Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El esquema de eventos del Registro de ASim representa la actividad de Windows de crear, modificar o eliminar entidades del Registro de Windows. Los eventos del Registro son específicos de los sistemas Windows, pero se notifican mediante distintos sistemas que supervisan Windows, como sistemas EDR (detección y respuesta de punto de conexión), Sysmon o el propio Windows.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/asimtables |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | Sí |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| ActingProcessCommandLine | cadena | Línea de comandos que se usa para ejecutar el proceso. |
| ActingProcessGuid | cadena | Identificador único generado del proceso de acción. |
| ActingProcessId | cadena | Identificador de proceso del proceso de acción. |
| ActingProcessName | cadena | Nombre de archivo del archivo de imagen de proceso que actúa. |
| TipoDeUsuarioOriginalDelActor | cadena | Tipo de usuario del actor original, si lo proporciona el origen. |
| ActorScope, una herramienta para actores | cadena | El ámbito, como el inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| ActorScopeId | cadena | El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| IdDeSesiónDelActor | cadena | Identificador único de la sesión de inicio de sesión de Actor. |
| ActorUsuarioAadId | cadena | Identificador de Azure Active Directory del actor. |
| ActorUserId | cadena | Identificador único del Actor. |
| ActorUserIdType | cadena | Tipo del identificador almacenado en el campo ActorUserId. |
| ActorUsername | cadena | Nombre de usuario del usuario que inició el evento. |
| TipoDeNombreDeUsuarioDelActor | cadena | Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. |
| ActorUserSid | cadena | Identificador de usuario (SID) de Windows del actor. |
| ActorUserType | cadena | Tipo del actor. |
| Campos Adicionales | dinámico | Información adicional, representada mediante pares clave-valor proporcionados por el origen que no tienen correspondencia con ASim. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| DvcAction | cadena | En el caso de los sistemas de seguridad de informes, la acción realizada por el sistema. |
| DvcDescription | cadena | Texto descriptivo asociado al dispositivo. |
| DvcDomain | cadena | Dominio del dispositivo que informa del evento. |
| DvcDomainType | cadena | Tipo de DvcDomain. |
| DvcFQDN | cadena | Nombre de host del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcHostname | cadena | Nombre de host del dispositivo que informa del evento. |
| DvcId | cadena | Identificador único del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcIdType | cadena | Tipo de DvcId. |
| DvcInterface | cadena | Interfaz de red en la que se capturaron los datos. |
| DvcIpAddr | cadena | Dirección IP del dispositivo que informa del evento. |
| DvcMacAddr | cadena | La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOriginalAction | cadena | El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| DvcOs | cadena | El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOsVersion | cadena | La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcScope | cadena | El alcance de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un nombre de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcScopeId | cadena | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcZone | cadena | Red en la que se produjo el evento o que informó del evento. |
| Conteo de eventos | Int | Número de eventos descritos por el registro. |
| HoraFinDelEvento | fecha y hora | Hora a la que finalizó el evento. Si el origen admite la agregación y el registro representa varios eventos, la hora en que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| MensajeDeEvento | cadena | Mensaje o descripción general. |
| DetallesDelResultadoOriginalDelEvento | cadena | Detalles del resultado original proporcionados por el origen. |
| EventOriginalSeverity | cadena | La gravedad original, como se especifica en el dispositivo de informes. |
| SubtipoOriginalDelEvento | cadena | El subtipo o identificador del evento original, si lo proporciona el origen. |
| TipoOriginalDelEvento | cadena | Id. único del registro original, si lo proporciona el origen. |
| EventOriginalUid | cadena | . |
| Propietario del Evento | cadena | Es el propietario del evento, que suele ser el departamento o la subsidiaria en la que se generó. |
| EventProduct | cadena | Producto que genera el evento. |
| EventProductVersion | cadena | Versión del producto que genera el evento. |
| URL del informe de evento | cadena | Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
| Resultado del Evento | cadena | Resultado del evento, representado por uno de los siguientes valores: Éxito, Parcial, Fracaso, NA (No Aplicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails. |
| DetallesDelResultadoDelEvento | cadena | Motivo o detalles del resultado notificado en el campo EventResult. |
| Esquema de Evento | cadena | Nombre del esquema. |
| EventSchemaVersion | cadena | Versión del esquema. |
| EventSeverity | cadena | La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto. |
| HoraDeInicioDelEvento | fecha y hora | Hora a la que se inició el evento. Si el origen admite la agregación y el registro representa varios eventos, la hora en que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| SubTipoDeEvento | cadena | Describe una subdivisión de la operación notificada en el campo EventType. |
| TipoDeEvento | cadena | Describe la operación notificada por el registro. |
| EventVendor | cadena | Proveedor del producto que genera el evento. |
| _IsBillable | cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable es false, la ingesta no se facturará a su cuenta de Azure. |
| ParentProcessCommandLine | cadena | Línea de comandos que se usa para ejecutar el proceso. |
| ParentProcessGuid | cadena | Identificador único generado del proceso primario. |
| ParentProcessId | cadena | Identificador de proceso del proceso primario. |
| NombreDelProcesoPadre | cadena | Nombre de archivo del archivo de imagen del proceso primario. |
| Clave de registro | cadena | Clave del Registro asociada a la operación, normalizada a las convenciones de nomenclatura de claves raíz estándar. |
| RegistryPreviousKey | cadena | Para las operaciones que modifican el Registro, clave del Registro original, normalizada a la nomenclatura de clave raíz estándar. |
| RegistryPreviousValue | cadena | Para las operaciones que modifican el Registro, tipo de valor original, normalizado al formato estándar. |
| RegistryPreviousValueData | cadena | Datos originales del Registro, para las operaciones que modifican el Registro. |
| RegistryPreviousValueType | cadena | Para las operaciones que modifican el Registro, tipo de valor original. |
| RegistryValue | cadena | Valor del registro asociado a la operación. |
| RegistryValueData | cadena | Datos almacenados en el valor del Registro. |
| TipoDeValorDelRegistro | cadena | Tipo de valor del Registro, normalizado al formato estándar. |
| _IdentificadorDeRecurso | cadena | Identificador único del recurso al que está asociado el registro. |
| NombreDeRegla | cadena | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| NúmeroDeRegla | Int | Número de la regla asociado a los resultados de la inspección. |
| SourceSystem | cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| _IdentificadorDeSuscripción | cadena | Identificador único de la suscripción a la que está asociado el registro. |
| IdentificadorDeInquilino | cadena | ID del área de trabajo de Log Analytics |
| Categoría de amenaza | cadena | Categoría de la amenaza o malware identificado en la actividad. |
| ThreatConfidence | Int | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatField | cadena | Campo para el que se identificó una amenaza. |
| ThreatFirstReportedTime | fecha y hora | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| Identificador de Amenaza | cadena | Identificador de la amenaza o malware identificado en la actividad. |
| La Amenaza Está Activa | booleano | True ID: la amenaza identificada se considera una amenaza activa. |
| Hora de la última amenaza reportada | fecha y hora | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| NombreDeAmenaza | cadena | Nombre de la amenaza o malware identificado en la actividad. |
| ThreatOriginalConfidence | cadena | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalRiskLevel | cadena | Nivel de riesgo indicado por el dispositivo informante. |
| NivelDeRiesgoDeAmenaza | Int | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. |
| TimeGenerated | fecha y hora | Marca de tiempo (UTC) que refleja la hora en la que se generó el evento. |
| Tipo | cadena | Nombre de la tabla. |