Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La table normalisée des événements de processus Microsoft Sentinel stocke les événements à l’aide du schéma normalisé ASIM d’événements de processus associé à la création ou à l’arrêt d’un processus. Ces événements sont signalés par les systèmes d’exploitation et les systèmes de sécurité, tels que les systèmes de détection de points de terminaison et de réponse.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | microsoft.securityinsights/processeventnormalized |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| ActingProcessCommandLine | chaîne | Ligne de commande utilisée pour exécuter le processus agissant. |
| ActingProcessCreationTime | date et heure | Date et heure du début du processus agissant. |
| Entreprise de traitement des fichiers ActingProcess | chaîne | Société qui a créé le fichier d’image de processus agissant. |
| ActingProcessFileDescription | chaîne | Description incorporée dans les informations de version du fichier d’image du processus agissant. |
| ActingProcessFileInternalName | chaîne | Nom de fichier interne de produit issu des informations de version dans le fichier d’image du processus agissant. |
| ActingProcessFilename | chaîne | Nom de fichier de produit issu des informations de version dans le fichier d’image du processus agissant. |
| ActingProcessFileOriginalName | chaîne | Nom de fichier d’origine de produit issu des informations de version dans le fichier d’image du processus agissant. |
| ActingProcessFileProduct | chaîne | Nom de produit issu des informations de version dans le fichier image du processus agissant. |
| ActingProcessFileSize | long | Taille en octets du fichier qui a exécuté le processus agissant. |
| ActingProcessFileVersion | chaîne | Version de produit issue des informations de version dans le fichier d’image du processus agissant. |
| ActingProcessGuid | chaîne | GUID du processus agissant. |
| ActingProcessId | chaîne | ID de processus du processus agissant. |
| ActingProcessIMPHASH | chaîne | Hachage d’importation de toutes les DLL de bibliothèque utilisées par le processus agissant. |
| ActingProcessInjectedAddress | chaîne | Adresse mémoire dans laquelle le processus agissant responsable est stocké. |
| ActingProcessIntegrityLevel | chaîne | Niveau d’intégrité pour le processus d’action. |
| Le processus d'action est caché | booléen | Indique si le processus agissant est en mode masqué. |
| ActingProcessMD5 | chaîne | Hachage MD5 du fichier d’image du processus agissant. |
| ActingProcessName | chaîne | Nom du processus agissant. |
| ActingProcessSHA1 | chaîne | Hachage SHA-1 du fichier d’image du processus agissant. |
| ActingProcessSHA256 | chaîne | Hachage SHA-256 du fichier d’image du processus agissant. |
| ActingProcessSHA512 | chaîne | Hachage SHA-512 du fichier d’image du processus agissant. |
| ActingProcessTokenElevation | chaîne | Jeton indiquant la présence ou l’absence de l’élévation des privilèges de Contrôle de compte d’utilisateur (UAC) appliquée au processus agissant. |
| TypeD'utilisateurD'origineDeL'acteur | chaîne | Type d’utilisateur signalé par le dispositif de reporting. |
| ActorScope | chaîne | Étendue, comme le locataire Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorScopeId | chaîne | ID d'étendue, comme l’ID de locataire Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorSessionId | chaîne | ID unique de la session de connexion de l’intervenant. |
| ActorUserId | chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’acteur. |
| Type d'ID utilisateur de l'acteur | chaîne | Type de l’ID stocké dans le champ ActorUserId. |
| ActorUsername | chaîne | Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’il est disponible. |
| ActorUsernameType | chaîne | Type du nom d’utilisateur de l’acteur spécifié dans le champ ActionUsername |
| Type d'utilisateur de l'acteur | chaîne | Type de l’intervenant. |
| AdditionalFields | dynamique | Informations supplémentaires, représentées à l’aide de paires clé et valeur fournies par la source qui ne correspondent pas à ASim. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| DvcAction | chaîne | Pour les systèmes de sécurité effectuant des signalements, il s’agit de l’action entreprise par le système. |
| DvcDescription | chaîne | Texte descriptif associé à l’appareil. |
| DvcDomain | chaîne | Domaine de l’appareil signalant l’événement. |
| DvcDomainType | chaîne | Type de DvcDomain. Les valeurs possibles incluent « Windows » et « FQDN ». |
| DvcFQDN | chaîne | Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname | chaîne | Nom d’hôte de l’appareil signalant l’événement. |
| DvcId | chaîne | ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType | chaîne | Type de DvcId. |
| DvcInterface | chaîne | Interface réseau sur laquelle les données ont été capturées. |
| DvcIpAddr | chaîne | Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr | chaîne | L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOriginalAction | chaîne | DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs | chaîne | Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOsVersion | chaîne | La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcScope | chaîne | Étendue de la plateforme cloud à laquelle appartient l’appareil. Mappage DvcScope à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId | chaîne | ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone | chaîne | Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| Nombre d'événements | Int | Nombre d’événements décrits par l’enregistrement. |
| HeureDeFinDeL'Événement | date et heure | Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| Message d'Événement | chaîne | Message général ou description. |
| DétailsDuRésultatOriginalDeL'Événement | chaîne | Détails des résultats d’origine fournis par la source. |
| EventOriginalSeverity | chaîne | Gravité d’origine, telle que fournie par l’appareil de reporting. |
| SousTypeOriginalDeL'Événement | chaîne | Sous-type ou ID d’événement d’origine, s’il est fourni par la source. |
| TypeOriginalDeL'Événement | chaîne | Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid | chaîne | ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| Propriétaire de l'Événement | chaîne | Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct | chaîne | Produit générant l’événement. |
| EventProductVersion | chaîne | Version du produit générant l’événement. |
| URL du Rapport d'Événement | chaîne | URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| Résultat de l'événement | chaîne | Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| Détails des Résultats de l'Événement | chaîne | Raison ou détails du résultat rapporté dans le champ EventResult. |
| EventSchemaVersion | chaîne | Version du schéma. |
| EventSeverity | chaîne | La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| HeureDébutÉvénement | date et heure | Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| SousTypeÉvénement | chaîne | Décrit une subdivision de l’opération rapportée dans le champ EventType. |
| Type d'événement | chaîne | Décrit l’opération signalée par l’enregistrement |
| EventVendor | chaîne | Fournisseur du produit générant l’événement. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| ParentProcessCreationTime | date et heure | Date et heure de démarrage du processus parent. |
| ParentProcessFileCompany | chaîne | Société qui a créé le fichier d’image de processus parent. |
| ParentProcessFileDescription | chaîne | Description des informations de version du fichier d’image du processus parent. |
| ParentProcessFileProduct | chaîne | Nom du produit à partir des informations de version dans le fichier image du processus parent. |
| ParentProcessFileVersion | chaîne | Version de produit issue des informations de version du fichier d’image du processus parent. |
| ParentProcessGuid | chaîne | GUID du processus parent. |
| ParentProcessId | chaîne | ID de processus du processus parent. |
| ParentProcessIMPHASH | chaîne | Hachage d’importation de toutes les DLL de bibliothèque utilisées par le processus parent. |
| ParentProcessInjectedAddress | chaîne | L'adresse mémoire dans laquelle le processus parent responsable est stocké. |
| ParentProcessIntegrityLevel | chaîne | Niveau d’intégrité pour le processus parent. |
| ParentProcessIsHidden | booléen | Indique si le processus parent est en mode masqué. |
| ParentProcessMD5 | chaîne | Hachage MD5 du fichier d’image du processus parent. |
| Nom du processus parent | chaîne | Nom du processus parent. |
| ParentProcessSHA1 | chaîne | Hachage SHA-1 du fichier d’image du processus parent. |
| ParentProcessSHA256 | chaîne | Hachage SHA-256 du fichier image du processus parent. |
| ParentProcessSHA512 | chaîne | Hachage SHA-512 du fichier d’image du processus parent. |
| ParentProcessTokenElevation | chaîne | Jeton indiquant la présence ou l'absence de l'élévation des privilèges User Access Control (UAC) appliquée au processus parent. |
| _ResourceId (Identifiant de Ressource) | chaîne | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| Nom de la Règle | chaîne | Nom ou ID de la règle associée aux résultats de l’inspection. |
| NuméroDeRègle | Int | Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem | chaîne | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| _IdentifiantDeSouscription | chaîne | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TargetOriginalUserType | chaîne | Type d’utilisateur signalé par le dispositif de reporting. |
| TargetProcessCommandLine | chaîne | Ligne de commande utilisée pour exécuter le processus cible. |
| TargetProcessCreationTime | date et heure | Date et heure de démarrage du processus cible. |
| TargetProcessCurrentDirectory | chaîne | Répertoire actif dans lequel le processus cible est exécuté. |
| TargetProcessFileCompany | chaîne | Société qui a créé le fichier image du processus cible. |
| TargetProcessFileDescription | chaîne | Description des informations de version du fichier image du processus cible. |
| TargetProcessFileInternalName | chaîne | Nom du fichier interne du produit à partir des informations de version du fichier image du processus cible. |
| TargetProcessFilename | chaîne | Version de produit issue des informations de version du fichier d’image du processus cible. |
| TargetProcessFileOriginalName | chaîne | Nom de fichier d’origine de produit issu des informations de version du fichier d’image du processus cible. |
| TargetProcessFileProduct | chaîne | Nom du produit à partir des informations de version dans le fichier image du processus cible. |
| Taille de fichier du processus cible | long | Taille du fichier en octets qui a exécuté le processus responsable de l’événement. |
| TargetProcessFileVersion | chaîne | Version de produit issue des informations de version du fichier image du processus cible. |
| TargetProcessGuid | chaîne | GUID du processus cible. |
| IdentifiantDuProcessusCible | chaîne | ID de processus du processus cible. |
| TargetProcessIMPHASH | chaîne | Hachage d’importation de toutes les DLL de bibliothèque utilisées par le processus cible. |
| TargetProcessInjectedAddress | chaîne | Adresse mémoire dans laquelle le processus cible responsable est stocké. |
| NiveauD'intégritéDuProcessusCible | chaîne | Niveau d’intégrité pour le processus cible. |
| TargetProcessIsHidden | booléen | Indique si le processus cible est en mode masqué. |
| TargetProcessMD5 | chaîne | Hachage MD5 du fichier image du processus cible. |
| TargetProcessName | chaîne | Nom du processus cible. |
| TargetProcessSHA1 | chaîne | Hachage SHA-1 du fichier image du processus cible. |
| TargetProcessSHA256 | chaîne | Hachage SHA-256 du fichier image du processus cible. |
| TargetProcessSHA512 | chaîne | Hachage SHA-512 du fichier image du processus cible. |
| TargetProcessStatusCode | chaîne | Code de sortie retourné par le processus cible en cas d’arrêt. |
| TargetProcessTokenElevation | chaîne | Jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus cible. |
| TargetScope | chaîne | Étendue, par exemple l’abonné Azure AD, dans laquelle TargetUserId et TargetUsername sont définis. |
| TargetScopeId | chaîne | L'ID de portée, tel que l'ID de locataire Azure AD, dans lequel TargetUserId et TargetUsername sont définis. |
| IdUtilisateurCible | chaîne | Représentation unique, alphanumérique et lisible par l’ordinateur de l’acteur. |
| Type d'identifiant utilisateur cible | chaîne | Type de l’ID stocké dans le champ TargetUserId. |
| TargetUsername | chaîne | Nom d’utilisateur de l’acteur cible, y compris les informations de domaine lorsqu’il est disponible. |
| TargetUsernameType | chaîne | Type du nom d’utilisateur de l’acteur cible spécifié dans le champ TargetUsername |
| TargetUserSessionGuid | chaîne | GUID unique de la session de connexion de l’acteur cible. |
| TargetUserSessionId | chaîne | ID unique de la session de connexion de l’acteur cible. |
| Type d'utilisateur ciblé | chaîne | Type de l’acteur cible. |
| Id de locataire | chaîne | ID de l’espace de travail Log Analytics |
| Catégorie de menace | chaîne | Catégorie des menaces ou programmes malveillants identifiés dans l’activité. |
| ThreatConfidence | Int | Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField | chaîne | Champ pour lequel une menace a été identifiée. |
| ThreatFirstReportedTime | date et heure | Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Identifiant de menace | chaîne | ID de la menace ou des programmes malveillants identifiés dans l’activité. |
| La menace est active | booléen | ID vrai de la menace identifiée qui est considérée comme une menace active. |
| ThreatLastReportedTime | date et heure | La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| Nom de la menace | chaîne | Nom de la menace ou des programmes malveillants identifiés dans l’activité. |
| ThreatOriginalConfidence | chaîne | Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de reporting. |
| Niveau de risque initial de la menace | chaîne | Niveau de risque signalé par le périphérique de reporting. |
| Niveau de risque de menace | Int | Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. |
| TimeGenerated | date et heure | Horodatage (UTC) reflétant l’heure dans laquelle l’événement a été généré. |
| Catégorie | chaîne | Le nom de la table |