Compartilhar via


CommonSecurityLog

Esta tabela é para coletar eventos no Common Event Format, que são enviados com mais frequência de diferentes dispositivos de segurança, como Check Point, Palo Alto e muito mais.

Atributos da tabela

Atributo Valor
Tipos de recursos microsoft.securityinsights/cef,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Categorias Segurança
Soluções Segurança, SecurityInsights
Log básico Não
Transformação de tempo de ingestão Sim
Consultas de amostras Sim

Colunas

Coluna Type Descrição
Atividade string Uma cadeia de caracteres que representa uma descrição legível e compreensível do evento.
Extensões adicionais string Um espaço reservado para campos adicionais. Os campos são registrados como pares de chave-valor.
ApplicationProtocol string O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPs e assim por diante.
_BilledSize real O tamanho do registro em bytes
ColetorHostName string O nome do host da máquina coletora que executa o agente.
CommunicationDirection string Todas as informações sobre a direção que a comunicação observada levou. Valores válidos: 0 = Entrada, 1 = Saída.
Computador string Host, do Syslog.
DestinationDnsDomain string A parte DNS do FQDN (nome de domínio totalmente qualificado).
DestinationHostName string O destino ao qual o evento se refere em uma rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó está disponível. Por exemplo: host.domain.com ou host.
DestinationIP string O endereço IpV4 de destino ao qual o evento se refere em uma rede IP.
DestinoMACAddress string O endereço MAC de destino (FQDN).
DestinationNTDomain string O nome de domínio do Windows do endereço de destino.
DestinationPort int Porta de destino. Valores válidos: 0 - 65535.
DestinationProcessId int A ID do processo de destino associado ao evento.
DestinationProcessName string O nome do processo de destino do evento, como telnetd ou sshd.
DestinationServiceName string O serviço direcionado pelo evento. Por exemplo: sshd.
DestinationTranslatedAddress string Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4.
DestinationTranslatedPort int Porta após tradução, como um firewall Números de porta válidos: 0 - 65535.
ID do usuário de destino string Identifica o usuário de destino por ID. Por exemplo: no Unix, o usuário root geralmente está associado ao ID de usuário 0.
DestinationUserName string Identifica o usuário de destino por nome.
DestinationUserPrivileges string Define os privilégios do uso de destino. Valores válidos: Admninistrator, User, Guest.
Ação do Dispositivo string A ação mencionada no evento.
DeviceAddress string O endereço IPv4 do dispositivo que gera o evento.
DeviceCustomDate1 string Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
DeviceCustomDate1Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomDate2 string Um dos dois campos de carimbo de data/hora disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
DeviceCustomDate2Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomFloatingPoint1 real Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário.
DeviceCustomFloatingPoint1Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomFloatingPoint2 real Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário.
DeviceCustomFloatingPoint2Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomFloatingPoint3 real Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário.
DeviceCustomFloatingPoint3Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomFloatingPoint4 real Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário.
DeviceCustomFloatingPoint4Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomIPv6Address1 string Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário.
DeviceCustomIPv6Address1Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomIPv6Address2 string Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário.
DeviceCustomIPv6Address2Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomIPv6Address3 string Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário.
DeviceCustomIPv6Address3Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomIPv6Address4 string Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário.
DeviceCustomIPv6Address4Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomNumber1 int Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber1.
DeviceCustomNumber1Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomNumber2 int Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber2.
DeviceCustomNumber2Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomNumber3 int Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber3.
DeviceCustomNumber3Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomString1 string Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
DeviceCustomString1Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomString2 string Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
DeviceCustomString2Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomString3 string Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
DeviceCustomString3Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomString4 string Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
DeviceCustomString4Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomString5 string Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
DeviceCustomString5Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceCustomString6 string Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
DeviceCustomString6Label string Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado.
DeviceDnsDomain string A parte do domínio DNS do FQDN (nome de domínio qualificado) completo.
DeviceEventCategory string Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam o próprio esquema de categorização para classificar o evento. Exemplo: '/Monitor/Disk/Read'.
DeviceEventClassID string Cadeia de caracteres ou inteiro que serve como um identificador exclusivo por tipo de evento.
DeviceExternalID string Um nome que identifica exclusivamente o dispositivo que gera o evento.
DeviceFacility string A instalação que gera o evento. Por exemplo: auth ou local1.
DeviceInboundInterface string A interface na qual o pacote ou os dados foram inseridos no dispositivo. Por exemplo: ethernet1/2.
DeviceMacAddress string O endereço MAC do dispositivo que gera o evento.
DeviceName string O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo: host.domain.com ou host.
DeviceNtDomain string O domínio do Windows do endereço do dispositivo.
DeviceOutboundInterface string A interface pela qual o pacote ou os dados saíram do dispositivo.
DevicePayloadId string Identificador exclusivo para o payload associado ao evento.
DeviceProduct string Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
DeviceTimeZone string Fuso horário do dispositivo que gera o evento.
DeviceTranslatedAddress string Identifica o endereço do dispositivo traduzido ao qual o evento se refere em uma rede IP. O formato é um endereço IPv4.
DeviceVendor string Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
DeviceVersion string Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio.
EndTime datetime A hora em que a atividade relacionada ao evento terminou.
EventCount int Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado.
EventOutcome string Exibe o resultado, geralmente como 'sucesso' ou 'falha'.
EventType int Tipo de evento. Os valores de valor incluem: 0: evento base, 1: agregado, 2: evento de correlação, 3: evento de ação. Observação: este evento pode ser omitido para eventos base.
ExternalId int Em breve será um campo obsoleto. Será substituído por ExtID.
ExtID string Uma ID usada pelo dispositivo de origem (substituirá ExternalID herdada). Normalmente, esses valores têm valores crescentes que são associados a um evento.
FieldDeviceCustomNumber1 longo Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber1 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
FieldDeviceCustomNumber2 longo Um dos três campos de número disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber2 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
FieldDeviceCustomNumber3 longo Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber3 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível.
FileCreateTime string Hora que o arquivo foi criado.
FileHash string Hash de um arquivo.
FileID string Uma ID associada a um arquivo, como inode.
FileModificationTime string Hora em que o arquivo foi modificado pela última vez.
FileName string O nome do arquivo, sem o caminho.
FilePath string Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
FilePermission string As permissões do arquivo. Por exemplo: '2,1,1'.
Tamanho do arquivo int O tamanho do arquivo em bytes.
FileType string Tipo de arquivo, como pipe, soquete e assim por diante.
FlexDate1 string Um campo de carimbo de data/hora disponível para mapear um carimbo de data/hora que não se aplica a nenhum outro campo de carimbo de data/hora definido neste dicionário. Use todos os campos flexíveis com moderação e busque um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário.
FlexDate1Label string O campo label é uma string e descreve a finalidade do campo flex.
FlexNumber1 int Campos numéricos disponíveis para mapear dados Int que não se aplicam a nenhum outro campo neste dicionário.
FlexNumber1Label string O rótulo que descreve o valor em FlexNumber1
FlexNumber2 int Campos numéricos disponíveis para mapear dados Int que não se aplicam a nenhum outro campo neste dicionário.
FlexNumber2Label string O rótulo que descreve o valor em FlexNumber2
FlexString1 string Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário.
FlexString1Label string O campo label é uma string e descreve a finalidade do campo flex.
FlexString2 string Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário.
FlexString2Label string O campo label é uma string e descreve a finalidade do campo flex.
IndicatorThreatType string O tipo de ameaça do MaliciousIP de acordo com nosso feed de TI.
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure
Gravidade de log string Uma cadeia de caracteres ou um inteiro que descreve a importância do evento. Valores de cadeia de caracteres válidos: Desconhecido, Baixo, Médio, Alto, Muito-Alto Os valores inteiros válidos são: 0-3 = Baixo, 4-6 = Médio, 7-8 = Alto, 9-10 = Muito-Alto.
MaliciousIP string Se um dos IPs na mensagem estiver correlacionado com o feed de TI atual que temos, ele aparecerá aqui.
MaliciousIPCountry string O país do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro.
MaliciousIPLatitude real A latitude do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro.
MaliciousIPLongitude real A longitude do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro.
Mensagem string Uma mensagem que fornece mais detalhes sobre o evento.
OldFileCreateTime string Hora em que o arquivo antigo foi criado.
OldFileHash string Hash do arquivo antigo.
ID do arquivo antigo string ID associada ao arquivo antigo, como o inode.
OldFileModificationTime string Hora em que o arquivo antigo foi modificado pela última vez.
OldFileName string Nome do arquivo antigo.
OldFilePath string Caminho completo para o arquivo antigo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip.
OldFilePermission string Permissões do arquivo antigo. Por exemplo: '2,1,1'.
OldFileSize int O tamanho do arquivo antigo em bytes.
OldFileType string Tipo do arquivo antigo, como um pipe, soquete e assim por diante.
OriginalLogSeverity string Uma versão não mapeada do LogSeverity. Por exemplo: Warning/Critical/Info em vez do normilizado Low/Medium/High no campo LogSeverity
ProcessID int Define a ID do processo no dispositivo que gera o evento.
ProcessName string Nome do processo associado ao evento. Por exemplo: no UNIX, o processo que gera a entrada do syslog.
Protocolo string Protocolo de transporte que identifica o protocolo Layer-4 usado. Os valores possíveis incluem nomes de protocolo, como TCP ou UDP.
Motivo string O motivo pelo qual um evento de auditoria foi gerado. Por exemplo, 'senha incorreta' ou 'usuário desconhecido'. Também pode ser um erro ou um código de retorno. Exemplo: '0x1234'.
ReceiptTime string A hora em que o evento relacionado à atividade foi recebido. Diferente do campo 'Timegenerated', que é quando o evento foi recebido na máquina coletora de logs.
ReceivedBytes longo Número de bytes transferidos em entrada.
RemoteIP string O endereço IP remoto, derivado do valor de direção do evento, se possível.
RemotePort string A porta remota, derivada do valor de direção do evento, se possível.
ReportReferenceLink string Link para o relatório do feed de TI.
RequestClientApplication string O agente de usuário associado com a solicitação.
RequestContext string Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP.
RequestCookies string Cookies associados com a solicitação.
RequestMethod string O método usado para acessar uma URL. Os valores válidos incluem métodos como POST, GET e assim por diante.
RequestURL string A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo: http://www/secure.com.
_ResourceId string Identificador exclusivo do recurso ao qual o registro está associado
SentBytes longo Número de bytes transferidos em saída.
SimplifiedDeviceAction string Uma versão mapeada de DeviceAction, como Negação negada > .
SourceDnsDomain string A parte do domínio DNS do FQDN completo.
SourceHostName string Identifica a fonte à qual o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (FQDN) associado ao nó de origem, quando um nó está disponível. Por exemplo: host ou host.domain.com.
SourceIP string A origem à qual um evento se refere em uma rede IP, como um endereço IPv4.
FonteMACAddress string Endereço MAC de origem.
SourceNTDomain string O nome de domínio do Windows para o endereço de origem.
SourcePort int O número da porta de origem. Os números de porta válidos são 0 - 65535.
SourceProcessId int A ID do processo de origem associado ao evento.
SourceProcessName string O nome do processo de origem do evento.
SourceServiceName string O serviço responsável por gerar o evento.
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
SourceTranslatedAddress string Identifica a origem traduzida à qual o evento se refere em uma rede IP.
SourceTranslatedPort int Porta de origem após a conversão, como um firewall. Os números de porta válidos são 0 - 65535.
SourceUserID string Identifica o usuário de origem por ID.
SourceUserName string Identifica o usuário de origem por nome. Os endereços de e-mail também são mapeados para os campos UserName. O remetente é um candidato a ser colocado neste campo.
SourceUserPrivileges string Os privilégios do usuário de origem. Os valores válidos incluem: Administrador, Usuário, Convidado.
StartTime datetime A hora em que a atividade à qual o evento se refere foi iniciada.
_SubscriptionId string Identificador exclusivo da assinatura à qual o registro está associado
TenantId string A ID do workspace do Log Analytics
ThreatConfidence string A confiança da ameaça do MaliciousIP de acordo com nosso feed de TI.
ThreatDescription string A descrição da ameaça do MaliciousIP de acordo com nosso feed de TI.
ThreatSeverity int A gravidade da ameaça do MaliciousIP de acordo com nosso feed de TI no momento da ingestão do registro.
TimeGenerated datetime Tempo de coleta de eventos em UTC.
Type string O nome da tabela