Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Sentinel folyamatesemények normalizált táblája a folyamat létrehozásához vagy befejezéséhez társított folyamatesemény ASIM normalizált sémájával tárolja az eseményeket. Ezeket az eseményeket az operációs rendszerek és a biztonsági rendszerek, például az EDR (végpontészlelés és válasz) rendszerek jelentik.
Tábla attribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | microsoft.securityinsights/folyamatesevenovićnormalizált |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | Igen |
| Adatfeldolgozási idő átalakítás | Igen |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| FolyamatVégrehajtóParancssor | szál | Az eljáró folyamat futtatásához használt parancssor. |
| EljárásLétrehozásiIdő | dátum/idő | Az a dátum és idő, amikor a színjátszási folyamat elindult. |
| FolyamatFájlVállalat | szál | A futó folyamat képfájlját létrehozó vállalat. |
| SzínészetiFolyamatFájlLeírása | szál | Az eljáró folyamat képfájljának verzióinformációiba ágyazott leírás. |
| VégrehajtásiFolyamatFájlBelsőNév | szál | A termék belső fájlneve az eljáró folyamat képfájljának verzióinformációiból. |
| SzínjátszásiFolyamatFájlNév | szál | A termékfájl neve az eljáró folyamat képfájljának verzióinformációiból. |
| ActingProcessEredetiFájlNeve | szál | A termék eredeti fájlneve az eljáró folyamat képfájljának verzióinformációiból. |
| Folyamatfájl-termék kezelése | szál | Az eljáró folyamat képfájljának verzióinformációiból származó terméknév. |
| ActingProcessFileSize | hosszú | A műveletfolyamatot futtató fájl mérete bájtban. |
| EljárásFolyamatFájlVerzió | szál | A termék verziója a folyamat végrehajtási képfájljának verzióinformációiból. |
| ActingProcessGuid | szál | A színészi folyamat GUID azonosítója. |
| EljárásAzonosító | szál | Az eljáró folyamat folyamatazonosítója. |
| ActingProcessIMPHASH | szál | A futó folyamat által használt összes könyvtári DLL importálási kivonata. |
| SzínlelőFolyamatBeszúrtCím | szál | Az a memóriacím, amelyben a felelős eljáró folyamat tárolódik. |
| Folyamat integritási szintje cselekvés közben | szál | Az eljárás integritási szintje. |
| SzínjátszásiFolyamatElrejtve | logikai | Annak jelzése, hogy a művelet rejtett módban van-e. |
| ActingProcessMD5 | szál | Az eljáró folyamat képfájljának MD5 kivonata. |
| EljárásNeve | szál | Az eljáró folyamat neve. |
| ActingProcessSHA1 | szál | Az eljáró folyamat képfájljának SHA-1 kivonata. |
| ActingProcessSHA256 | szál | Az eljáró folyamat képfájljának SHA-256 kivonata. |
| ActingProcessSHA512 | szál | Az aktuális folyamat képfájljának SHA-512 kivonata. |
| ActingProcessTokenElevation | szál | A token, amely jelzi a felhasználói hozzáférés-vezérlés (UAC) jogosultságszint-emelésének meglétét vagy hiányát az éppen aktuális folyamatban. |
| AktorOriginalUserType | szál | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
| ActorScope | szál | A hatókör, például az Azure AD-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. |
| SzereplőHatókörAzonosító | szál | A hatókör azonosítója, például az Azure AD-bérlő azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van. |
| ActorSessionId | szál | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. |
| ActorUserId | szál | A színész géppel olvasható, alfanumerikus, egyedi ábrázolása. |
| SzereplőFelhasználóAzonosítóTípus | szál | Az ActorUserId mezőben tárolt azonosító típusa. |
| SzereplőFelhasználónév | szál | Az Aktor felhasználóneve, beleértve a tartományinformációkat is, ha elérhető. |
| SzínészFelhasználónévTípus | szál | Az Aktor ActionUsername mezőjében megadott felhasználónév típusa |
| SzereplőFelhasználóTípus | szál | Az Aktor típusa. |
| További mezők | dinamikus | A forrás által biztosított kulcs- és értékpárokkal ábrázolt további információk, amelyek nem kapcsolódnak az ASim-hez. |
| _BilledSize | valós | A rekord mérete bájtban |
| DvcAction | szál | A rendszer által végrehajtott műveletek jelentése a biztonsági rendszerek esetében. |
| DvcDescription | szál | Az eszközhöz társított leíró szöveg. |
| DvcDomain | szál | Az eseményt jelentő eszköz tartománya. |
| DvcDomainType | szál | A DvcDomain típusa. A lehetséges értékek közé tartozik a "Windows" és az "FQDN". |
| DvcFQDN | szál | Annak az eszköznek a gazdaneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcHostname | szál | Az eseményt jelentő eszköz állomásneve. |
| DvcId | szál | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcIdType | szál | A DvcId típusa. |
| DvcInterface | szál | Az a hálózati adapter, amelyen az adatokat rögzítették. |
| DvcIpAddr | szál | Az eseményt jelentő eszköz IP-címe. |
| DvcMacAddr | szál | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcOriginalAction | szál | A jelentéskészítő eszköz által megadott eredeti DvcAction. |
| DvcOs | szál | Az az operációs rendszer, amely azon az eszközön fut, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcOsVersion | szál | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| DvcScope | szál | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope egy Azure-előfizetés-azonosítóra, valamint egy AWS-fiókazonosítóra képez le. |
| DvcScopeId | szál | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| DvcZone | szál | Az a hálózat, amelyen az esemény történt, vagy amely az eseményt jelentette. |
| Események Száma | egész | A rekord által leírt események száma. |
| Esemény befejezési ideje | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EseményÜzenet | szál | Általános üzenet vagy leírás. |
| Esemény eredeti eredmény részletei | szál | A forrás által megadott eredeti eredményadatok. |
| EventOriginalSeverity | szál | A jelentéskészítő eszköz által megadott eredeti súlyosság. |
| EredetiEseményAltípus | szál | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. |
| EseményEredetiTípus | szál | Ha a forrás megadja az eredeti eseménytípust vagy -azonosítót. |
| EventOriginalUid (EseményEredetiUID) | szál | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
| Eseménytulajdonos | szál | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrejött. |
| EventProduct | szál | Az eseményt létrehozó termék. |
| EseményTermékVerzió | szál | Az eseményt létrehozó termék verziója. |
| Eseményjelentés URL | szál | Az eseményben megadott URL-cím egy erőforráshoz, amely további információt nyújt az eseményről. |
| EredményEsemény | szál | Az esemény kimenetét a következő értékek egyikével jelölik: Siker, Részleges, Sikertelen, NA (nem alkalmazható). Előfordulhat, hogy az értéket nem adják meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
| Eseményeredmény-részletek | szál | Az EventResult mezőben jelentett eredmény oka vagy részletei. |
| EventSchemaVersion | szál | A séma verziója. |
| EventSeverity | szál | Az esemény súlyossága. Az érvényes értékek a következők: Információs, Alacsony, Közepes vagy Magas. |
| EseményKezdésiIdő | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
| EseményAltípus | szál | Az EventType mezőben jelentett művelet albontását ismerteti. |
| Eseménytípus | szál | A rekord által jelentett műveletet ismerteti |
| EventVendor | szál | Az eseményt létrehozó termék szállítója. |
| _Felszámítható-e | szál | Meghatározza, hogy az adatok betöltése számlázható-e. Ha a _IsBillable értéke false, akkor a fogyasztás nem kerül kiszámlázásra az Azure-fiókjában |
| SzülőfolyamatLétrehozásiIdeje | dátum/idő | A szülőfolyamat indításának dátuma és időpontja. |
| ParentProcessFileCompany | szál | A szülőfolyamat lemezképfájlját létrehozó vállalat. |
| Szülőfolyamatfájl Leírása | szál | Az ősfolyamat képfájljának verzióinformációinak leírása. |
| ParentProcessFileProduct | szál | A termék neve a szülőfolyamat képfájljának verzióinformációiból. |
| ParentProcessFileVersion | szál | A termékverzió a szülőfolyamat képfájlának verzióinformációjából. |
| ParentProcessGuid | szál | A szülőfolyamat azonosítójának GUID-ja. |
| ParentProcessId | szál | A szülőfolyamat folyamatazonosítója. |
| ParentProcessIMPHASH | szál | A szülőfolyamat által használt összes kódtár-DLL importálási kivonata. |
| SzülőFolyamatBeillesztettCíme | szál | Az a memóriacím, amelyben a felelős szülőfolyamat van tárolva. |
| Szülőfolyamat integritási szintje | szál | A szülő folyamat integritási szintje. |
| Szülőfolyamat el van rejtve | logikai | Annak jelzése, hogy a szülőfolyamat rejtett módban van-e. |
| ParentProcessMD5 | szál | A szülőfolyamat képfájljának MD5 kivonata. |
| ParentProcessName | szál | A szülőfolyamat neve. |
| ParentProcessSHA1 | szál | A szülőfolyamat képfájljának SHA-1 kivonata. |
| ParentProcessSHA256 | szál | A szülőfolyamat képfájljának SHA-256 kivonata. |
| ParentProcessSHA512 | szál | A szülőfolyamat képállományának SHA-512 kivonata. |
| ParentProcessTokenElevation | szál | A szülő folyamatra alkalmazott felhasználói hozzáférés-vezérlési (UAC) jogosultságszint-emelés jelenlétét vagy hiányát jelző jogkivonat. |
| _ResourceId (erőforrás azonosító) | szál | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
| SzabályNeve | szál | A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva. |
| SzabálySzám | egész | A vizsgálati eredményekhez társított szabály száma. |
| SourceSystem | szál | Az az ügynök típusa, amelyik az eseményt gyűjtötte. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure az Azure Diagnostics esetében |
| _SubscriptionId (előfizetési azonosító) | szál | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
| CélEredetiFelhasználóiTípus | szál | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
| TargetProcessCommandLine | szál | A célfolyamat futtatásához használt parancssor. |
| CélfolyamatLétrehozásiIdő | dátum/idő | A célfolyamat indításának dátuma és időpontja. |
| CélfolyamatJelenlegiKönyvtár | szál | Az aktuális könyvtár, amelyben a célfolyamat végrehajtásra kerül. |
| TargetProcessFileCompany | szál | A célfolyamat lemezképfájlját létrehozó vállalat. |
| FolyamatFileLeírás | szál | A célfolyamat lemezképfájljának verzióinformációinak leírása. |
| TargetProcessFileInternalName | szál | A termék belső fájlneve a célfolyamat lemezképfájljának verzióinformációiból. |
| TargetProcessFilename | szál | A termékfájl neve a célfolyamat lemezképfájljának verzióinformációiból. |
| FolyamatFájlEredetiNeve | szál | A termék eredeti fájlneve a célfolyamat képfájljának verzióinformációiból. |
| TargetProcessFileProduct | szál | A célfolyamat képfájljának verzióinformációiból nyert terméknév. |
| CélfolyamatFájlMéret | hosszú | Az eseményért felelős folyamatot futtató fájl mérete bájtban. |
| TargetProcessFileVersion | szál | A termék verziója a célfolyamat képfájljának verzióinformációiból. |
| TargetProcessGuid | szál | A célfolyamat azonosítója (GUID). |
| Célfolyamat Azonosító | szál | A célfolyamat folyamatazonosítója. |
| TargetProcessIMPHASH | szál | A célfolyamat által használt összes kódtár-DLL importálási kivonata. |
| CélfolyamatBeinjettCím | szál | Az a memóriacím, amelyben a felelős célfolyamat tárolódik. |
| CélszolgáltatásIntegritásiSzint | szál | A célfolyamat integritási szintje. |
| A célfolyamat rejtve van | logikai | Annak jelzése, hogy a célfolyamat rejtett módban van-e. |
| TargetProcessMD5 | szál | A célfolyamat képfájljának MD5 kivonata. |
| TargetProcessName | szál | A célfolyamat neve. |
| TargetProcessSHA1 | szál | A célfolyamat képfájljának SHA-1 kivonata. |
| TargetProcessSHA256 | szál | A célfolyamat képfájljának SHA-256 kivonata. |
| TargetProcessSHA512 | szál | A célfolyamat képfájljának SHA-512 kivonata. |
| célfolyamatállapotkód | szál | A célfolyamat által visszaadott kilépési kód leállításakor. |
| TargetProcessTokenElevation | szál | A célfolyamatra alkalmazott felhasználói hozzáférés-vezérlési (UAC) jogosultságszint-emelést jelző jogkivonat. |
| TargetScope | szál | A hatókör, például az Azure AD bérlő, ahol a TargetUserId és a TargetUsername definiálva vannak. |
| CélhatókörAzonosító | szál | A hatókör azonosítója, például az Azure AD-bérlő azonosítója, amelyben a TargetUserId és a TargetUsername van definiálva. |
| CélfelhasználóID | szál | A színész géppel olvasható, alfanumerikus, egyedi ábrázolása. |
| TargetFelhasználóiAzonosítóTípus | szál | A TargetUserId mezőben tárolt azonosító típusa. |
| TargetUsername | szál | A célszínész felhasználóneve, beleértve a tartományinformációkat, ha elérhető. |
| CélfelhasználóNévTípus | szál | A TargetUsername mezőben megadott cél-szereplő felhasználónevének típusa. |
| CélFelhasználóiMunkamenetGuid | szál | A célszínész bejelentkezési munkamenetének egyedi guidja. |
| Célfelhasználó munkamenetazonosító | szál | A célszínész bejelentkezési munkamenetének egyedi azonosítója. |
| Felhasználótípus célzás | szál | A célszínész típusa. |
| BérlőAzonosító | szál | A Log Analytics-munkaterület azonosítója |
| Fenyegetéskategória | szál | A tevékenységben azonosított fenyegetés vagy kártevők kategóriája. |
| FenyegetésBizalom | egész | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| FenyegetésMező | szál | Az a mező, amelyhez fenyegetést azonosítottak. |
| FenyegetésElsőJelentettIdeje | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| Fenyegetésazonosító | szál | A tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
| A fenyegetés aktív | logikai | Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül. |
| Fenyegetés utoljára jelentett időpont | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
| Fenyegetés Neve | szál | A tevékenységben azonosított fenyegetés vagy kártevő neve. |
| Eredeti fenyegetésbiztonság | szál | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
| Eredeti fenyegetés kockázati szintje | szál | A jelentéskészítő eszköz által jelentett kockázati szint. |
| Fenyegetés Kockázati Szint | egész | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. |
| GenerálásiIdőpont | dátum/idő | Az esemény létrehozásának idejét tükröző időbélyeg (UTC). |
| Típus | szál | A tábla neve |