Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato tabulka je součástí Microsoft Defenderu pro koncové body se službou Azure Sentinel. Tato tabulka obsahuje přihlášení a další události ověřování.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Podpora DCR v čase příjmu dat | Ano |
| Příjem dat pouze u jezera | Ano |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Doména účtu | řetězec | Doména účtu. |
| Název účtu | řetězec | Uživatelské jméno účtu. |
| AccountSid (identifikátor účtu) | řetězec | Identifikátor zabezpečení (SID) účtu. |
| Typ Akce | řetězec | Typ aktivity, která aktivovala událost |
| Další pole | dynamický | Další informace o entitě nebo události |
| Identifikátor kontejneru AppGuard | řetězec | Identifikátor virtualizovaného kontejneru používaného Application Guard k izolaci aktivity prohlížeče. |
| _FakturovanáVelikost | skutečný | Velikost záznamu v bajtech |
| Id zařízení | řetězec | Jedinečný identifikátor zařízení ve službě. |
| Název zařízení | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
| Důvod selhání | řetězec | Informace vysvětlující, proč zaznamenáná akce selhala. |
| Inicializování doményProcessAccountDomain | řetězec | Doména účtu, který spustil proces zodpovědný za událost. |
| Inicializování názvu účtuProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zodpovědný za událost. |
| ZahájeníProcessAccountObjectId | řetězec | ID objektu Azure AD uživatelského účtu, který spustil proces zodpovědný za událost. |
| Iniciace účtu procesu SID | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost. |
| Inicializování ProcessAccountUpn účtu | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. |
| InicializaceProcesuPříkazovéhoŘádku | řetězec | Příkazový řádek použitý ke spuštění procesu, který událost inicioval. |
| ZahájeníProcessCreationTime | datetime | Datum a čas zahájení procesu, který spustil událost. |
| SpouštěcíNázevSouboruProcesu | řetězec | Název procesu, který událost inicioval. |
| InicializaceVelikostSouboruProcesu | dlouhý | Velikost v bajtech procesu (obrázkové soubory), který zahájil událost. |
| ZahájeníProcessFolderPath | řetězec | Složka obsahující proces (soubor obrázku), která událost iniciovala. |
| IdZahajovacíProces | dlouhý | ID procesu (PID) procesu, který událost inicioval. |
| Úroveň integrity procesu | řetězec | Úroveň integrity procesu, který událost inicioval. Systém Windows přiřazuje úrovně integrity procesům na základě určitých charakteristik, například pokud byly spuštěny ze stahování z internetu. Tyto úrovně integrity ovlivňují oprávnění k prostředkům. |
| IniciaceProcesuMD5 | řetězec | Hodnota hash MD5 procesu (souboru obrázku), která událost iniciovala. |
| IniciaceProcessParentCreationTime | datetime | Datum a čas, kdy byl spuštěn nadřazený proces zodpovědný za událost. |
| ZahájeníProcessParentFileName | řetězec | Název nadřazeného procesu, který vyvolal proces zodpovědný za událost. |
| InicializaceProcessParentId | dlouhý | ID procesu (PID) nadřazeného procesu, který vytvořil proces zodpovědný za událost. |
| ZahájeníProcesuVzdálenéRelaceNázevZařízení | řetězec | Název zařízení vzdáleného zařízení, ze kterého byla zahájena relace protokolu RDP iniciátoru procesu. |
| Spuštění vzdálené relace procesu IP | řetězec | IP adresa vzdáleného zařízení, ze kterého byla zahájena relace protokolu RDP iniciátoru procesu. |
| IniciaceProcessSessionId | dlouhý | ID relace Systému Windows při zahájení procesu. |
| IniciaceProcessSHA1 | řetězec | Hodnota hash SHA-1 procesu (souboru obrázku), která událost iniciovala. |
| IniciaceProcessSHA256 | řetězec | Hodnota hash SHA-256 procesu (souboru obrázku), která událost iniciovala. Toto pole se obvykle nenaplní – pokud je k dispozici, použijte sloupec SHA1. |
| Iniciování zvýšení tokenu procesu | řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého u procesu, který událost inicioval. |
| IniciaceProcesUnikátníID | řetězec | Jedinečný identifikátor iniciačního procesu; to se rovná spouštěcímu klíči procesu na zařízeních s Windows. |
| ZahájeníVerzeInformacíNázevSpolečnosti | řetězec | Název společnosti z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| InicializacePopisSouboruVerzeProcesu | řetězec | Popis z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| IniciaceProcessVersionInfoInternalFileName | řetězec | Interní název souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| IniciaceProcessVersionInfoOriginalFileName | řetězec | Původní název souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| ZahajováníProcessVersionInfoProductName | řetězec | Název produktu z informací o verzi procesu (souboru obrázku) zodpovědného za událost. |
| IniciaceProcessVersionInfoProductVersion | řetězec | Verze produktu z informací o verzi procesu (souboru obrázku) zodpovědné za událost. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud má _IsBillable hodnotu false, příjem dat není účtován vašemu účtu Azure. |
| JeZahájenProcesVzdálenéRelace | Booleova hodnota | Označuje, jestli byl proces iniciace spuštěný v relaci protokolu RDP (Remote Desktop Protocol) (true) nebo místně (false). |
| IsLocalAdmin | Booleova hodnota | Logický indikátor toho, jestli je uživatel na počítači místním správcem. |
| Přihlašovací ID | dlouhý | Identifikátor přihlašovacího sezení. Tento identifikátor je jedinečný pouze na stejném počítači mezi restartováními. |
| Typ přihlášení | řetězec | Typ přihlašovací relace, konkrétně interaktivní, vzdálená interaktivní (RDP), síťová, dávková a služba. |
| Skupina strojů | řetězec | Skupina strojů stroje. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
| Protokol | řetězec | Protokol používaný během komunikace. |
| NázevVzdálenéhoZařízení | řetězec | Název zařízení, které provedlo vzdálenou operaci na ovlivněném počítači V závislosti na hlášené události může být tento název plně kvalifikovaný doménový název (FQDN), název NetBIOS nebo název hostitele bez informací o doméně. |
| Vzdálená IP adresa (RemoteIP) | řetězec | IP adresa, ke které bylo připojeno. |
| Typ vzdálené IP adresy | řetězec | Typ IP adresy, například veřejná, privátní, rezervovaná, smyčková, Teredo, FourToSixMapping a všesměrové vysílání. |
| RemotePort | int (integer) | Port TCP na vzdáleném zařízení, ke kterému se připojujete. |
| ReportId | dlouhý | Identifikátor události založený na opakujícím se čítači. Chcete-li identifikovat jedinečné události, musí být tento sloupec použit ve spojení se sloupci ComputerName a EventTime. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| Identifikátor Nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Čas vygenerování | datetime | Datum a čas, kdy událost zaznamenal agent MDE na koncovém bodu. |
| Typ | řetězec | Název tabulky |