Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel-Tabelle mit normalisierten Überwachungsereignissen Speichert Ereignisse, die dem Überwachungspfad von Informationssystemen zugeordnet sind, und protokolliert Systemkonfigurationsaktivitäten sowie Richtlinienänderungen. Solche Änderungen werden häufig von Systemadministrator*innen durchgeführt, können aber auch von Benutzer*innen vorgenommen werden, wenn sie die Einstellungen ihrer eigenen Anwendungen konfigurieren.
Tabellenattribute
| Attribut | Wert |
|---|---|
| Ressourcentypen | microsoft.securityinsights/auditeventnormalized |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| ActingAppId | Schnur | Die ID der Anwendung, die die gemeldete Aktivität initiiert hat, einschließlich eines Prozesses, Browsers oder Diensts. |
| ActingAppName | Schnur | Der Name der Anwendung, die die gemeldete Aktivität initiiert hat, einschließlich eines Diensts, einer URL oder einer SaaS-Anwendung. |
| ActingAppType | Schnur | Typ der agierenden Anwendung |
| ActingOriginalAppType | Schnur | Der handelnde Anwendungstyp, wie vom Berichterstellungsgerät gemeldet. |
| AkteurOriginalNutzertyp | Schnur | Der Benutzertyp, wie vom Gerät gemeldet. |
| Akteurumfang | Schnur | Der Bereich, z. B. der Azure AD-Tenant, in dem ActorUserId und ActorUsername definiert sind. |
| ActorScopeId | Schnur | Die Bereichs-ID, wie die Azure AD-Mandanten-ID, in der ActorUserId und ActorUsername definiert sind. |
| AkteurSitzungId | Schnur | Eindeutige ID der Anmeldesitzung des Akteurs |
| ActorUserAadId | Schnur | Die Azure Active Directory-ID des Akteurs. |
| ActorUserId | Schnur | Eine maschinenlesbare, alphanumerische, einzigartige Darstellung des Akteurs. |
| AkteurBenutzerIdTyp | Schnur | Der Typ der ID, die im Feld ActorUserId gespeichert ist. |
| ActorUsername | Schnur | Der Benutzername des Akteurs, einschließlich Domäneninformationen, wenn verfügbar. |
| AkteurBenutzernamenTyp | Schnur | Der Typ des im Feld "ActionUsername" angegebenen Benutzernamens des Akteurs |
| ActorUserSid | Schnur | Die Windows-Benutzer-ID (SIDs) des Akteurs. |
| Akteur-Nutzertyp | Schnur | Der Typ des Akteurs. |
| Zusätzliche Felder | dynamisch | Zusätzliche Informationen, dargestellt mithilfe von Schlüssel-Wert-Paaren, die von der Quelle bereitgestellt werden, die nicht ASim zugeordnet sind. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| DvcAction | Schnur | Bei der Meldung von Sicherheitssystemen: die vom System ergriffene Maßnahme. |
| DvcDescription | Schnur | Ein mit dem Gerät verknüpfter beschreibender Text. |
| DvcDomain | Schnur | Die Domäne des Geräts, das das Ereignis meldet. |
| DvcDomainType | Schnur | Der Typ von DvcDomain. |
| DvcFQDN | Schnur | Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
| DvcHostname | Schnur | Der Hostname des Geräts, das das Ereignis meldet. |
| DvcId | Schnur | Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
| DvcIdType | Schnur | Typ von DvcId |
| DvcInterface | Schnur | Die Netzwerkschnittstelle, über die Daten erfasst wurden. |
| DvcIpAddr | Schnur | Die IP-Adresse des Geräts, das das Ereignis meldet. |
| DvcMacAddr | Schnur | Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcOriginalAction | Schnur | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben |
| DvcOs | Schnur | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcOsVersion | Schnur | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
| DvcScope | Schnur | Der Cloudplattformbereich, zu dem das Gerät gehört. Der DvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| DvcScopeId | Schnur | Die Identifikationsnummer des Bereichs der Cloud-Plattform, zu dem das Gerät gehört. Die DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| DvcZone | Schnur | Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
| Ereignisanzahl | INT | Die Anzahl der Ereignisse, die durch die Aufzeichnung beschrieben werden. |
| EreignisEndzeit | Datum/Uhrzeit | Die Zeit (UTC), in der das Ereignis beendet wurde. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| Ereignisnachricht | Schnur | Eine allgemeine Nachricht oder Beschreibung. |
| EreignisOriginalErgebnisDetails | Schnur | Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. |
| EventOriginalSeverity | Schnur | Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. |
| EventOriginalSubType | Schnur | Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
| Ursprünglicher Ereignistyp | Schnur | Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
| EventOriginalUid | Schnur | Eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt |
| Veranstaltungsinhaber | Schnur | Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde |
| EventProduct | Schnur | Das Produkt, das das Ereignis erzeugt. |
| EventProductVersion | Schnur | Die Version des Produkts, das das Ereignis erzeugt. |
| Ereignisbericht-URL | Schnur | Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält. |
| Ereignisergebnis | Schnur | Das Ergebnis der Veranstaltung, dargestellt durch einen der folgenden Werte: Erfolg, Teilweise, Misserfolg, KA (Nicht zutreffend). Der Wert kann nicht direkt von den Quellen bereitgestellt werden, in diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld "EventResultDetails". |
| Ereignisergebnisdetails | Schnur | Grund oder Details für das im Feld EventResult gemeldete Ergebnis. |
| EventSchemaVersion | Schnur | Die Version des Schemas. |
| EventSeverity | Schnur | Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High. |
| Ereignisstartzeit | Datum/Uhrzeit | Die Zeit (UTC), in der das Ereignis gestartet wurde. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
| Ereignisuntertyp | Schnur | Beschreibt eine Untereinheit des Vorgangs, der im Feld EventType gemeldet wird. |
| Eventtyp | Schnur | Beschreibt den vom Datensatz gemeldeten Vorgang |
| EventVendor | Schnur | Der Hersteller des Produkts, das das Ereignis erzeugt. |
| HTTP-Benutzeragent | Schnur | Wenn die Authentifizierung über HTTP oder HTTPS erfolgt, entspricht der Wert dieses Felds dem HTTP-Header „user_agent“, der von der agierenden Anwendung beim Durchführen der Authentifizierung bereitgestellt wird. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Neuer Wert | Schnur | Der neue Wert des Objekts, nachdem der Vorgang ausgeführt wurde. |
| Objekt | Schnur | Der Name des Objekts, für das der durch EventType identifizierte Vorgang ausgeführt wird |
| Objekt-ID | Schnur | Der Name des Objekts, für das der durch EventType identifizierte Vorgang ausgeführt wird |
| Objekttyp | Schnur | Der Typ des Objekts. |
| OldValue | Schnur | Der alte Wert des Objekts vor dem Vorgang. |
| Vorgang | Schnur | Der überwachte Vorgang, wie vom Gerät gemeldet |
| UrsprünglicherObjekttyp | Schnur | Der Objekttyp, wie vom Berichterstellungsgerät gemeldet. |
| _ResourceId | Schnur | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| Name der Regel | Schnur | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| Regelnummer | INT | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
| SourceSystem | Schnur | Typ des Agents, von dem das Ereignis erfasst wurde Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcDescription | Schnur | Ein beschreibender Text, der dem Quellgerät zugeordnet ist. |
| SrcDeviceType | Schnur | Der Typ des Quellgeräts. |
| SrcDomain | Schnur | Die Domäne des Quellgeräts. |
| SrcDomainType | Schnur | Der Typ von SrcDomain. |
| SrcDvcId | Schnur | Die ID des Quellgeräts. |
| SrcDvcIdType | Schnur | Typ von SrcDvcId |
| SrcDvcScope | Schnur | Cloudplattformbereich, zu dem das Gerät gehört. Der SrcDvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcDvcScopeId | Schnur | Die Cloudplattform-Bereichs-ID, zu der das Quellgerät gehört. Die SrcDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| SrcFQDN | Schnur | Der Hostname des Quellgeräts ggf. mit Informationen zur Domäne. |
| SrcGeoStadt | Schnur | Die Stadt, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoCountry | Schnur | Das Land/die Region, das bzw. die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLatitude | Echt | Der Breitengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| SrcGeoLongitude | Echt | Der Längengrad der geografischen Koordinate, die der Quell-IP-Adresse zugeordnet ist. |
| QuelleGeoRegion | Schnur | Die Region innerhalb eines Landes, die der Quell-IP-Adresse zugeordnet ist. |
| SrcHostname | Schnur | Der Hostname des Quellgeräts ohne Domäneninformationen. |
| SrcIpAddr | Schnur | Die Quell-IP-Adresse, von der die Verbindung oder Sitzung stammt. |
| SrcUrsprünglichesRisikolevel | Schnur | Risikostufe der identifizierten Quelle, wie vom Gerät gemeldet |
| SrcPortNumber | INT | Der Quell-IP-Port, von dem die Verbindung stammt. |
| SrcRiskLevel | INT | Die Risikostufe, die der identifizierten Quelle zugeordnet ist. |
| _Abonnement-ID | Schnur | Eindeutiger Bezeichner des Abonnements, dem der Datensatz zugeordnet ist |
| ZielAppId | Schnur | Die ID der Anwendung, für die das Ereignis gilt. Dabei kann es sich um einen Prozess, einen Browser oder einen Dienst handeln. |
| TargetAppName | Schnur | Der Name der Anwendung, für die das Ereignis gilt. Dabei kann es sich um einen Dienst, eine URL oder eine SaaS-Anwendung handeln. |
| ZielAppTyp | Schnur | Der Typ der Anwendung, die im Auftrag des Akteurs Autorisierungen durchführt. |
| Zielbeschreibung | Schnur | Ein beschreibender Text, der dem Zielgerät zugeordnet ist. |
| Zielgerätetyp | Schnur | Der Typ des Zielgeräts. |
| TargetDomain | Schnur | Die Domäne des Zielgeräts. |
| ZielDomainTyp | Schnur | Der Typ von TargetDomain. |
| TargetDvcId | Schnur | Die ID des Zielgeräts |
| TargetDvcIdType | Schnur | Der Typ von TargetDvcId. |
| TargetDvcOs | Schnur | Das Betriebssystem des Zielgeräts. |
| TargetDvcScope | Schnur | Der Bereich der Cloudplattform, zu dem das Zielgerät gehört. Der TargetDvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| TargetDvcScopeId | Schnur | Die Cloudplattform-Bereichs-ID, zu der das Zielgerät gehört. Die TargetDvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
| TargetFQDN | Schnur | Der Hostname des Zielgeräts ggf. mit Informationen zur Domäne. |
| TargetGeoCity | Schnur | Die Stadt, die der Ziel-IP-Adresse zugeordnet ist. |
| TargetGeoCountry | Schnur | Das Land/die Region, das bzw. die der Ziel-IP-Adresse zugeordnet ist. |
| TargetGeoLatitude | Echt | Der Breitengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
| TargetGeoLongitude | Echt | Der Längengrad der geografischen Koordinate, die der Ziel-IP-Adresse zugeordnet ist. |
| TargetGeoRegion | Schnur | Die Region innerhalb eines Landes, die der Ziel-IP-Adresse zugeordnet ist. |
| Ziel-Hostname | Schnur | Der Hostname des Zielgeräts ohne Domäneninformationen. |
| Ziel-IP-Adresse | Schnur | Die Ziel-IP-Adresse, von der die Verbindung oder Sitzung stammt. |
| ZielursprünglicheAppArt | Schnur | Der Vom Berichterstellungsgerät gemeldete Zielanwendungstyp. |
| Zielursprungsrisikoniveau | Schnur | Die dem Ziel zugeordnete Risikostufe, wie vom Gerät gemeldet. |
| Zielportnummer | INT | Der Ziel-IP-Port, von dem die Verbindung stammt. |
| Zielrisikoniveau | INT | Die dem Ziel zugeordnete Risikostufe. |
| Ziel-URL | Schnur | Eine URL, die der Zielanwendung zugeordnet ist. |
| MieterId | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Bedrohungskategorie | Schnur | Die Kategorie der Bedrohung oder Schadsoftware, die in der Überwachungsaktivität identifiziert wurde. |
| ThreatConfidence | INT | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
| ThreatField | Schnur | Das Feld, für das eine Bedrohung identifiziert wurde. |
| ErstberichtszeitpunktDerBedrohung | Datum/Uhrzeit | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| Bedrohungs-ID | Schnur | Die ID der in der Überwachungsaktivität identifizierten Bedrohung oder Schadsoftware |
| Bedrohungs-IP-Adresse | Schnur | Eine IP-Adresse oder Domäne, für die eine Bedrohung identifiziert wurde. |
| ThreatIsActive | Boolesch | Wahr, wenn die identifizierte Bedrohung als aktive Bedrohung betrachtet wird. |
| Zeitpunkt der zuletzt gemeldeten Bedrohung | Datum/Uhrzeit | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
| Bedrohungsname | Schnur | Der Name der in der Überwachungsaktivität identifizierten Bedrohung oder Schadsoftware |
| ThreatOriginalConfidence | Schnur | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
| UrsprünglichesRisikoniveauDerBedrohung | Schnur | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
| Bedrohungsrisikoniveau | INT | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Der Zeitstempel (UTC), der die Uhrzeit widerspiegelt, in der das Ereignis generiert wurde. |
| Typ | Schnur | Der Name der Tabelle. |
| Werttyp | Schnur | Der Typ der alten und neuen Werte |