Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das ASIM-Dateiereignisnormalisierungsschema (Advanced Security Information Model) beschreibt Dateiaktivitäten wie das Erstellen, Ändern oder Löschen von Dateien oder Dokumenten.
Tabellenattribute
| Attribut | Wert |
|---|---|
| Ressourcentypen | microsoft.securityinsights/asimtables |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| ActingProcessCommandLine | Zeichenfolge | Die Befehlszeile, die verwendet wird, um den auszuführenden Prozess zu starten. |
| ActingProcessGuid | Zeichenfolge | Ein generierter eindeutiger Bezeichner (GUID) des agierenden Prozesses. |
| Handlungsprozess-ID | Zeichenfolge | Die Prozess-ID (PID) des handelnden Prozesses. |
| Handlungsprozessname | Zeichenfolge | Der Name des handelnden Prozesses. |
| AkteurOriginalBenutzertyp | Zeichenfolge | Der ursprüngliche Akteurbenutzertyp, wie vom Berichterstellungsgerät bereitgestellt. |
| Akteurumfang | Zeichenfolge | Der Bereich, z. B. der Azure AD-Mandant, in dem ActorUserId und ActorUsername definiert sind. |
| ActorScopeId | Zeichenfolge | Die Bereichs-ID, z. B. die Azure AD-ID, in der ActorUserId und ActorUsername definiert sind. |
| AkteurSitzungId | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Akteurs. |
| ActorUserAadId | Zeichenfolge | Die Azure Active Directory-ID des Akteurs. |
| ActorUserId | Zeichenfolge | Eine maschinenlesbare, alphanumerische, einzigartige Darstellung des Akteurs. |
| AkteurBenutzerIdTyp | Zeichenfolge | Der Typ der ID, die im Feld ActorUserId gespeichert ist. |
| ActorUsername | Zeichenfolge | Der Benutzername des Akteurs ggf. mit Informationen zur Domäne. |
| AkteurBenutzernameTyp | Zeichenfolge | Gibt den Typ des Benutzernamens an, der im Feld ActorUsername gespeichert ist. |
| ActorUserSid | Zeichenfolge | Die Windows-Benutzer-ID (SIDs) des Akteurs. |
| AkteurBenutzertyp | Zeichenfolge | Der Typ des Akteurs. |
| Zusätzliche Felder | dynamisch | Zusätzliche Informationen, dargestellt mithilfe von Schlüssel-Wert-Paaren, die von der Quelle bereitgestellt werden, die nicht ASim zugeordnet sind. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| DvcAction | Zeichenfolge | Die Aktion, die in der Websitzung ausgeführt wurde. |
| DvcDescription | Zeichenfolge | Ein mit dem Gerät verknüpfter beschreibender Text. |
| DvcDomain | Zeichenfolge | Die Domäne des Geräts, das das Ereignis meldet. |
| DvcDomainType | Zeichenfolge | Der Typ von DvcDomain. Gültige Werte sind "Windows" und "FQDN". |
| DvcFQDN | Zeichenfolge | Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
| DvcHostname | Zeichenfolge | Der Hostname des Geräts, das das Ereignis meldet. |
| DvcId | Zeichenfolge | Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
| DvcIdType | Zeichenfolge | Der Typ von DvcId. |
| DvcInterface | Zeichenfolge | Die ursprüngliche Geräteaktion (DvcAction), wie vom meldenden Gerät angegeben. |
| DvcIpAddr | Zeichenfolge | Die IP-Adresse des Geräts, das das Ereignis meldet. |
| DvcMacAddr | Zeichenfolge | Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcOriginalAction | Zeichenfolge | Die ursprüngliche Geräteaktion (DvcAction), wie vom meldenden Gerät angegeben. |
| DvcOs | Zeichenfolge | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcOsVersion | Zeichenfolge | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. Der DvcScope wird einem Abonnementnamen in Azure und einer Konto-ID in AWS zugeordnet. |
| DvcScopeId | Zeichenfolge | Die ID des Cloud Plattform Bereichs, zu dem das Gerät gehört. „DvcScopeId“ wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| DvcZone | Zeichenfolge | Je nach Schema ist dies das Netzwerk, in dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| Ereignisanzahl | Ganzzahl | Dieser Wert wird verwendet, wenn die Quelle Aggregation unterstützt. Ein einzelner Datensatz kann mehrere Ereignisse darstellen. |
| Endzeit der Veranstaltung | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| Ereignisnachricht | Zeichenfolge | Eine allgemeine Nachricht oder Beschreibung. |
| DetailsZumUrsprünglichenErgebnisDesEreignisses | Zeichenfolge | Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. Dieser Wert wird verwendet, um das Feld EventResultDetails abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte. |
| EventOriginalSeverity | Zeichenfolge | Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. Dieser Wert wird zum Ableiten von EventSeverity verwendet. |
| EventOriginalSubType | Zeichenfolge | Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. Dieses Feld wird beispielsweise verwendet, um den ursprünglichen Windows-Anmeldetyp zu speichern. Dieser Wert wird verwendet, um das Feld EventSubType abzuleiten, das nur einen der für jedes Schema dokumentierten Werte enthalten sollte. |
| Ursprünglicher Ereignistyp | Zeichenfolge | Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
| EventOriginalUid | Zeichenfolge | Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt. |
| Veranstaltungsinhaber | Zeichenfolge | Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde |
| EventProduct | Zeichenfolge | Das Produkt, das das Ereignis erzeugt. |
| EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
| EreignisberichtURL | Zeichenfolge | Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält. |
| Ereignisergebnis | Zeichenfolge | Das Ergebnis der Veranstaltung, dargestellt durch einen der folgenden Werte: Erfolg, Teilweise, Misserfolg, Nicht Anwendbar (NA). Der Wert kann nicht direkt von den Quellen bereitgestellt werden, in diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld "EventResultDetails". |
| Ereignisergebnisdetails | Zeichenfolge | Der HTTP-Statuscode. |
| Ereignisschema | Zeichenfolge | Das Schema, in das das Ereignis normalisiert wird. Jedes Schema dokumentiert seinen Schemanamen. |
| EventSchemaVersion | Zeichenfolge | Die Version des Schemas. |
| EventSeverity | Zeichenfolge | Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High. |
| EreignisStartZeit | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| Ereignisuntertyp | Zeichenfolge | Zusätzliche Beschreibung des Ereignistyps, falls zutreffend. |
| Ereignistyp | Zeichenfolge | Der vom Datensatz gemeldete Vorgang. |
| EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. |
| Hash-Typ | Zeichenfolge | Der Hashtyp, der im Feld "Hash-Alias" gespeichert ist. |
| HTTP-Benutzeragent | Zeichenfolge | Wenn der Vorgang über HTTP oder HTTPS initiiert wird, ist dies der HTTP-Benutzer-Agent-Header. |
| _IstAbrechnungsfähig | Zeichenfolge | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Netzwerk-Anwendungsprotokoll | Zeichenfolge | Wenn der Vorgang von einem Remotesystem initiiert wird, wird das von der Verbindung oder Sitzung verwendete Anwendungsschichtprotokoll verwendet. |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| Regelname | Zeichenfolge | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| RegelNummer | Ganzzahl | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| SourceSystem | Zeichenfolge | Der Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcDescription | Zeichenfolge | Ein mit dem Gerät verknüpfter beschreibender Text. |
| SrcDeviceType | Zeichenfolge | Der Typ des Quellgeräts. |
| SrcDomain | Zeichenfolge | Die Domäne des Quellgeräts. |
| SrcDomainType | Zeichenfolge | Der Typ von SrcDomain. |
| SrcDvcId | Zeichenfolge | Die ID des Quellgeräts. |
| SrcDvcIdType | Zeichenfolge | Typ von SrcDvcId |
| SrcDvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. |
| SrcDvcScopeId | Zeichenfolge | Die ID des Cloud Plattform Bereichs, zu dem das Gerät gehört. |
| SrcFileCreationTime | Datum/Uhrzeit | Der Zeitpunkt, zu dem die Quelldatei erstellt wurde. |
| SrcFileDirectory | Zeichenfolge | Der Quelldateiordner oder -speicherort. |
| SrcFileExtension | Zeichenfolge | Die Quelldateierweiterung. |
| SrcFileMD5 | Zeichenfolge | Der MD5-Hash der Quelldatei. |
| SrcFileMimeType | Zeichenfolge | Der MIME- oder Medientyp der Quelldatei. |
| SrcFileName | Zeichenfolge | Der Name der Quelldatei, ohne Pfad oder Speicherort, aber ggf. mit einer Erweiterung. |
| SrcFilePath | Zeichenfolge | Der vollständige normalisierte Pfad der Quelldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. |
| SrcFilePathType | Zeichenfolge | Der SrcFilePath-Typ. |
| SrcFileSHA1 | Zeichenfolge | Der SHA-1-Hash der Quelldatei. |
| SrcFileSHA256 | Zeichenfolge | Der SHA-256-Hash der Quelldatei. |
| SrcFileSHA512 | Zeichenfolge | Der SHA-512-Hash der Quelldatei. |
| SrcFileSize | long | Die Größe der Quelldatei in Byte. |
| SrcFQDN | Zeichenfolge | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. |
| SrcGeoStadt | Zeichenfolge | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoCountry | Zeichenfolge | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLatitude | Echt | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLongitude | Echt | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| QuelleGeoRegion | Zeichenfolge | Die Region innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
| SrcHostname | Zeichenfolge | Der Hostname des Quellgeräts ohne Domäneninformationen. Wenn kein Gerätename verfügbar ist, speichern Sie die entsprechende IP-Adresse in diesem Feld. |
| SrcIpAddr | Zeichenfolge | Die IP-Adresse dieses Systems, wenn der Vorgang von einem Remotesystem initiiert wird. |
| SrcMacAddr | Zeichenfolge | Die MAC-Adresse des Quellgeräts. |
| SrcUrsprünglichesRisikolevel | Zeichenfolge | Die der Quelle zugeordnete Risikostufe. Wie vom meldenden Gerät gemeldet oder angereichert. |
| SrcPortNumber | Ganzzahl | Wenn der Vorgang ausgehend von einem Remotesystem initiiert wird, die Portnummer, von der aus die Verbindung initiiert wurde. |
| SrcRiskLevel | Ganzzahl | Die der Quelle zugeordnete Risikostufe. |
| _Abonnement-ID | Zeichenfolge | Eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist |
| ZielAppId | Zeichenfolge | Die ID der Zielanwendung, wie vom meldenden Gerät angegeben. |
| TargetAppName | Zeichenfolge | Der Name der Zielanwendung. |
| ZielAppTyp | Zeichenfolge | Der Typ der Zielanwendung. |
| TargetFileCreationTime | Datum/Uhrzeit | Der Zeitpunkt, zu dem die Zieldatei erstellt wurde. |
| TargetFileDirectory | Zeichenfolge | Der Zieldateiordner oder -speicherort. |
| TargetFileExtension | Zeichenfolge | Die Zieldateierweiterung |
| TargetFileMD5 | Zeichenfolge | Der MD5-Hash der Zieldatei. |
| Zieldatei-MIME-Typ | Zeichenfolge | Der MIME- oder Medientyp der Zieldatei. |
| TargetFileName | Zeichenfolge | Der Name der Zieldatei, ohne Pfad oder Speicherort, aber ggf. mit einer Erweiterung. |
| Zieldateipfad | Zeichenfolge | Der vollständige normalisierte Pfad der Zieldatei, einschließlich des Ordners oder Speicherorts, des Dateinamens und der Erweiterung. |
| ZielDateiPfadTyp | Zeichenfolge | Der Typ von TargetFilePath. |
| TargetFileSHA1 | Zeichenfolge | Der SHA-1-Hash der Zieldatei. |
| TargetFileSHA256 | Zeichenfolge | Der SHA-256-Hash der Zieldatei. |
| TargetFileSHA512 | Zeichenfolge | Der SHA-512-Hash der Quelldatei. |
| Zieldateigröße | long | Die Größe der Zieldatei in Byte. |
| ZielursprünglicheAppArt | Zeichenfolge | Der Vom Berichterstellungsgerät gemeldete Zielanwendungstyp. |
| Ziel-URL | Zeichenfolge | Wenn der Vorgang über HTTP oder HTTPS initiiert wird, wird die URL verwendet. |
| Mieter-ID | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
| Bedrohungskategorie | Zeichenfolge | Die Kategorie der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. |
| ThreatConfidence | Ganzzahl | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatField | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. Der Wert ist entweder SrcFilePath oder DstFilePath. |
| ThreatFilePath | Zeichenfolge | Ein Dateipfad, für den eine Bedrohung identifiziert wurde. Das Feld ThreatField enthält den Namen des Felds, das von ThreatFilePath dargestellt wird. |
| ErstberichtszeitpunktDerBedrohung | Datum/Uhrzeit | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| Bedrohungs-ID | Zeichenfolge | Die ID der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. |
| ThreatIsActive | Boolesch | True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet. |
| Zeitpunkt der zuletzt gemeldeten Bedrohung | Datum/Uhrzeit | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| Bedrohungsname | Zeichenfolge | Der Name der in der Dateiaktivität identifizierten Bedrohung oder Schadsoftware. |
| ThreatOriginalConfidence | Zeichenfolge | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
| UrsprünglichesRisikoniveauDerBedrohung | Zeichenfolge | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
| Bedrohungsrisikostufe | Ganzzahl | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Der Zeitstempel, der die Uhrzeit widerspiegelt, in der das Ereignis generiert wurde. |
| Typ | Zeichenfolge | Der Name der Tabelle. |