Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Tabelle ist Teil von Microsoft Defender für Endpunkte mit Azure Sentinel. Diese Tabelle enthält mehrere Ereignistypen, einschließlich von Sicherheitssteuerelementen ausgelösten Ereignissen wie Windows Defender Antivirus und Exploit-Schutz.
Tabellenattribute
| Attribut | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | - |
Spalten
| Säule | Typ | Beschreibung |
|---|---|---|
| Kontodomain | Zeichenfolge | Domäne des Kontos. |
| Kontoname | Zeichenfolge | Benutzername des Kontos. |
| AccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos. |
| Aktionstyp | Zeichenfolge | Typ der Aktivität, die das Ereignis ausgelöst hat. |
| Zusätzliche Felder | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId | Zeichenfolge | Bezeichner für den virtualisierten Container, der von Application Guard verwendet wird, um Browseraktivitäten zu isolieren. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| CreatedProcessSessionId | long | Windows-Sitzungs-ID des erstellten Prozesses. |
| Geräte-ID | Zeichenfolge | Eindeutiger Bezeichner für das Gerät im Dienst. |
| Gerätename | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts. |
| Dateiname | Zeichenfolge | Domäne des Kontos. |
| DateiHerkunftsIP | Zeichenfolge | IP-Adresse, von der die Datei heruntergeladen wurde. |
| DateiUrsprungsUrl | Zeichenfolge | URL, von der die Datei heruntergeladen wurde. |
| Dateigröße | long | Die Länge der Datei in Bytes. |
| FolderPath | Zeichenfolge | Domäne des Kontos. |
| InitiatingProcessAccountDomain | Zeichenfolge | Domäne des Kontos, das den für das Ereignis zuständigen Prozess ausgeführt hat. |
| InitiatingProcessAccountName | Zeichenfolge | Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessAccountObjectId | Zeichenfolge | Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiierung von ProcessAccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessAccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessCommandLine | Zeichenfolge | Befehlszeile zum Ausführen des Prozesses, der das Ereignis initiiert hat. |
| Initiierung von ProcessCreationTime | Datum/Uhrzeit | Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| Name der initiierenden Prozessdatei | Zeichenfolge | Name des Prozesses, der das Ereignis initiiert hat. |
| InitiatingProcessFileSize | long | Größe in Byte der Datei, die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessFolderPath | Zeichenfolge | Ordner mit dem Prozess (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessId | long | Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
| InitiatingProcessLogonId | long | Bezeichner für eine Anmeldesitzung des Prozesses, der das Ereignis initiiert hat. Dieser Bezeichner ist nur auf demselben Computer zwischen Neustarts eindeutig. |
| InitiatingProcessMD5 | Zeichenfolge | MD5-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessParentCreationTime | Datum/Uhrzeit | Datum und Uhrzeit, zu dem das übergeordnete Element des Prozesses, der für das Ereignis verantwortlich ist, gestartet wurde |
| InitiatingProcessParentFileName | Zeichenfolge | Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess ausgelöst hat |
| InitiatingProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess gestartet hat. |
| InitiatingProcessRemoteSessionDeviceName | Zeichenfolge | Gerätename des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| InitiatingProcessRemoteSessionIP | Zeichenfolge | IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| InitiatingProcessSessionId | long | Windows-Sitzungs-ID des initiierenden Prozesses. |
| Starten von ProcessSHA1 | Zeichenfolge | SHA-1-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| Initiierungsprozess SHA256 | Zeichenfolge | SHA-256-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. Dieses Feld wird in der Regel nicht aufgefüllt – verwenden Sie die SHA1-Spalte, wenn verfügbar. |
| InitiatingProcessUniqueId | Zeichenfolge | Eindeutiger Bezeichner des initiierenden Prozesses; dies entspricht dem Prozessstartschlüssel auf Windows-Geräten. |
| InitiatingProcessVersionInfoCompanyName | Zeichenfolge | Firmenname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoFileDescription | Zeichenfolge | Beschreibung aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoInternalFileName | Zeichenfolge | Interner Dateiname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoOriginalFileName | Zeichenfolge | Der ursprüngliche Dateiname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiierungsprozessVersionsinformationenProduktname | Zeichenfolge | Produktname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoProductVersion | Zeichenfolge | Produktversion aus den Versionsinformationen des Prozesses (Imagedatei), der für das Event verantwortlich ist. |
| _IstAbrechnungsfähig | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung nicht in Ihrem Azure-Konto in Rechnung gestellt. |
| IsInitiatingProcessRemoteSession | Boolesch | Gibt an, ob der Initiierenvorgang unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
| IsProcessRemoteSession | Boolesch | Gibt an, ob der erstellte Prozess unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
| Lokale IP-Adresse | Zeichenfolge | IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird. |
| Lokaler Port | Ganzzahl | TCP-Port auf dem lokalen Computer, der während der Kommunikation verwendet wird. |
| Anmelde-ID | long | Bezeichner für eine Anmeldesitzung Dieser Bezeichner ist nur auf demselben Computer zwischen Neustarts eindeutig. |
| MaschinenGruppe | Zeichenfolge | Computergruppe des Computers Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| MD5 | Zeichenfolge | MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| ProcessCommandLine | Zeichenfolge | Befehlszeile zum Erstellen des neuen Prozesses. |
| ProzessErstellungszeit | Datum/Uhrzeit | Datum und Uhrzeit der Erstellung des Prozesses. |
| Prozess-ID | long | Prozess-ID (PID) des neu erstellten Prozesses. |
| ProcessRemoteSessionDeviceName | Zeichenfolge | Gerätename des Remotegeräts, von dem die RDP-Sitzung des erstellten Prozesses initiiert wurde. |
| ProcessRemoteSessionIP | Zeichenfolge | IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des erstellten Prozesses initiiert wurde. |
| ProcessTokenElevation | Zeichenfolge | Tokentyp, der angibt, dass die Rechteerweiterung der Benutzerzugriffssteuerung (User Access Control, UAC) auf den neu erstellten Prozess angewendet wird oder nicht vorhanden ist. |
| Registry-Schlüssel (RegistryKey) | Zeichenfolge | Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde. |
| RegistryValueData | Zeichenfolge | Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
| RegistryValueName | Zeichenfolge | Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
| FernGerätename | Zeichenfolge | Name des Geräts, das einen Remotevorgang auf dem betroffenen Computer ausgeführt hat. Je nach gemeldetem Ereignis kann dieser Name ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN), ein NetBIOS-Name oder ein Hostname ohne Domäneninformationen sein. |
| Fern-IP | Zeichenfolge | IP-Adresse, mit der eine Verbindung hergestellt wurde. |
| RemotePort | Ganzzahl | TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde. |
| RemoteUrl | Zeichenfolge | URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde. |
| ReportId | long | Ereignisbezeichner basierend auf einem sich wiederholenden Zähler. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| SHA1 | Zeichenfolge | SHA-1-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SHA256 | Zeichenfolge | SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SourceSystem | Zeichenfolge | Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Datum und Uhrzeit der Aufzeichnung des Ereignisses durch den MDE-Agent auf dem Endpunkt. |
| Typ | Zeichenfolge | Der Name der Tabelle. |