Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tabulka událostí spouštění skriptů v programu Microsoft Defender for Endpoints (MDE) pro scénář vlastní kolekce Tato tabulka obsahuje informace o spuštění skriptu a souvisejících podrobnostech o procesu na základě výslovné žádosti zákazníka o sběr dat.
Vlastnosti tabulky
| Vlastnost | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | Správa logů |
| Základní protokol | Ano |
| Transformace během ingestace | Ne |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Typ akce | řetězec | Typ aktivity, která aktivovala událost. |
| _Fakturovaná velikost | opravdový | Velikost záznamu v bajtech. |
| Id zařízení | řetězec | Jedinečný identifikátor zařízení ve službě. |
| Název zařízení | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
| Zahájení domény ProcessAccountDomain | řetězec | Doména účtu, který spustil proces zodpovědný za událost. |
| Inicializace jména účtu ProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zodpovědný za událost. |
| Zahajení procesu AccountObjectId | řetězec | ID objektu Azure AD uživatelského účtu, který spustil proces zodpovědný za událost. |
| Iniciace účtu procesu SID | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost. |
| Inicializování účtu ProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. |
| Zahájení příkazového řádku procesu | řetězec | Příkazový řádek použitý ke spuštění procesu, který událost inicioval. |
| Čas zahájení vytváření procesu | datetime | Datum a čas zahájení procesu, který spustil událost. |
| SpouštěcíNázevSouboruProcesu | řetězec | Název procesu, který událost inicioval. |
| IniciováníVelikostiSouboruProcesu | dlouhý | Velikost procesu (souboru obrázku), který událost inicioval. |
| IniciováníProcessFolderPath | řetězec | Složka obsahující proces (soubor obrázku), která událost iniciovala. |
| ID zahajovacího procesu | dlouhý | ID procesu (PID) procesu, který událost inicioval. |
| ZahájeníProcesuMD5 | řetězec | Hash MD5 procesu (obrazového souboru), který událost inicioval. |
| Zahájení procesu času vytvoření rodiče | datetime | Datum a čas, kdy byl spuštěn proces zodpovědný za událost. |
| IniciováníProcessParentFileName | řetězec | Název nadřazeného procesu, který vyvolal proces zodpovědný za událost. |
| ZainiciováníProcessParentId | dlouhý | ID procesu (PID) nadřazeného procesu, který spustil proces zodpovědný za událost. |
| SpouštěníProcessSHA1 | řetězec | Hodnota hash SHA-1 procesu (souboru obrázku), která událost iniciovala. |
| Zahájení procesuSHA256 | řetězec | Hash SHA-256 procesu (obrazového souboru), který spustil událost. Toto pole se obvykle nenaplní – pokud je k dispozici, použijte sloupec SHA1. |
| ZahajováníStavPodpisuProcesu | řetězec | Informace o stavu podpisu procesu (souboru obrázku), který událost inicioval. |
| TypPodpisovateleProcesuIniciace | řetězec | Typ souboru podepisujícího proces (soubor obrázku), který událost inicioval. |
| Zahájení ProcessVersionInfoCompanyName | řetězec | Název společnosti z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| ZahájeníProcessVersionInfoFileDescription | řetězec | Popis z informací o verzi procesu (obrazového souboru) odpovědného za událost. |
| ZahájeníProcessVersionInfoInternalFileName | řetězec | Interní název souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| InitiatingProcessVersionInfoOriginalFileName | řetězec | Původní název souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| Iniciace Proces Version Informace Produkt Název | řetězec | Název produktu z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| ZahájeníProcessVersionInfoProductVersion | řetězec | Verze produktu z informací o verzi procesu (obrazového souboru) odpovědného za událost. |
| _JeVyúčtovatelné | řetězec | Určuje, zda je ingestion dat zpoplatněna. Když _IsBillable je false, ingestace není fakturována na váš účet Azure. |
| ReportId | dlouhý | Identifikátor události založený na opakujícím se počítadle. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci DeviceName a Timestamp. |
| ČasPosledníÚpravyPravidla | datetime | Datum a čas poslední změny pravidla, které zachytilo událost. |
| NázevPravidla | řetězec | Název pravidla, které zachytilo událost |
| ScriptContent | řetězec | Obsah spuštěného skriptu |
| ScriptContentSHA256 | řetězec | SHA256 přes obsah skriptu |
| SourceSystem | řetězec | Typ agenta, pomocí kterého byla událost zaznamenána. Například OpsManager pro agenta Windows, buď pro přímé připojení, nebo pro Operations Manager, Linux pro všechny agenty Linuxu, nebo Azure pro Azure Diagnostics. |
| Identifikátor nájemce (TenantId) | řetězec | ID pracovního prostoru služby Log Analytics |
| Čas vygenerování | datetime | Datum a čas, kdy událost zaznamenal agent MDE na koncovém bodu. |
| Časová značka | datetime | Datum a čas vygenerování záznamu |
| Typ | řetězec | Název tabulky |