Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Tabla de eventos de ejecución de scripts de Microsoft Defender para Dispositivos (MDE) para el escenario de recopilación personalizada. Esta tabla contiene información sobre la ejecución del script y los detalles del proceso relacionados para todo lo solicitado explícitamente por el cliente para su recopilación.
Atributos de tabla
| Atributo | Importancia |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Gestión de logs |
| Registro básico | Sí |
| Transformación durante la ingesta | No |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| Tipo de Acción | cuerda / cadena | Tipo de actividad que desencadenó el evento. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| IdDelDispositivo | cuerda / cadena | Identificador único del dispositivo en el servicio. |
| Nombre del dispositivo | cuerda / cadena | Nombre de dominio completo (FQDN) del dispositivo. |
| InitiatingProcessAccountDomain | cuerda / cadena | Dominio de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountName | cuerda / cadena | Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountObjectId | cuerda / cadena | Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountSid | cuerda / cadena | Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountUpn | cuerda / cadena | Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessCommandLine | cuerda / cadena | Línea de comandos usada para ejecutar el proceso que inició el evento. |
| InitiatingProcessCreationTime | fecha y hora | Fecha y hora en que se inició el proceso que inició el evento. |
| InitiatingProcessFileName | cuerda / cadena | Nombre del proceso que inició el evento. |
| TamañoDeArchivoDelProcesoDeInicio | long | Tamaño del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessFolderPath | cuerda / cadena | Carpeta que contiene el proceso (archivo de imagen) que inició el evento. |
| IdDelProcesoIniciador | long | Id. de proceso (PID) del proceso que inició el evento. |
| Iniciando ProcessMD5 | cuerda / cadena | Hash MD5 del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessParentCreationTime | fecha y hora | Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
| InitiatingProcessParentFileName | cuerda / cadena | Nombre del proceso primario que generó el proceso responsable del evento. |
| InitiatingProcessParentId | long | Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento. |
| Iniciando el Proceso SHA1 | cuerda / cadena | Hash SHA-1 del proceso (archivo de imagen) que inició el evento. |
| Iniciando el proceso SHA256 | cuerda / cadena | Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible. |
| InitiatingProcessSignatureStatus | cuerda / cadena | Información sobre el estado de firma del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessSignerType | cuerda / cadena | Tipo de firmante de archivo del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessVersionInfoCompanyName | cuerda / cadena | Nombre de la empresa obtenido a partir de la información de versión del proceso (archivo de imagen) que es responsable del evento. |
| InitiatingProcessVersionInfoFileDescription | cuerda / cadena | Descripción de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoInternalFileName | cuerda / cadena | Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoOriginalFileName | cuerda / cadena | Nombre original del archivo según la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductName | cuerda / cadena | Nombre del producto obtenido de la información de versión del proceso (archivo de imagen) que es responsable del evento. |
| Iniciando ProcessVersionInfoProductVersion | cuerda / cadena | Versión del producto de la información de versión del proceso (archivo de imagen) responsable del evento. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable esté establecido como false, la ingesta no se facturará a su cuenta de Azure |
| ReportId | long | Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp. |
| TiempoDeÚltimaModificaciónDeRegla (RuleLastModificationTime) | fecha y hora | Fecha y hora en que se modificó por última vez la regla que recopiló el evento. |
| Nombre de la Regla | cuerda / cadena | Nombre de la regla que recopiló el evento |
| ScriptContent | cuerda / cadena | Contenido del script ejecutado. |
| ScriptContentSHA256 | cuerda / cadena | SHA256 sobre el contenido del script. |
| Sistema de origen | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| Id del inquilino | cuerda / cadena | El ID del espacio de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
| Marca de tiempo | fecha y hora | Fecha y hora en que se generó el registro. |
| Tipo | cuerda / cadena | Nombre de la tabla. |