Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Tabla de eventos de autenticación normalizada de Microsoft Sentinel. Almacena eventos asociados, por ejemplo, con la autenticación de usuario, el inicio de sesión y el cierre de sesión.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/authenticationevent |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| ActingAppId | cuerda / cadena | Identificador de la aplicación que se autoriza en nombre del actor, incluido un proceso, un explorador o un servicio. |
| ActingAppName | cuerda / cadena | Nombre de la aplicación que se autoriza en nombre del actor, incluido un proceso, un explorador o un servicio. |
| TipoDeAplicaciónActiva | cuerda / cadena | Tipo de la aplicación que actúa. |
| ActingOriginalAppType | cuerda / cadena | Tipo de aplicación que actúa según lo notificado por el dispositivo de informes. |
| TipoDeUsuarioOriginalDelActor | cuerda / cadena | Tipo de usuario indicado por el dispositivo de informes. |
| ActorScope, una herramienta para actores | cuerda / cadena | Ámbito, como el inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| ActorScopeId | cuerda / cadena | El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| IdDeSesiónDelActor | cuerda / cadena | Id. único de la sesión de inicio de sesión del actor. |
| ActorUserId | cuerda / cadena | Representación única, alfanumérica y legible por máquina del actor. |
| ActorUserIdType | cuerda / cadena | Tipo del identificador almacenado en el campo ActorUserId. |
| ActorUsername | cuerda / cadena | Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. |
| TipoDeNombreDeUsuarioDelActor | cuerda / cadena | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. |
| ActorUserType | cuerda / cadena | Tipo del actor. |
| Campos adicionales | dinámico | Información adicional, representada mediante pares clave-valor proporcionados por la fuente que no coinciden con ASim. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| DvcAction | cuerda / cadena | Para los sistemas de seguridad de informes, la acción realizada por el sistema. |
| DvcDescription | cuerda / cadena | Texto descriptivo asociado al dispositivo. |
| DvcDomain | cuerda / cadena | Dominio del dispositivo que informa del evento. |
| DvcDomainType | cuerda / cadena | Tipo de DvcDomain. |
| DvcFQDN | cuerda / cadena | Nombre de host del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcHostname | cuerda / cadena | Nombre de host del dispositivo que informa del evento. |
| DvcId | cuerda / cadena | Identificador único del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcIdType | cuerda / cadena | Tipo de DvcId. |
| DvcInterface | cuerda / cadena | Interfaz de red en la que se capturaron los datos. |
| DvcIpAddr | cuerda / cadena | Dirección IP del dispositivo que informa del evento. |
| DvcMacAddr | cuerda / cadena | La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOriginalAction | cuerda / cadena | El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| DvcOs | cuerda / cadena | El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOsVersion | cuerda / cadena | La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcScope | cuerda / cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcScopeId | cuerda / cadena | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcZone | cuerda / cadena | Red en la que se produjo el evento o que informó del evento. |
| Conteo de eventos | Int | El número de eventos que describe el registro. |
| HoraDeFinDelEvento | fecha y hora | Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| MensajeDeEvento | cuerda / cadena | Mensaje o descripción general. |
| DetallesDelResultadoOriginalDelEvento | cuerda / cadena | Detalles del resultado original proporcionados por el origen. |
| EventOriginalSeverity | cuerda / cadena | La gravedad original, como se especifica en el dispositivo de informes. |
| SubtipoOriginalDelEvento | cuerda / cadena | El subtipo o identificador del evento original, si lo proporciona el origen. |
| TipoOriginalDeEvento | cuerda / cadena | Tipo o Id. del evento original, si lo proporciona el origen. |
| EventOriginalUid | cuerda / cadena | Id. único del registro original, si lo proporciona el origen. |
| Propietario del Evento | cuerda / cadena | El dueño del evento, que suele ser el departamento o la subsidiaria en la que se generó. |
| EventProduct | cuerda / cadena | Producto que genera el evento. |
| EventProductVersion | cuerda / cadena | Versión del producto que genera el evento. |
| URL del Informe del Evento | cuerda / cadena | Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
| Resultado del Evento | cuerda / cadena | Resultado del evento, representado por uno de los siguientes valores: Éxito, Parcial, Fracaso, NA (No Aplicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails. |
| DetallesDelResultadoDelEvento | cuerda / cadena | Detalles asociados al resultado del evento. Este campo se rellena normalmente cuando el resultado es un error. |
| EventSchemaVersion | cuerda / cadena | Versión del esquema. |
| EventSeverity | cuerda / cadena | La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto. |
| HoraDeInicioDelEvento | fecha y hora | Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| SubtipoDeEvento | cuerda / cadena | El tipo de inicio de sesión, por ejemplo System, Interactive, RemoteInteractive, Service, RemoteService, Remote o AssumeRole. |
| Tipo de evento | cuerda / cadena | Describe la operación notificada por el registro |
| EventVendor | cuerda / cadena | Proveedor del producto que genera el evento. |
| Agente de Usuario HTTP | cuerda / cadena | Cuando se realiza la autenticación a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable es false, la ingestión no se facturará a su cuenta de Azure. |
| Método de Inicio de Sesión | cuerda / cadena | Método utilizado para realizar la autenticación. |
| Protocolo de inicio de sesión | cuerda / cadena | Protocolo utilizado para realizar la autenticación. |
| _IdentificadorDeRecurso | cuerda / cadena | Identificador único del recurso al que está asociado el registro. |
| Nombre de la Regla | cuerda / cadena | Nombre o identificador de la regla asociada a los resultados de la inspección. |
| Número de Regla | Int | Número de la regla asociado a los resultados de la inspección. |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SrcDescription | cuerda / cadena | Texto descriptivo asociado al dispositivo de origen. |
| SrcDeviceType | cuerda / cadena | Tipo del dispositivo de origen. |
| SrcDomain | cuerda / cadena | Dominio del dispositivo de origen. |
| SrcDomainType | cuerda / cadena | Tipo de SrcDomain. |
| SrcDvcId | cuerda / cadena | Identificador del dispositivo de origen. |
| SrcDvcIdType | cuerda / cadena | Tipo de SrcDvcId. |
| SrcDvcOs | cuerda / cadena | Sistema operativo del dispositivo de origen. |
| SrcDvcScope | cuerda / cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un id. de cuenta en AWS. |
| SrcDvcScopeId | cuerda / cadena | El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcFQDN | cuerda / cadena | Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. |
| SrcGeoCity | cuerda / cadena | Ciudad asociada con la dirección IP de origen. |
| SrcGeoCountry | cuerda / cadena | País asociado con la dirección IP de origen. |
| SrcGeoLatitude | verdadero | Latitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoLongitude | verdadero | Longitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoRegion | cuerda / cadena | Región de un país asociado con la dirección IP de origen. |
| SrcHostname | cuerda / cadena | Nombre de host del dispositivo de origen, excepto la información de dominio. |
| SrcIpAddr | cuerda / cadena | Dirección IP del dispositivo de origen. |
| SrcIsp | cuerda / cadena | Proveedor de servicios de Internet (ISP) usado por el dispositivo de origen para conectarse a Internet. |
| SrcOriginalRiskLevel | cuerda / cadena | El nivel de riesgo asociado con el origen identificado tal como lo notifica el dispositivo de informes. |
| SrcPortNumber | Int | Puerto IP desde el que se originó la conexión. |
| SrcRiskLevel | Int | Nivel de riesgo asociado al origen identificado. |
| _IdentificadorDeSuscripción | cuerda / cadena | Identificador único de la suscripción a la que está asociado el registro. |
| Id de la app de destino | cuerda / cadena | Identificador de la aplicación para la que se requiere la autorización, a menudo asignado por el dispositivo de informes. |
| TargetAppName | cuerda / cadena | Nombre de la aplicación para la que se requiere la autorización, incluido un servicio, una dirección URL o una aplicación SaaS. |
| TargetAppType | cuerda / cadena | Tipo de la aplicación que se autoriza en nombre del actor. |
| Descripción del Objetivo | cuerda / cadena | Texto descriptivo asociado al dispositivo de destino. |
| TargetDeviceType | cuerda / cadena | Tipo del dispositivo de destino. |
| TargetDomain | cuerda / cadena | Dominio del dispositivo de destino. |
| TipoDeDominioObjetivo | cuerda / cadena | Tipo de TargetDomain. |
| TargetDvcId | cuerda / cadena | Identificador del dispositivo de destino. |
| TargetDvcIdType | cuerda / cadena | Tipo de TargetDvcId. |
| TargetDvcOs | cuerda / cadena | Sistema operativo del dispositivo de destino. |
| TargetDvcScope | cuerda / cadena | Ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. TargetDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetDvcScopeId | cuerda / cadena | El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. TargetDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| TargetFQDN | cuerda / cadena | Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible. |
| TargetGeoCity | cuerda / cadena | Ciudad asociada con la dirección IP de destino. |
| TargetGeoCountry | cuerda / cadena | País asociado con la dirección IP de destino. |
| TargetGeoLatitude | verdadero | Latitud de la coordenada geográfica asociada con la dirección IP de destino. |
| TargetGeoLongitude | verdadero | Longitud de la coordenada geográfica asociada con la dirección IP de destino. |
| TargetGeoRegion | cuerda / cadena | Región de un país asociado con la dirección IP de destino. |
| TargetHostname | cuerda / cadena | Nombre de host del dispositivo de destino, excepto la información de dominio. |
| Dirección IP de destino | cuerda / cadena | Dirección IP del dispositivo de destino. |
| TargetOriginalAppType | cuerda / cadena | Tipo de aplicación de destino tal como lo informa el dispositivo que realiza el informe. |
| TargetOriginalRiskLevel | cuerda / cadena | El nivel de riesgo asociado al destino, tal como lo notifica el dispositivo que informa. |
| TargetOriginalUserType | cuerda / cadena | Tipo de usuario indicado por el dispositivo de informes. |
| TargetPortNumber | Int | Puerto del dispositivo de destino. |
| NivelObjetivoDeRiesgo | Int | Nivel de riesgo asociado con el destino. |
| TargetSessionId | cuerda / cadena | Identificador único de la sesión de inicio de sesión del actor de destino. |
| TargetUrl | cuerda / cadena | Dirección URL asociada a la aplicación de destino. |
| IdUsuarioObjetivo | cuerda / cadena | Representación única, alfanumérica y legible por máquina del actor. |
| TargetUserIdType | cuerda / cadena | Tipo de identificador almacenado en el campo TargetUserId. |
| TargetUsername | cuerda / cadena | Nombre de usuario del actor de destino, incluida la información de dominio cuando esté disponible. |
| TipoDeNombreDeUsuarioObjetivo | cuerda / cadena | Tipo del nombre de usuario del actor de destino especificado en el campo TargetUsername |
| TargetUserScope | cuerda / cadena | Ámbito, como el inquilino de Azure AD, en el que se definen TargetUserId y TargetUsername. |
| TargetUserScopeId | cuerda / cadena | El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen TargetUserId y TargetUsername. |
| TipoDeUsuarioObjetivo | cuerda / cadena | Tipo del actor de destino. |
| Id del inquilino | cuerda / cadena | Id. del área de trabajo de Log Analytics |
| Categoría de amenaza | cuerda / cadena | Categoría de la amenaza o malware identificado en la actividad de auditoría. |
| ThreatConfidence | Int | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatField | cuerda / cadena | Campo para el que se identificó una amenaza. |
| ThreatFirstReportedTime | fecha y hora | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| Identificador de Amenaza | cuerda / cadena | Identificador de la amenaza o del malware identificados en la actividad de auditoría. |
| ThreatIpAddr | cuerda / cadena | Dirección IP para la que se identificó una amenaza. |
| La amenaza está activa | booleano | Verdadero si la amenaza identificada se considera una amenaza activa. |
| ThreatLastReportedTime | fecha y hora | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| Nombre de la Amenaza | cuerda / cadena | Nombre de la amenaza o del malware identificados en la actividad de auditoría. |
| ThreatOriginalConfidence | cuerda / cadena | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalRiskLevel | cuerda / cadena | Nivel de riesgo informado por el dispositivo de informe. |
| NivelDeRiesgoDeAmenaza | Int | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. |
| TimeGenerated | fecha y hora | Marca de tiempo (UTC) que refleja la hora en la que se generó el evento. |
| Tipo | cuerda / cadena | Nombre de la tabla. |