Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato tabulka je součástí Microsoft Defenderu pro koncové body se službou Azure Sentinel. Tato tabulka obsahuje více typů událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je Antivirová ochrana v programu Windows Defender a ochrana před zneužitím.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Transformace v čase příjmu dat | Ano |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Doména účtu | řetězec | Doména účtu. |
| Název účtu | řetězec | Uživatelské jméno účtu. |
| AccountSid (identifikátor účtu) | řetězec | Identifikátor zabezpečení (SID) účtu. |
| Typ akce | řetězec | Typ aktivity, která aktivovala událost |
| Další pole | dynamický | Další informace o entitě nebo události |
| Identifikátor kontejneru AppGuard | řetězec | Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivity prohlížeče. |
| _FakturovanáVelikost | skutečný | Velikost záznamu v bajtech |
| IdVytvořenéhoProcesuSession | dlouhý | ID relace systému Windows pro vytvořený proces. |
| Id zařízení | řetězec | Jedinečný identifikátor zařízení ve službě. |
| Název zařízení | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
| Název souboru | řetězec | Doména účtu. |
| IP původu souboru | řetězec | IP adresa, ze které byl soubor stažen. |
| PůvodníAdresaSouboru | řetězec | Adresa URL, ze které byl soubor stažen. |
| Velikost souboru | dlouhý | Velikost souboru v bajtech |
| Cesta ke složce | řetězec | Doména účtu. |
| Inicializování doményProcessAccountDomain | řetězec | Doména účtu, který spustil proces zodpovědný za událost. |
| Inicializace názvu účtu ProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zodpovědný za událost. |
| Zahajení procesu AccountObjectId | řetězec | ID objektu Azure AD uživatelského účtu, který spustil proces zodpovědný za událost. |
| Iniciace procesu AccountSid | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost. |
| Inicializování účtuProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. |
| IniciaceProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu, který událost inicioval. |
| Čas zahájení vytváření procesu | datetime | Datum a čas zahájení procesu, který spustil událost. |
| InicializaceProcessFileName | řetězec | Název procesu, který událost inicioval. |
| IniciováníVelikostiSouboruProcesu | dlouhý | Velikost v bajtech souboru, který spustil proces zodpovědný za událost. |
| IniciováníProcessSložkaCesta | řetězec | Složka obsahující proces (soubor obrázku), která událost iniciovala. |
| IniciaceProcessId | dlouhý | ID procesu (PID) procesu, který událost inicioval. |
| IniciaceProcessLogonId | dlouhý | Identifikátor přihlašovací relace procesu, který událost inicioval. Tento identifikátor je jedinečný pouze na stejném počítači mezi restartováními. |
| IniciaceProcessMD5 | řetězec | MD5 hash procesního souboru, který inicioval událost. |
| ZahájeníProcesuNadřazenýČasVytvoření | datetime | Datum a čas, kdy byl spuštěn nadřazený proces zodpovědný za událost. |
| IniciaceProcessParentFileName | řetězec | Název nadřazeného procesu, který vyvolal proces zodpovědný za událost. |
| IniciaceProcessParentId | dlouhý | ID procesu (PID) nadřazeného procesu, který spustil proces zodpovědný za událost. |
| Zahájení procesu vzdáleného připojení Device Name | řetězec | Název vzdáleného zařízení, ze kterého byla zahájena relace protokolu RDP iniciujícího procesu. |
| IniciaceProcessRemoteSessionIP | řetězec | IP adresa vzdáleného zařízení, ze kterého byla zahájena relace protokolu RDP iniciátoru procesu. |
| ZahájeníProcessSessionId | dlouhý | ID relace Systému Windows při zahájení procesu. |
| IniciaceProcessSHA1 | řetězec | Hodnota hash SHA-1 procesu (souboru obrázku), která událost iniciovala. |
| IniciaceProcessSHA256 | řetězec | Hash SHA-256 obrazového souboru procesu, který událost inicioval. Toto pole se obvykle nenaplní – pokud je k dispozici, použijte sloupec SHA1. |
| IniciaceProcesUnikátníID | řetězec | Jedinečný identifikátor iniciačního procesu; to se rovná spouštěcímu klíči procesu na zařízeních s Windows. |
| InicializaceProcessVersionInfoCompanyName | řetězec | Název společnosti z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| InicializacePopisVerzeProcesuSouboru | řetězec | Popis z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| IniciaceProcessVersionInfoInternalFileName | řetězec | Interní název souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| IniciaceProcessVersionInfoOriginalFileName | řetězec | Původní název souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| IniciaceProcessVersionInfoProductName | řetězec | Název produktu z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| IniciaceProcessVersionInfoProductVersion | řetězec | Verze produktu z informací o verzi procesu (souboru obrázku) zodpovědné za událost. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud se příjem dat _IsBillable false neúčtuje vašemu účtu Azure |
| JeZahájenProcesVzdálenéRelace | Booleova hodnota | Označuje, jestli byl proces iniciace spuštěný v relaci protokolu RDP (Remote Desktop Protocol) (true) nebo místně (false). |
| IsProcessRemoteSession | Booleova hodnota | Označuje, jestli byl vytvořený proces spuštěný v relaci protokolu RDP (Remote Desktop Protocol) (true) nebo místně (false). |
| Místní IP (LocalIP) | řetězec | IP adresa přiřazená místnímu počítači používanému během komunikace. |
| Místní port | int (integer) | Port TCP na místním počítači, který se používá při komunikaci. |
| ID přihlášení | dlouhý | Identifikátor pro přihlašovací relaci. Tento identifikátor je jedinečný pouze na stejném počítači mezi restartováními. |
| Skupina strojů | řetězec | Skupina strojů stroje. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
| MD5 | řetězec | MD5 hash souboru, na který byla použitá akce. |
| ProcessCommandLine | řetězec | Příkazový řádek použitý k vytvoření nového procesu |
| ČasVytvořeníProcesu | datetime | Datum a čas vytvoření procesu |
| Id procesu | dlouhý | ID procesu (PID) nově vytvořeného procesu. |
| ZpracovatNázevZařízeníVzdálenéhoSezení | řetězec | Název zařízení vzdáleného zařízení, ze kterého byla spuštěna relace protokolu RDP vytvořeného procesu. |
| ProcessRemoteSessionIP | řetězec | IP adresa vzdáleného zařízení, ze kterého byla zahájena relace protokolu RDP vytvořeného procesu. |
| ProcessTokenElevation | řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého u nově vytvořeného procesu. |
| Klíč registru | řetězec | Klíč registru, na který byla aplikována zaznamenaná akce. |
| Data Hodnoty Registru | řetězec | Data hodnoty registru, na kterou byla aplikována zaznamenaná akce. |
| Název_hodnoty_registru | řetězec | Název hodnoty registru, na kterou byla zaznamenána akce. |
| NázevVzdálenéhoZařízení | řetězec | Název zařízení, které provedlo vzdálenou operaci na ovlivněném počítači V závislosti na hlášené události může být tento název plně kvalifikovaný název domény (FQDN), název NetBIOS nebo název hostitele bez informací o doméně. |
| Vzdálená IP adresa (RemoteIP) | řetězec | IP adresa, ke které bylo připojeno. |
| RemotePort | int (integer) | Port TCP na vzdáleném zařízení, ke kterému se připojujete. |
| VzdálenáURL | řetězec | Adresa URL nebo plně kvalifikovaný název domény (FQDN), ke kterému bylo navázáno spojení. |
| ReportId | dlouhý | Identifikátor události založený na opakujícím se čítači. Chcete-li identifikovat jedinečné události, musí být tento sloupec použit ve spojení se sloupci ComputerName a EventTime. |
| SHA1 | řetězec | SHA-1 hash souboru, na který byla aplikována zaznamenaná akce. |
| SHA256 | řetězec | SHA-256 souboru, na který byla aplikována zaznamenaná akce. |
| SourceSystem | řetězec | Typ agenta, jenž událost zaznamenal. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| Identifikátor nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Čas vygenerování | datetime | Datum a čas, kdy událost zaznamenal agent MDE na koncovém bodu. |
| Typ | řetězec | Název tabulky |