Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a táblázat a Microsoft Defender for Endpoints és az Azure Sentinel része. Ez a tábla bejelentkezéseket és más hitelesítési eseményeket tartalmaz.
Táblázat attribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | Biztonsági elemzések |
| Alapszintű napló | Igen |
| Beolvasási idő alatti átalakítás | Igen |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| Fióktartomány | karaktersorozat | A fiók tartománya. |
| Fióknév | karaktersorozat | A fiók felhasználóneve. |
| FiókAzonosítóSid | karaktersorozat | A fiók biztonsági azonosítója (SID). |
| Akciótípus | karaktersorozat | Az eseményt kiváltó tevékenység típusa. |
| További mezők | dinamikus | További információ az entitásról vagy eseményről. |
| AppGuardKontejnerAzonosító | karaktersorozat | A Alkalmazásőr által a böngészőtevékenység elkülönítéséhez használt virtualizált tároló azonosítója. |
| _BilledSize | valós | A rekord mérete bájtban |
| DeviceId | karaktersorozat | A szolgáltatásban lévő eszköz egyedi azonosítója. |
| Eszköz neve | karaktersorozat | Az eszköz teljes tartományneve (FQDN). |
| Hibajelenség oka | karaktersorozat | A rögzített művelet sikertelenségére vonatkozó információk. |
| Folyamatindítási fiók tartománya | karaktersorozat | Az eseményért felelős folyamatot futtató fiók tartománya. |
| KezdeményezőFolyamatFióknév (InitiatingProcessAccountName) | karaktersorozat | Annak a fióknak a felhasználóneve, amely az eseményért felelős folyamatot futtatta. |
| KezdeményezőFolyamatFiókObjektumazonosító | karaktersorozat | Az eseményért felelős folyamatot futtató felhasználói fiók Azure AD-objektumazonosítója. |
| KezdőFolyamatFiókSid | karaktersorozat | Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID). |
| IndítóFolyamatFiókUpn | karaktersorozat | Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN). |
| IndításiFolyamatParancssor | karaktersorozat | Az eseményt kezdeményező folyamat futtatásához használt parancssor. |
| KezdeményezőFolyamatLétrehozásiIdő | dátum/idő | Az eseményt kezdeményező folyamat elindításának dátuma és időpontja. |
| KezdeményezőFolyamatFájlNév | karaktersorozat | Az eseményt kezdeményező folyamat neve. |
| Kezdő folyamat fájlmérete | hosszú | Az eseményt kezdeményező folyamat (képfájl) bájtban megadott mérete. |
| ElindításiFolyamatMappájaÚtvonal | karaktersorozat | Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa. |
| IndítóFolyamatAzonosító | hosszú | Az eseményt kezdeményező folyamat folyamatazonosítója (PID). |
| A folyamat integritási szintjének kezdeményezése | karaktersorozat | Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzőkön alapuló integritási szinteket rendel a folyamatokhoz, például internetes letöltésből indították őket. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
| IndításProcessMD5 | karaktersorozat | Az eseményt kezdeményező folyamat (képfájl) MD5 kivonata. |
| KezdőFolyamatSzülőLétrehozásiIdő | dátum/idő | Az eseményért felelős folyamat szülőjének kezdő dátuma és időpontja. |
| KezdeményezőFolyamatSzülőFájlNeve | karaktersorozat | Annak a szülőfolyamatnak a neve, amely az eseményért felelős folyamatot meghozta. |
| KezdeményezőFolyamatSzülőAzonosító | hosszú | Az eseményért felelős folyamatot generáló szülőfolyamat folyamatazonosítója (PID). |
| KezdőFolyamatTávoliMunkamenetEszközNév | karaktersorozat | Annak a távoli eszköznek az eszközneve, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték. |
| FolyamatIndításaTávoliMunkamenetIP | karaktersorozat | Annak a távoli eszköznek az IP-címe, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték. |
| FolyamatindításMunkamenetAzonosító | hosszú | A kezdeményező folyamat Windows-munkamenet-azonosítója. |
| InitiálóFolyamatSHA1 | karaktersorozat | AZ eseményt kezdeményező folyamat (képfájl) SHA-1 kivonata. |
| A ProcessSHA256 indítása | karaktersorozat | AZ eseményt kezdeményező folyamat (képfájl) SHA-256 kivonata. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
| AProcessTokenElevation kezdeményezése | karaktersorozat | Az eseményt kezdeményező folyamatra alkalmazott felhasználói hozzáférés-vezérlési (UAC) jogosultságszint-emeltség meglétét vagy hiányát jelző jogkivonattípus. |
| AProcessUniqueId kezdeményezése | karaktersorozat | A kezdeményező folyamat egyedi azonosítója; ez megegyezik a Windows-eszközök folyamatindító kulcsával. |
| KezdeményezőFolyamatVerzióInformációCégNév | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév. |
| "KezdőFolyamatVerzióInfóFájlLeírás" | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása. |
| IndítóFolyamatVerzióInformációBelsőFájlnév | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó belső fájlnév. |
| InitiálóFolyamatVerzióInformációEredetiFájlNév | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióadatainak eredeti fájlneve. |
| IndításiFolyamatVerzióInfoTermékNév | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó terméknév. |
| InitiálóFolyamatVerzióInfoTermékVerzió | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióadataiból származó termékverzió. |
| _Felszámítható-e | karaktersorozat | Meghatározza, hogy az adatok bevitele számlázható-e. Amikor a _IsBillable állapot false, az Azure-fiókodban nem történik számlázás. |
| Távvezérlést Indító Folyamat Kezdése | Bool | Azt jelzi, hogy a kezdeményező folyamatot távoli asztali protokoll (RDP) munkamenet (true) vagy helyi (hamis) alatt futtatták-e. |
| IsLocalAdmin | Bool | Logikai jelzés arról, hogy a felhasználó helyi rendszergazda-e a gépen. |
| Bejelentkezési azonosító | hosszú | Azonosító egy bejelentkezési munkamenethez. Ez az azonosító csak az újraindítások között egyedi ugyanazon a gépen. |
| Bejelentkezési típus | karaktersorozat | A bejelentkezési munkamenet típusa, különösen interaktív, távoli interaktív (RDP), hálózat, csoportos és szolgáltatás. |
| Gépcsoport | karaktersorozat | A gép gépcsoportja. Ezt a csoportot a szerepköralapú hozzáférés-vezérlés használja a géphez való hozzáférés meghatározásához. |
| Protokoll | karaktersorozat | A kommunikáció során használt protokoll. |
| TávoliEszközNév | karaktersorozat | Annak az eszköznek a neve, amely távoli műveletet hajtott végre az érintett gépen. A jelentett eseménytől függően ez a név lehet teljes tartománynév (FQDN), NetBIOS-név vagy tartományinformációkat nem tartalmazó állomásnév. |
| Távoli IP cím (RemoteIP) | karaktersorozat | A csatlakoztatott IP-cím. |
| Távoli IP típus | karaktersorozat | Az IP-cím típusa, például Nyilvános, Privát, Fenntartott, Visszacsatolás, Teredo, FourToSixMapping és Szórás. |
| RemotePort | egész | A csatlakoztatott távoli eszköz TCP-portja. |
| Jelentésazonosító | hosszú | Eseményazonosító ismétlődő számláló alapján. Az egyedi események azonosításához ezt az oszlopot a ComputerName és az EventTime oszlopokkal együtt kell használni. |
| SourceSystem | karaktersorozat | Az ügynök típusa, amely által az esemény gyűjtve lett. Windows-ügynök esetén például OpsManager, ha közvetlen csatlakozás vagy az Operations Manager használatával csatlakozik, Linux az összes Linux-ügynök esetén, vagy Azure az Azure Diagnostics esetében. |
| BérlőAzonosító | karaktersorozat | A Log Analytics-munkaterület azonosítója |
| Generálás ideje | dátum/idő | Az esemény rögzítésének dátuma és időpontja az MDE-ügynök által a végponton. |
| Típus | karaktersorozat | A tábla neve |