ASimProcessEventLogs
La tabla normalizada de eventos de proceso de Microsoft Sentinel almacena eventos mediante el esquema normalizado process Event ASIM asociado a la creación o finalización de un proceso. Los sistemas operativos y los sistemas de seguridad, como EDR (detección y respuesta de punto de conexión), notifican tales eventos.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/processeventnormalized |
| Categorías | Seguridad |
| Soluciones | SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| ActingProcessCommandLine | string | Línea de comandos utilizada para ejecutar el proceso de acción. |
| ActingProcessCreationTime | datetime | La fecha y hora en que se inició el proceso de acción. |
| ActingProcessFileCompany | string | La empresa que creó el archivo de imagen del proceso de acción. |
| ActingProcessFileDescription | string | Descripción insertada en la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFileInternalName | string | Nombre de archivo interno del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFilename | string | Nombre del archivo de producto de la información de versión del archivo de imagen del proceso de acción. |
| ActingProcessFileOriginalName | string | Nombre de archivo original del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFileProduct | string | Nombre del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFileSize | long | Tamaño del archivo en bytes que ejecutó el proceso de acción. |
| ActingProcessFileVersion | string | Versión del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessGuid | string | GUID del proceso de acción. |
| ActingProcessId | string | Identificador de proceso del proceso que actúa. |
| ActingProcessIMPHASH | string | Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso de acción. |
| ActingProcessInjectedAddress | string | Dirección de memoria en la que se almacena el proceso de acción responsable. |
| ActingProcessIntegrityLevel | string | Nivel de integridad para el proceso de actuación. |
| ActingProcessIsHidden | bool | Indicación de si el proceso de acción está en modo oculto. |
| ActingProcessMD5 | string | Hash MD5 del archivo de imagen del proceso de acción. |
| ActingProcessName | string | Nombre del proceso de acción. |
| ActingProcessSHA1 | string | Hash SHA-1 del archivo de imagen del proceso de acción. |
| ActingProcessSHA256 | string | Hash SHA-256 del archivo de imagen del proceso de acción. |
| ActingProcessSHA512 | string | Hash SHA-512 del archivo de imagen del proceso de acción. |
| ActingProcessTokenElevation | string | Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso de acción. |
| ActorOriginalUserType | string | Tipo de usuario indicado por el dispositivo de informes. |
| ActorScope | string | Ámbito, como el inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| ActorScopeId | string | El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| ActorSessionId | string | Identificador único de la sesión de inicio de sesión del actor. |
| ActorUserId | string | Representación única, alfanumérica y legible por máquina del actor. |
| ActorUserIdType | string | Tipo del identificador almacenado en el campo ActorUserId. |
| ActorUsername | string | El nombre de usuario del actor, incluida la información de dominio cuando esté disponible. |
| ActorUsernameType | string | Tipo del nombre de usuario del actor especificado en el campo ActionUsername |
| ActorUserType | string | Tipo del actor. |
| AdditionalFields | dinámico | Información adicional, representada mediante pares clave y valor proporcionados por el origen que no se asignan a ASim. |
| _BilledSize | real | Tamaño del registro en bytes |
| DvcAction | string | En el caso de los sistemas de seguridad de informes, la acción realizada por el sistema. |
| DvcDescription | string | Texto descriptivo asociado al dispositivo. |
| DvcDomain | string | Dominio del dispositivo que notifica el evento. |
| DvcDomainType | string | Tipo de DvcDomain. Entre los valores posibles se incluyen "Windows" y "FQDN". |
| DvcFQDN | string | Nombre de host del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcHostname | string | Nombre de host del dispositivo que notifica el evento. |
| DvcId | string | Identificador único del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcIdType | string | Tipo de DvcId. |
| string | Interfaz de red en la que se capturaron los datos. | |
| DvcIpAddr | string | Dirección IP del dispositivo que notifica el evento. |
| DvcMacAddr | string | La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOriginalAction | string | El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| DvcOs | string | El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOsVersion | string | La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcScope | string | Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcScopeId | string | Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcZone | string | Red en la que se produjo el evento o que informó del evento. |
| EventCount | int | Número de eventos descritos por el registro. |
| EventEndTime | datetime | Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventMessage | string | Un mensaje o una descripción generales. |
| string | Detalles del resultado original proporcionados por el origen. | |
| EventOriginalSeverity | string | La gravedad del original, como se especifica en el dispositivo de informes. |
| string | El subtipo o identificador del evento original, si lo proporciona el origen. | |
| EventOriginalType | string | Tipo o Id. del evento original, si lo proporciona el origen. |
| EventOriginalUid | string | Id. único del registro original, si lo proporciona el origen. |
| EventOwner | string | Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó. |
| EventProduct | string | Producto que genera el evento. |
| EventProductVersion | string | Versión del producto que genera el evento. |
| EventReportUrl | string | Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
| EventResult | string | Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails. |
| EventResultDetails | string | Motivo o detalles del resultado notificado en el campo EventResult. |
| EventSchemaVersion | string | Versión del esquema. |
| EventSeverity | string | La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto. |
| EventStartTime | datetime | Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventSubType | string | Describe una subdivisión de la operación notificada en el campo EventType. |
| EventType | string | Describe la operación notificada por el registro. |
| EventVendor | string | Proveedor del producto que genera el evento. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| ParentProcessCreationTime | datetime | La fecha y hora en que se inició el proceso principal. |
| ParentProcessFileCompany | string | La empresa que creó el archivo de imagen de proceso primario. |
| ParentProcessFileDescription | string | Descripción de la información de versión del archivo de imagen del proceso primario. |
| ParentProcessFileProduct | string | Nombre del producto de la información de versión del archivo de imagen del proceso primario. |
| ParentProcessFileVersion | string | La versión del producto a partir de la información de versión del archivo de imagen del proceso primario. |
| ParentProcessGuid | string | GUID del proceso primario. |
| ParentProcessId | string | Identificador de proceso del proceso primario. |
| ParentProcessIMPHASH | string | Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso principal. |
| ParentProcessInjectedAddress | string | Dirección de memoria en la que se almacena el proceso principal responsable. |
| ParentProcessIntegrityLevel | string | Nivel de integridad para el proceso primario. |
| ParentProcessIsHidden | bool | Indicación de si el proceso principal está en modo oculto. |
| ParentProcessMD5 | string | Hash MD5 del archivo de imagen del proceso principal. |
| ParentProcessName | string | Nombre del proceso principal. |
| ParentProcessSHA1 | string | Hash SHA-1 del archivo de imagen del proceso principal. |
| ParentProcessSHA256 | string | Hash SHA-256 del archivo de imagen del proceso principal. |
| ParentProcessSHA512 | string | Hash SHA-512 del archivo de imagen del proceso principal. |
| ParentProcessTokenElevation | string | Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso principal. |
| _ResourceId | string | Identificador único del recurso al que está asociado el registro. |
| RuleName | string | Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber | int | Número de la regla asociado a los resultados de la inspección. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| _SubscriptionId | string | Identificador único de la suscripción a la que está asociado el registro. |
| TargetOriginalUserType | string | Tipo de usuario indicado por el dispositivo de informes. |
| TargetProcessCommandLine | string | Línea de comandos utilizada para ejecutar el proceso de destino. |
| TargetProcessCreationTime | datetime | Fecha y hora en que se inició el proceso de destino. |
| TargetProcessCurrentDirectory | string | Directorio actual en el que se ejecuta el proceso de destino. |
| TargetProcessFileCompany | string | La empresa que creó el archivo de imagen de proceso de destino. |
| TargetProcessFileDescription | string | Descripción de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFileInternalName | string | Nombre de archivo interno del producto a partir de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFilename | string | Nombre del archivo de producto de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFileOriginalName | string | Nombre de archivo original del producto a partir de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFileProduct | string | Nombre del producto de la información de versión en el archivo de imagen del proceso de destino. |
| TargetProcessFileSize | long | Tamaño del archivo en bytes que ejecutó el proceso responsable del evento. |
| TargetProcessFileVersion | string | Versión del producto de la información de la versión del archivo de imagen del proceso de destino. |
| TargetProcessGuid | string | GUID del proceso de destino. |
| TargetProcessId | string | Identificador de proceso del proceso de destino. |
| TargetProcessIMPHASH | string | Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso de destino. |
| TargetProcessInjectedAddress | string | Dirección de memoria en la que se almacena el proceso de destino responsable. |
| TargetProcessIntegrityLevel | string | Nivel de integridad para el proceso de destino. |
| TargetProcessIsHidden | bool | Indicación de si el proceso de destino está en modo oculto. |
| TargetProcessMD5 | string | Hash MD5 del archivo de imagen del proceso de destino. |
| TargetProcessName | string | Nombre del proceso de destino. |
| TargetProcessSHA1 | string | Hash SHA-1 del archivo de imagen del proceso de destino. |
| TargetProcessSHA256 | string | Hash SHA-256 del archivo de imagen del proceso de destino. |
| TargetProcessSHA512 | string | Hash SHA-512 del archivo de imagen del proceso de destino. |
| TargetProcessStatusCode | string | El código de salida devuelto por el proceso de destino cuando finaliza. |
| TargetProcessTokenElevation | string | Token que indica la presencia o ausencia de elevación de privilegios de usuario Access Control (UAC) aplicada al proceso de destino. |
| TargetScope | string | Ámbito, como el inquilino de Azure AD, en el que se definen TargetUserId y TargetUsername. |
| TargetScopeId | string | El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen TargetUserId y TargetUsername. |
| TargetUserId | string | Representación única, alfanumérica y legible por máquina del actor. |
| TargetUserIdType | string | Tipo de identificador almacenado en el campo TargetUserId. |
| TargetUsername | string | El nombre de usuario del actor de destino, incluida la información de dominio cuando esté disponible. |
| TargetUsernameType | string | Tipo del nombre de usuario del actor de destino especificado en el campo TargetUsername |
| TargetUserSessionGuid | string | Guid único de la sesión de inicio de sesión del actor de destino. |
| TargetUserSessionId | string | Identificador único de la sesión de inicio de sesión del actor de destino. |
| TargetUserType | string | Tipo del actor de destino. |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| ThreatCategory | string | Categoría de la amenaza o malware identificado en la actividad. |
| ThreatConfidence | int | Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatField | string | Campo para el que se identificó una amenaza. |
| ThreatFirstReportedTime | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatId | string | Identificador de la amenaza o malware identificado en la actividad. |
| ThreatIsActive | bool | True ID: la amenaza identificada se considera una amenaza activa. |
| ThreatLastReportedTime | datetime | La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatName | string | Nombre de la amenaza o malware identificado en la actividad. |
| ThreatOriginalConfidence | string | El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalRiskLevel | string | Nivel de riesgo indicado por el dispositivo de informes. |
| ThreatRiskLevel | int | Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. |
| TimeGenerated | datetime | Marca de tiempo (UTC) que refleja la hora en la que se generó el evento. |
| Tipo | string | Nombre de la tabla. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de