حدث
إنشاء تطبيقات ووكلاء الذكاء الاصطناعي
١٧ رمضان، ٩ م - ٢١ رمضان، ١٠ ص
انضم إلى سلسلة الاجتماعات لإنشاء حلول الذكاء الاصطناعي قابلة للتطوير استنادا إلى حالات الاستخدام في العالم الحقيقي مع المطورين والخبراء الآخرين.
تسجيل الآنDynamicEventCollection
جدول أحداث windows عام للبيانات التي تم جمعها بواسطة وكيل Defender لنقطة النهاية
| السمة | القيمة |
|---|---|
| أنواع الموارد | - |
| الفئات | الأمان |
| الحلول | AzureSentinelDSRE |
| السجل الأساسي | لا |
| تحويل وقت الاستيعاب | نعم |
| نماذج الاستعلامات | - |
| Column | نوع | الوصف |
|---|---|---|
| معرف الحساب | سلسلة | معرف الأمان (SID) للحساب. |
| AdditionalFields | ديناميكي | معلومات إضافية حول الكيان أو الحدث. |
| معرف AppGuardContainer | سلسلة | معرف الحاوية الظاهرية المستخدمة من قبل حماية التطبيقات لعزل نشاط المستعرض. |
| _BilledSize | real | حجم السجل بالبايت |
| DeviceId | سلسلة | معرف فريد للجهاز في الخدمة. |
| DeviceName | سلسلة | اسم المجال المؤهل بالكامل (FQDN) للجهاز. |
| EventId | طويل | يحتوي على معرف الحدث الفريد. |
| بدءProcessAccountDomain | سلسلة | مجال الحساب الذي قام بتشغيل العملية المسؤولة عن الحدث. |
| بدءProcessAccountName | سلسلة | اسم المستخدم للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث. |
| بدءProcessAccountObjectId | سلسلة | معرف كائن Azure AD لحساب المستخدم الذي قام بتشغيل العملية المسؤولة عن الحدث. |
| بدءProcessAccountSid | سلسلة | معرف الأمان (SID) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث. |
| بدءProcessAccountUpn | سلسلة | اسم المستخدم الأساسي (UPN) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث. في Active Directory، UPN هو اسم مستخدم النظام بتنسيق عنوان بريد إلكتروني (على سبيل المثال: john.doe@domain.com) |
| بدءProcessFolderPath | سلسلة | مجلد يحتوي على العملية (ملف الصورة) التي بدأت الحدث. |
| بدءProcessId | طويل | معرف العملية (PID) للعملية التي بدأت الحدث. |
| بدءProcessLogonId | طويل | معرف جلسة تسجيل الدخول للعملية التي بدأت الحدث. هذا المعرف فريد على نفس الجهاز فقط بين عمليات إعادة التشغيل. |
| بدءProcessMD5 | سلسلة | تجزئة MD5 للعملية (ملف الصورة) التي بدأت الحدث. |
| بدءProcessParentFileName | سلسلة | اسم العملية الأصل التي ولدت العملية المسؤولة عن الحدث. |
| بدءProcessParentId | طويل | معرف العملية (PID) للعملية الأصل التي ولدت العملية المسؤولة عن الحدث. |
| بدءProcessSHA1 | سلسلة | تجزئة SHA-1 للعملية (ملف الصورة) التي بدأت الحدث. |
| _IsBillable | سلسلة | تحديد ما إذا كان استيعاب البيانات قابلا للفوترة. عندما _IsBillable لا false تتم فوترة الاستيعاب إلى حساب Azure الخاص بك |
| LocalIP | سلسلة | عنوان IP المعين للجهاز المحلي المستخدم أثناء الاتصال. |
| منفذ محلي | العدد الصحيح | منفذ TCP على الجهاز المحلي المستخدم أثناء الاتصال. |
| مجموعة الأجهزة | سلسلة | مجموعة الجهاز للجهاز. يتم استخدام هذه المجموعة بواسطة التحكم في الوصول المستند إلى الدور لتحديد الوصول إلى الجهاز. |
| ProcessCommandLine | سلسلة | سطر الأوامر المستخدم لإنشاء العملية الجديدة. |
| RemoteDeviceName | سلسلة | اسم الجهاز الذي أجرى عملية عن بعد على الجهاز المتأثر. اعتمادا على الحدث الذي يتم الإبلاغ عنه، قد يكون هذا الاسم اسم مجال مؤهل بالكامل (FQDN) أو اسم NetBIOS أو اسم مضيف بدون معلومات المجال. |
| RemoteIP | سلسلة | عنوان IP الذي كان يتم الاتصال به. |
| RemotePort | العدد الصحيح | منفذ TCP على الجهاز البعيد الذي كان يتم الاتصال به. |
| ReportId | طويل | المعرف الفريد للحدث. |
| نظام المصدر | سلسلة | نوع العامل الذي تم جمع الحدث من قبله. على سبيل المثال، OpsManager بالنسبة لعامل Windows، إما الاتصال المباشر أو Operations Manager، Linux لجميع عوامل Linux، أو Azure لتشخيص Azure |
| TenantId | سلسلة | معرف مساحة عمل Log Analytics |
| TimeGenerated | datetime | التاريخ والوقت (UTC) عند إنشاء السجل. |
| نوع | سلسلة | اسم الجدول |
الموارد الإضافية
التدريب
الوحدة النمطية
إجراء تحقيقات الأجهزة في Microsoft Defender لنقطة النهاية - Training
إجراء تحقيقات الأجهزة في Microsoft Defender لنقطة النهاية
الشهادة
شهادة Microsoft معتمدة: شريك محلل عمليات الأمان - Certifications
التحقيق في التهديدات والبحث عنها والتخفيف من حدتها باستخدام Microsoft Sentinel وMicrosoft Defender for Cloud وMicrosoft 365 Defender.