Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Normalizovaná tabulka událostí procesu Microsoft Sentinelu ukládá události pomocí normalizovaného schématu ASIM, které souvisí s vytvořením nebo ukončením procesu. Tyto události jsou hlášeny operačními systémy a systémy zabezpečení, jako jsou systémy detekce koncových bodů a reakce EDR.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/processeventnormalized |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Podpora DCR v čase příjmu dat | Ano |
| Příjem dat pouze u jezera | Ano |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Příkazový řádek pro běžící proces | řetězec | Příkazový řádek použitý ke spuštění procesu činu. |
| ČasVznikuProcesuJednání | datetime | Datum a čas, kdy byl zahájen proces jednání. |
| ActingProcessFileCompany | řetězec | Společnost, která vytvořila soubor s obrázkem procesu herectví. |
| PopisSouboruProcesuPředstavení | řetězec | Popis vložený do informací o verzi souboru obrazu běžícího procesu. |
| ActingProcessFileInternalName | řetězec | Název interního souboru produktu z informací o verzi souboru obrazové kopie aktuálního procesu. |
| ActingProcessFilename | řetězec | Název souboru produktu z informací o verzi souboru obrazu probíhajícího procesu. |
| ProcesZpracovaniPuvodniNazevSouboru | řetězec | Původní název souboru programu získaný z informací o verzi souboru bitové kopie běžícího procesu. |
| ActingProcessFileProduct | řetězec | Název produktu z informací o verzi v souboru procesu. |
| ActingProcessFileSize | dlouhý | Velikost souboru v bajtech, který běžel během probíhajícího procesu. |
| Verze Souboru Účinného Procesu | řetězec | Verze produktu z informací o verzi souboru bitové kopie aktivního procesu. |
| ActingProcessGuid | řetězec | Identifikátor GUID aktivního procesu. |
| IdAktivníhoProcesu | řetězec | ID procesu, který aktuálně běží. |
| ActingProcessIMPHASH | řetězec | Importní hash všech knihoven DLL, které jsou používány aktuálním procesem. |
| AdresaInjekceProcesuVJednání | řetězec | Adresa paměti, ve které je uložen zodpovědný proces činu. |
| Úroveň integrity procesu jednání | řetězec | Úroveň integrity pro aktuální proces. |
| PrůběhČinnostiJeSkrytý | Booleova hodnota | Označení, zda je proces činu ve skrytém režimu. |
| ActingProcessMD5 | řetězec | Hodnota hash MD5 obrazového souboru procesu. |
| NázevAkčníhoProcesu | řetězec | Název procesu jednání. |
| ActingProcessSHA1 | řetězec | SHA-1 hash obrázku souboru běžícího procesu. |
| ActingProcessSHA256 | řetězec | Hash SHA-256 souboru obrazového procesu. |
| ActingProcessSHA512 | řetězec | Hash SHA-512 obrazového souboru procesu. |
| ActingProcessTokenElevation | řetězec | Token označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého pro tento proces. |
| TypPůvodníhoUživateleAktéra | řetězec | Typ uživatele hlášený hlásicím zařízením. |
| ActorScope | řetězec | Obor, například tenant Azure AD, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorScopeId | řetězec | ID oboru, například ID tenanta Azure AD, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID přihlašovací relace herce. |
| ActorUserId | řetězec | Strojově čitelná, alfanumerická a jedinečná reprezentace entity. |
| Typ AktérUživatelskéID | řetězec | Typ ID uloženého v poli ActorUserId. |
| HerecUzivatelskeJmeno | řetězec | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. |
| TypUživatelskéhoJménaAktéra | řetězec | Typ uživatelského jména objektu Actor zadaného v poli ActionUsername |
| Typ uživatele aktér | řetězec | Typ objektu Actor. |
| Doplňková pole | dynamický | Další informace, reprezentované pomocí párů klíč a hodnota poskytnuté zdrojem, které se nemapují na ASim. |
| _FakturovanáVelikost | reálný | Velikost záznamu v bajtech |
| DvcAction | řetězec | U systémů zabezpečení se jedná o akce prováděné systémem. |
| Popis dvcDescription | řetězec | Popisný text přidružený k zařízení |
| DvcDomain | řetězec | Doména zařízení hlásí událost. |
| DvcDomainType | řetězec | Typ domény Dvc. Mezi možné hodnoty patří Windows a FQDN. |
| DvcFQDN | řetězec | Název hostitele zařízení, na kterém došlo k události nebo na které byla událost hlášena. |
| DvcHostname | řetězec | Název hostitele zařízení, které hlásí událost. |
| DvcId | řetězec | Jedinečné ID zařízení, na kterém došlo k události nebo které událost nahlásila. |
| DvcIdType (typ identifikátoru zařízení) | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém byla zaznamenána data. |
| DvcIpAddr | řetězec | IP adresa zařízení, které hlásí událost. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. |
| DvcOriginalAction | řetězec | Původní DvcAction, jak poskytuje hlásicí zařízení. |
| DvcOs | řetězec | Operační systém spuštěný na zařízení, na kterém došlo k události nebo na kterém byla událost hlášena. |
| DvcOsVersion | řetězec | Verze operačního systému v zařízení, na kterém došlo k události nebo která ohlásila událost. |
| DvcScope | řetězec | Rozsah cloudové platformy, do které zařízení patří. DvcScope mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId mapuje ID předplatného v Azure a ID účtu v AWS. |
| DvcZone | řetězec | Síť, na které došlo k události nebo která ohlásila událost. |
| Počet událostí | int (integer) | Počet událostí popsaných záznamem. |
| Čas ukončení události | datetime | Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud to nezadá zdrojový záznam, toto pole slouží jako alias pro pole TimeGenerated. |
| Zpráva o události | řetězec | Obecná zpráva nebo popis |
| Podrobnosti o původním výsledku události | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. |
| Původní závažnost události | řetězec | Původní závažnost poskytovaná hlásicím zařízením. |
| PůvodníPodtypUdálosti | řetězec | Původní podtyp nebo ID události, pokud zdroj poskytuje. |
| TypPůvodníUdálosti | řetězec | Původní typ nebo ID události, pokud zdroj poskytuje. |
| UdálostOriginálníUid | řetězec | Jedinečné ID původního záznamu, pokud zdroj poskytuje. |
| Vlastník události | řetězec | Vlastník události, která je obvykle oddělením nebo dceřinou společností, ve které byla vygenerována. |
| EventProduct | řetězec | Produkt, který událost generuje. |
| Událost verze produktu | řetězec | Verze produktu generující událost. |
| URL zprávy o události | řetězec | Adresa URL zadaná v události pro prostředek, který poskytuje další informace o události. |
| VýsledekUdálosti | řetězec | Výsledek události je reprezentován jednou z následujících hodnot: Úspěch, Částečný, Selhání, NA (Nepoužitelné). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| PodrobnostiVýsledkuUdálosti | řetězec | Důvod nebo podrobnosti výsledku hlášeného v poli EventResult |
| EventSchemaVersion | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| ČasZačátkuUdálosti | datetime | Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud to nezadá zdrojový záznam, toto pole slouží jako alias pro pole TimeGenerated. |
| PodtypUdálosti | řetězec | Popisuje dílčí rozdělení operace hlášené v poli EventType. |
| Typ události | řetězec | Operaci hlášenou záznamem popisuje. |
| EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud _IsBillable je false, příjem dat se neúčtuje na váš účet Azure. |
| ČasVytvořeníRodičovskéhoProcesu | datetime | Datum a čas spuštění nadřazeného procesu. |
| ParentProcessFileCompany | řetězec | Společnost, která vytvořila obrazový soubor nadřazeného procesu. |
| PopisSouboruNadřazenéhoProcesu | řetězec | Popis z informací o verzi souboru image nadřazeného procesu. |
| ParentProcessFileProduct | řetězec | Název produktu z informací o verzi v souboru image nadřazeného procesu. |
| ParentProcessFileVersion | řetězec | Verze produktu z informací o verzi souboru image nadřazeného procesu. |
| ParentProcessGuid | řetězec | Identifikátor GUID nadřazeného procesu. |
| ID nadřazeného procesu | řetězec | Identifikátor procesu nadřazeného procesu. |
| ParentProcessIMPHASH | řetězec | Import hash všech DLL knihoven, které jsou používány nadřazeným procesem. |
| AdresaInjektovanéhoProcesuRodiče | řetězec | Adresa paměti, kde je uložen nadřazený odpovědný proces. |
| Úroveň integrity nadřazeného procesu | řetězec | Úroveň integrity pro rodičovský proces |
| Nadřazený proces je skrytý | Booleova hodnota | Označení, zda je nadřazený proces ve skrytém režimu. |
| ParentProcessMD5 | řetězec | Hash MD5 obrazového souboru rodičovského procesu. |
| NázevNadřazenéhoProcesu | řetězec | Název nadřazeného procesu. |
| ParentProcessSHA1 | řetězec | SHA-1 hash obrazového souboru nadřazeného procesu. |
| ParentProcessSHA256 | řetězec | SHA-256 hash rodičovského obrazového souboru procesu. |
| ParentProcessSHA512 | řetězec | Hash SHA-512 souboru obrazu nadřazeného procesu. |
| ParentProcessTokenElevation | řetězec | Token označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého u nadřazeného procesu. |
| _ResourceId (ID zdroje) | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Název pravidla | řetězec | Název nebo ID pravidla přidružené k výsledkům kontroly. |
| ČísloPravidla | int (integer) | Počet pravidel přidružených k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, kterým byla událost shromážděna. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| _PředplatnéId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| CílovýPůvodníTypUživatele | řetězec | Typ uživatele hlášený hlásicím zařízením. |
| Příkazový řádek TargetProcess | řetězec | Příkazový řádek použitý ke spuštění cílového procesu. |
| ČasVytvořeníCílovéhoProcesu | datetime | Datum a čas spuštění cílového procesu. |
| TargetProcessCurrentDirectory | řetězec | Aktuální adresář, ve kterém je cílový proces proveden. |
| TargetProcessFileCompany | řetězec | Společnost, která vytvořila soubor obrazu cílového procesu. |
| PopisSouboruProcesuCíl | řetězec | Popis verze obrazového souboru cílového procesu. |
| Vnitřní název cílového souboru procesu | řetězec | Interní název souboru produktu z informací o verzi souboru image cílového procesu. |
| CílovýNázevProcesu | řetězec | Název produktového souboru z informací o verzi obrazového souboru cílového procesu. |
| TargetProcessFileOriginalName | řetězec | Původní název souboru produktu podle údajů o verzi obrazového souboru cílového procesu. |
| TargetProcessFileProduct | řetězec | Název produktu z informací o verzi v obrazovém souboru cílového procesu. |
| TargetProcessFileSize | dlouhý | Velikost souboru v bajtech, který spustil proces odpovědný za událost. |
| TargetProcessFileVersion | řetězec | Verze produktu z informací o verzi obrazového souboru cílového procesu. |
| TargetProcessGuid | řetězec | Identifikátor GUID cílového procesu. |
| ID cílového procesu | řetězec | ID cílového procesu. |
| TargetProcessIMPHASH | řetězec | Importní hash všech knihoven DLL používaných cílovým procesem. |
| CílováProcesVstřikovanáAdresa | řetězec | Adresa paměti, ve které je uložený zodpovědný cílový proces. |
| Úroveň integrity cílového procesu | řetězec | Úroveň integrity pro cílový proces |
| ProcesCílJeSkrytý | Booleova hodnota | Označení, jestli je cílový proces ve skrytém režimu. |
| TargetProcessMD5 | řetězec | MD5 hash obrazového souboru cílového procesu. |
| NázevCílovéhoProcesu | řetězec | Název cílového procesu. |
| TargetProcessSHA1 | řetězec | SHA-1 hash dokumentu obrazu cílového procesu. |
| TargetProcessSHA256 | řetězec | SHA-256 hash obrazového souboru cílového procesu. |
| TargetProcessSHA512 | řetězec | Hodnota hash SHA-512 souboru obrázku cílového procesu. |
| TargetProcessStatusCode | řetězec | Ukončovací kód vrácený cílovým procesem při ukončení. |
| TargetProcessTokenElevation | řetězec | Token označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého u cílového procesu. |
| Cílový rozsah | řetězec | Obor, například tenant Azure AD, ve kterém jsou definovány TargetUserId a TargetUsername. |
| CílovýRozsahId | řetězec | ID oboru, například ID tenanta Azure AD, ve kterém jsou definovány TargetUserId a TargetUsername. |
| CílovéIDUživatele | řetězec | Strojově čitelná, alfanumerická a jedinečná reprezentace entity. |
| TypCílovéhoUživatelskéhoID | řetězec | Typ ID uloženého v poli TargetUserId. |
| CílovéUživatelskéJméno | řetězec | Uživatelské jméno aktéra, včetně dostupných informací o doméně. |
| Typ cílového uživatelského jména | řetězec | Typ uživatelského jména cílového herce zadaného v poli TargetUsername |
| TargetUserSessionGuid | řetězec | Jedinečný globálně unikátní identifikátor přihlašovací relace cílového účastníka. |
| TargetUserSessionId | řetězec | Jedinečné ID přihlašovací relace cílového aktéra. |
| Typ cílového uživatele | řetězec | Typ cílového herce. |
| Identifikátor nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Kategorie hrozeb | řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě. |
| Důvěra v hrozbu | int (integer) | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| Pole hrozeb | řetězec | Pole, pro které byla zjištěna hrozba. |
| ČasPrvníhoNahlášeníHrozby | datetime | Poprvé bylo zjištěno, že IP adresa nebo doména představuje hrozbu. |
| Identifikátor hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě. |
| HrozbaJeAktivní | Booleova hodnota | Skutečné ID zjištěné hrozby se považuje za aktivní hrozbu. |
| Čas posledního nahlášení hrozby | datetime | Doba posledního zjištění IP adresy nebo domény jakožto hrozby. |
| Název hrozby | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě. |
| PůvodníDůvěraHrozby | řetězec | Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| Původní úroveň rizika hrozby | řetězec | Úroveň rizika hlášená hlásícím zařízením. |
| Úroveň Rizika Hrozby | int (integer) | Úroveň rizika spojená s identifikovanou hrozbou. Úroveň by měla být číslo od 0 do 100. |
| Čas vygenerování | datetime | Časové razítko (UTC) odráží čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |