DynamicEventCollection
Una tabla de eventos de Windows genérica para los datos recopilados por el agente de Defender para punto de conexión
Atributos de tabla
Atributo | Valor |
---|---|
Tipos de recursos | - |
Categorías | Seguridad |
Soluciones | AzureSentinelDSRE |
Registro básico | No |
Transformación en tiempo de ingesta | Sí |
Consultas de ejemplo | - |
Columnas
Columna | Tipo | Descripción |
---|---|---|
AccountSid | string | Identificador de seguridad (SID) de la cuenta. |
AdditionalFields | dinámico | Información adicional sobre la entidad o el evento. |
AppGuardContainerId | string | Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
_BilledSize | real | Tamaño del registro en bytes |
deviceId | string | Identificador único del dispositivo en el servicio. |
DeviceName | string | Nombre de dominio completo (FQDN) del dispositivo. |
EventId | long | Contiene el identificador de evento único. |
IniciandoProcessAccountDomain | string | Dominio de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountName | string | Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento. |
IniciandoProcessAccountObjectId | string | Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento. |
IniciandoProcessAccountSid | string | Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento. |
IniciandoProcessAccountUpn | string | Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento. En Active Directory, un UPN es el nombre de un usuario del sistema en un formato de dirección de correo electrónico (por ejemplo: john.doe@domain.com) |
InitiatingProcessFolderPath | string | Carpeta que contiene el proceso (archivo de imagen) que inició el evento. |
IniciandoProcessId | long | Identificador de proceso (PID) del proceso que inició el evento. |
InitiatingProcessLogonId | long | Identificador de una sesión de inicio de sesión del proceso que inició el evento. Este identificador es único en la misma máquina solo entre reinicios. |
IniciandoProcessMD5 | string | Hash MD5 del proceso (archivo de imagen) que inició el evento. |
IniciandoProcessParentFileName | string | Nombre del proceso primario que generó el proceso responsable del evento. |
IniciandoProcessParentId | long | Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento. |
IniciandoProcessSHA1 | string | Hash SHA-1 del proceso (archivo de imagen) que inició el evento. |
_IsBillable | string | Especifica si la ingesta de los datos se puede facturar. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
LocalIP | string | Dirección IP asignada al equipo local usado durante la comunicación. |
LocalPort | int | Puerto TCP en el equipo local usado durante la comunicación. |
MachineGroup | string | Grupo de máquinas de la máquina. Este grupo lo usa el control de acceso basado en roles para determinar el acceso a la máquina. |
ProcessCommandLine | string | Línea de comandos usada para crear el nuevo proceso. |
RemoteDeviceName | string | Nombre del dispositivo que realizó una operación remota en el equipo afectado. En función del evento que se notifique, este nombre podría ser un nombre de dominio completo (FQDN), un nombre NetBIOS o un nombre de host sin información de dominio. |
RemoteIP | string | Dirección IP a la que se estaba conectando. |
RemotePort | int | Puerto TCP en el dispositivo remoto al que se estaba conectando. |
ReportId | long | Identificador único para el evento |
SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
TenantId | string | Identificador del área de trabajo de Log Analytics |
TimeGenerated | datetime | Fecha y hora (UTC) cuando se generó el registro. |
Tipo | string | Nombre de la tabla. |
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de