |
| 威胁风险等级 | 整数 | 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 |
| TimeGenerated | 日期/时间 | 时间戳反映生成事件的时间。 |
| 类型 | 字符串 | 表的名称 |