CommonSecurityLog
Questa tabella è destinata alla raccolta di eventi in Common Event Format, che vengono spesso inviati da appliance di sicurezza diverse, ad esempio Check Point, Palo Alto e altro ancora.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorie | Sicurezza |
| Soluzioni | Sicurezza, SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | Sì |
Colonne
| Column | Type | Descrizione |
|---|---|---|
| Attività | string | Stringa che rappresenta una descrizione leggibile e comprensibile dell'evento. |
| AdditionalExtensions | string | Segnaposto per campi aggiuntivi. I campi vengono registrati come coppie chiave-valore. |
| ApplicationProtocol | string | Protocollo usato nell'applicazione, ad esempio HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS e così via. |
| _BilledSize | real | Dimensioni del record in byte |
| CollectorHostName | string | Nome host del computer dell'agente di raccolta che esegue l'agente. |
| CommunicationDirection | string | Qualsiasi informazione sulla direzione in cui è stata presa la comunicazione osservata. Valori validi: 0 = In ingresso, 1 = In uscita. |
| Computer | string | Host, da Syslog. |
| DestinationDnsDomain | string | Parte DNS del nome di dominio completo (FQDN). |
| DestinationHostName | string | Destinazione a cui fa riferimento l'evento in una rete IP. Il formato deve essere un FQDN associato al nodo di destinazione, quando è disponibile un nodo. Ad esempio: host.domain.com o host. |
| DestinationIP | string | Indirizzo IpV4 di destinazione a cui fa riferimento l'evento in una rete IP. |
| DestinationMACAddress | string | Indirizzo MAC di destinazione (FQDN). |
| DestinationNTDomain | string | Nome di dominio di Windows dell'indirizzo di destinazione. |
| DestinationPort | int | Porta di destinazione. Valori validi: 0 - 65535. |
| DestinationProcessId | int | ID del processo di destinazione associato all'evento. |
| DestinationProcessName | string | Nome del processo di destinazione dell'evento, ad esempio telnetd o sshd. |
| DestinationServiceName | string | Servizio di destinazione dell'evento. Ad esempio: sshd. |
| DestinationTranslatedAddress | string | Identifica la destinazione tradotta a cui fa riferimento l'evento in una rete IP, come indirizzo IP IPv4. |
| DestinationTranslatedPort | int | Porta dopo la conversione, ad esempio un firewall Numeri di porta validi: 0 - 65535. |
| DestinationUserID | string | Identifica l'utente di destinazione in base all'ID. Ad esempio: in Unix, l'utente radice è in genere associato all'ID utente 0. |
| DestinationUserName | string | Identifica l'utente di destinazione in base al nome. |
| DestinationUserPrivileges | string | Definisce i privilegi dell'uso della destinazione. Valori validi: Admninistrator, User, Guest. |
| DeviceAction | string | Azione indicata nell'evento. |
| DeviceAddress | string | Indirizzo IPv4 del dispositivo che genera l'evento. |
| DeviceCustomDate1 | string | Uno dei due campi timestamp disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| DeviceCustomDate1Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomDate2 | string | Uno dei due campi timestamp disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| DeviceCustomDate2Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomFloatingPoint1 | real | Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. |
| DeviceCustomFloatingPoint1Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomFloatingPoint2 | real | Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. |
| DeviceCustomFloatingPoint2Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomFloatingPoint3 | real | Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. |
| DeviceCustomFloatingPoint3Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomFloatingPoint4 | real | Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. |
| DeviceCustomFloatingPoint4Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomIPv6Address1 | string | Uno dei quattro campi degli indirizzi IPv6 disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. |
| DeviceCustomIPv6Address1Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomIPv6Address2 | string | Uno dei quattro campi degli indirizzi IPv6 disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. |
| DeviceCustomIPv6Address2Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomIPv6Address3 | string | Uno dei quattro campi degli indirizzi IPv6 disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. |
| DeviceCustomIPv6Address3Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomIPv6Address4 | string | Uno dei quattro campi degli indirizzi IPv6 disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. |
| DeviceCustomIPv6Address4Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomNumber1 | int | Presto sarà un campo deprecato. Verrà sostituito da FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomNumber2 | int | Presto sarà un campo deprecato. Verrà sostituito da FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomNumber3 | int | Presto sarà un campo deprecato. Verrà sostituito da FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomString1 | string | Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| DeviceCustomString1Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomString2 | string | Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| DeviceCustomString2Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomString3 | string | Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| DeviceCustomString3Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomString4 | string | Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| DeviceCustomString4Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomString5 | string | Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| DeviceCustomString5Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceCustomString6 | string | Una delle sei stringhe disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| DeviceCustomString6Label | string | Tutti i campi personalizzati hanno un campo etichetta corrispondente. Ognuno di questi campi è una stringa e descrive lo scopo del campo personalizzato. |
| DeviceDnsDomain | string | Parte del dominio DNS del nome di dominio completo (FQDN). |
| DeviceEventCategory | string | Rappresenta la categoria assegnata dal dispositivo di origine. I dispositivi usano spesso uno schema di categorizzazione personalizzato per classificare l'evento. Esempio: '/Monitor/Disk/Read'. |
| DeviceEventClassID | string | Stringa o integer che funge da identificatore univoco per tipo di evento. |
| DeviceExternalID | string | Nome che identifica in modo univoco il dispositivo che genera l'evento. |
| DeviceFacility | string | Struttura che genera l'evento. Ad esempio: autenticazione o local1. |
| DeviceInboundInterface | string | Interfaccia in cui il pacchetto o i dati sono stati immessi nel dispositivo. Ad esempio: ethernet1/2. |
| DeviceMacAddress | string | Indirizzo MAC del dispositivo che genera l'evento. |
| DeviceName | string | FQDN associato al nodo del dispositivo, quando è disponibile un nodo. Ad esempio: host.domain.com o host. |
| DeviceNtDomain | string | Dominio Windows dell'indirizzo del dispositivo. |
| DeviceOutboundInterface | string | Interfaccia in cui il pacchetto o i dati hanno lasciato il dispositivo. |
| DevicePayloadId | string | Identificatore univoco per il payload associato all'evento. |
| DeviceProduct | string | Stringa che, insieme alle definizioni di prodotto e versione del dispositivo, identifica in modo univoco il tipo di dispositivo di invio. |
| DeviceTimeZone | string | Fuso orario del dispositivo che genera l'evento. |
| DeviceTranslatedAddress | string | Identifica l'indirizzo del dispositivo convertito a cui fa riferimento l'evento, in una rete IP. Il formato è un indirizzo Ipv4. |
| DeviceVendor | string | Stringa che, insieme alle definizioni di prodotto e versione del dispositivo, identifica in modo univoco il tipo di dispositivo di invio. |
| DeviceVersion | string | Stringa che, insieme alle definizioni di prodotto e versione del dispositivo, identifica in modo univoco il tipo di dispositivo di invio. |
| EndTime | datetime | Ora in cui l'attività correlata all'evento è terminata. |
| EventCount | int | Conteggio associato all'evento, che mostra quante volte è stato osservato lo stesso evento. |
| EventOutcome | string | Visualizza il risultato, in genere come "esito positivo" o "errore". |
| EventType | int | Tipo di evento. I valori di valore includono: 0: evento di base, 1: aggregato, 2: evento di correlazione, 3: evento azione. Nota: questo evento può essere omesso per gli eventi di base. |
| ExternalID | int | Presto sarà un campo deprecato. Verrà sostituito da ExtID. |
| ExtID | string | ID usato dal dispositivo di origine (sostituirà ExternalID legacy). In genere, questi valori hanno valori crescenti associati a un evento. |
| FieldDeviceCustomNumber1 | long | Uno dei tre campi numerici disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario (sostituirà deviceCustomNumber1 legacy). Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| FieldDeviceCustomNumber2 | long | Uno dei tre campi numerici disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario (sostituirà deviceCustomNumber2 legacy). Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| FieldDeviceCustomNumber3 | long | Uno dei tre campi numerici disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario (sostituirà deviceCustomNumber3 legacy). Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. |
| FileCreateTime | string | Ora di creazione del file. |
| FileHash | string | Hash di un file. |
| FileID | string | ID associato a un file, ad esempio l'inode. |
| FileModificationTime | string | Ora dell'ultima modifica del file. |
| FileName | string | Nome del file, senza il percorso. |
| FilePath | string | Percorso completo del file, incluso il nome file. Ad esempio: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip. |
| FilePermission | string | Autorizzazioni del file. Ad esempio: '2,1,1'. |
| FileSize | int | Le dimensioni del file in byte. |
| FileType | string | Tipo di file, ad esempio pipe, socket e così via. |
| FlexDate1 | string | Campo timestamp disponibile per eseguire il mapping di un timestamp che non si applica ad alcun altro campo timestamp definito in questo dizionario. Utilizzare tutti i campi flessibili e cercare un campo più specifico, fornito dal dizionario, quando possibile. Questi campi sono in genere riservati per l'uso dei clienti e non devono essere impostati dai fornitori, a meno che non sia necessario. |
| FlexDate1Label | string | Il campo etichetta è una stringa e descrive lo scopo del campo flex. |
| FlexNumber1 | int | Campi numerici disponibili per eseguire il mapping dei dati Int che non si applicano ad altri campi in questo dizionario. |
| FlexNumber1Label | string | Etichetta che descrive il valore in FlexNumber1 |
| FlexNumber2 | int | Campi numerici disponibili per eseguire il mapping dei dati Int che non si applicano ad altri campi in questo dizionario. |
| FlexNumber2Label | string | Etichetta che descrive il valore in FlexNumber2 |
| FlexString1 | string | Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. Questi campi sono in genere riservati per l'uso dei clienti e non devono essere impostati dai fornitori, a meno che non sia necessario. |
| FlexString1Label | string | Il campo etichetta è una stringa e descrive lo scopo del campo flex. |
| FlexString2 | string | Uno dei quattro campi a virgola mobile disponibili per eseguire il mapping dei campi che non si applicano ad altri in questo dizionario. Usare con moderazione e cercare un campo più specifico, fornito dal dizionario, quando possibile. Questi campi sono in genere riservati per l'uso dei clienti e non devono essere impostati dai fornitori, a meno che non sia necessario. |
| FlexString2Label | string | Il campo etichetta è una stringa e descrive lo scopo del campo flex. |
| IndicatorThreatType | string | Il tipo di minaccia di MaliciousIP in base al feed TI. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| LogSeverity | string | Stringa o integer che descrive l'importanza dell'evento. Valori stringa validi: valori sconosciuti, Low, Medium, High, Very-High Valid integer sono: 0-3 = Low, 4-6 = Medium, 7-8 = High, 9-10 = Very-High. |
| MaliciousIP | string | Se uno degli indirizzi IP nel messaggio è correlato al feed TI corrente, verrà visualizzato qui. |
| MaliciousIPCountry | string | Paese del MalwareIP in base alle informazioni GEO al momento dell'inserimento del record. |
| MaliciousIPLatitude | real | Latitudine di MaliciousIP in base alle informazioni GEO al momento dell'inserimento del record. |
| MaliciousIPLongitude | real | Longitudine di MaliciousIP in base alle informazioni GEO al momento dell'inserimento del record. |
| Message | string | Messaggio che fornisce altri dettagli sull'evento. |
| OldFileCreateTime | string | Ora di creazione del file precedente. |
| OldFileHash | string | Hash del file precedente. |
| OldFileID | string | ID associato al file precedente, ad esempio l'inode. |
| OldFileModificationTime | string | Ora dell'ultima modifica del file precedente. |
| OldFileName | string | Nome del file precedente. |
| OldFilePath | string | Percorso completo del file precedente, incluso il nome file. Ad esempio: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe o /usr/bin/zip. |
| OldFilePermission | string | Autorizzazioni del file precedente. Ad esempio: '2,1,1'. |
| OldFileSize | int | Dimensioni del file precedente in byte. |
| OldFileType | string | Tipo di file del file precedente, ad esempio pipe, socket e così via. |
| OriginalLogSeverity | string | Versione non mappata di LogSeverity. Ad esempio: Avviso/Critico/Info invece di normilized Low/Medium/High nel campo LogSeverity |
| ProcessID | int | Definisce l'ID del processo nel dispositivo che genera l'evento. |
| ProcessName | string | Nome del processo associato all'evento. Ad esempio: in UNIX, il processo che genera la voce syslog. |
| Protocollo | string | Protocollo di trasporto che identifica il protocollo di livello 4 usato. I valori possibili includono nomi di protocollo, ad esempio TCP o UDP. |
| Motivo | string | Motivo per cui è stato generato un evento di controllo. Ad esempio, "password non valida" o "utente sconosciuto". Può trattarsi anche di un errore o di un codice restituito. Esempio: '0x1234'. |
| ReceiptTime | string | Ora in cui è stato ricevuto l'evento correlato all'attività. Diverso quindi il campo "Timegenerated", ovvero quando l'evento è stato ricevuto nel computer dell'agente di raccolta log. |
| ReceivedBytes | long | Numero di byte trasferiti in ingresso. |
| RemoteIP | string | Indirizzo IP remoto, derivato dal valore di direzione dell'evento, se possibile. |
| RemotePort | string | Porta remota, derivata dal valore di direzione dell'evento, se possibile. |
| ReportReferenceLink | string | Collegamento al report del feed TI. |
| RequestClientApplication | string | Agente utente associato alla richiesta. |
| RequestContext | string | Descrive il contenuto da cui ha avuto origine la richiesta, ad esempio il referrer HTTP. |
| RequestCookies | string | Cookie associati alla richiesta. |
| RequestMethod | string | Metodo utilizzato per accedere a un URL. I valori validi includono metodi come POST, GET e così via. |
| RequestURL | string | URL a cui si accede per una richiesta HTTP, incluso il protocollo . Ad esempio: http://www/secure.com. |
| _ResourceId | string | Identificatore univoco della risorsa a cui è associato il record. |
| SentBytes | long | Numero di byte trasferiti in uscita. |
| SimplifiedDeviceAction | string | Versione mappata di DeviceAction, ad esempio Negata > . |
| SourceDnsDomain | string | Parte del dominio DNS del nome di dominio completo. |
| SourceHostName | string | Identifica l'origine a cui fa riferimento l'evento in una rete IP. Il formato deve essere un nome di dominio completo (DQDN) associato al nodo di origine, quando è disponibile un nodo. Ad esempio: host o host.domain.com. |
| SourceIP | string | Origine a cui un evento fa riferimento in una rete IP, come indirizzo IPv4. |
| SourceMACAddress | string | Indirizzo MAC di origine. |
| SourceNTDomain | string | Nome di dominio di Windows per l'indirizzo di origine. |
| SourcePort | int | Numero di porta di origine. I numeri di porta validi sono compresi tra 0 e 65535. |
| SourceProcessId | int | ID del processo di origine associato all'evento. |
| SourceProcessName | string | Nome del processo di origine dell'evento. |
| SourceServiceName | string | Servizio responsabile della generazione dell'evento. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SourceTranslatedAddress | string | Identifica l'origine tradotta a cui fa riferimento l'evento in una rete IP. |
| SourceTranslatedPort | int | Porta di origine dopo la conversione, ad esempio un firewall. I numeri di porta validi sono compresi tra 0 e 65535. |
| SourceUserID | string | Identifica l'utente di origine in base all'ID. |
| SourceUserName | string | Identifica l'utente di origine in base al nome. Anche gli indirizzi di posta elettronica vengono mappati nei campi UserName. Il mittente è un candidato da inserire in questo campo. |
| SourceUserPrivileges | string | Privilegi dell'utente di origine. I valori validi includono: Administrator, User, Guest. |
| StartTime | datetime | Ora di inizio dell'attività a cui fa riferimento l'evento. |
| _SubscriptionId | string | Identificatore univoco della sottoscrizione a cui è associato il record |
| TenantId | string | ID dell'area di lavoro Log Analytics |
| ThreatConfidence | string | La probabilità di minaccia di MaliciousIP in base al feed TI. |
| ThreatDescription | string | La descrizione della minaccia di MaliciousIP in base al feed TI. |
| ThreatSeverity | int | Gravità della minaccia di MaliciousIP in base al feed TI al momento dell'inserimento di record. |
| TimeGenerated | datetime | Ora raccolta eventi in formato UTC. |
| Type | string | Nome della tabella |