DynamicEventCollection
Table d’événements Windows générique pour les données collectées par l’agent Defender pour point de terminaison
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | AzureSentinelDSRE |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AccountSid | string | Identificateur de sécurité (SID) du compte. |
| AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId | string | Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| deviceId | string | Identificateur unique de l’appareil dans le service. |
| DeviceName | string | Nom de domaine complet (FQDN) de l’appareil. |
| EventId | long | Contient l’identificateur d’événement unique. |
| InitialingProcessAccountDomain | string | Domaine du compte qui a exécuté le processus responsable de l’événement. |
| InitialingProcessAccountName | string | Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
| InitialingProcessAccountObjectId | string | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
| InitialingProcessAccountSid | string | Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
| InitiatingProcessAccountUpn | string | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. Dans Active Directory, un UPN est le nom d’un utilisateur système au format d’adresse e-mail (par exemple : john.doe@domain.com) |
| InitialingProcessFolderPath | string | Dossier contenant le processus (fichier image) qui a lancé l’événement. |
| InitialingProcessId | long | ID de processus (PID) du processus qui a lancé l’événement. |
| InitialingProcessLogonId | long | Identificateur d’une session d’ouverture de session du processus qui a lancé l’événement. Cet identificateur est unique sur la même machine uniquement entre les redémarrages. |
| Lancement deProcessMD5 | string | Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
| InitiatingProcessParentFileName | string | Nom du processus parent qui a généré le processus responsable de l’événement. |
| InitiatingProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
| InitialingProcessSHA1 | string | Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| LocalIP | string | Adresse IP affectée à l’ordinateur local utilisé lors de la communication. |
| LocalPort | int | Port TCP sur l’ordinateur local utilisé pendant la communication. |
| MachineGroup | string | Groupe d’ordinateurs de la machine. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à la machine. |
| ProcessCommandLine | string | Ligne de commande utilisée pour créer le nouveau processus. |
| RemoteDeviceName | string | Nom de l’appareil qui a effectué une opération à distance sur l’ordinateur affecté. En fonction de l’événement signalé, ce nom peut être un nom de domaine complet (FQDN), un nom NetBIOS ou un nom d’hôte sans informations de domaine.. |
| RemoteIP | string | Adresse IP à laquelle était connecté. |
| RemotePort | int | Port TCP sur l’appareil distant auquel était connecté. |
| ReportId | long | Identificateur unique de l’événement. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure (UTC) auxquelles l’enregistrement a été généré. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour