ASimProcessEventLogs
Tabel proses Microsoft Azure Sentinel yang dinormalisasi menyimpan peristiwa menggunakan skema kejadian proses asim yang dinormalisasi yang terkait dengan pembuatan atau penghentian proses. Kejadian tersebut dilaporkan oleh sistem operasi dan sistem keamanan, seperti sistem EDR (Deteksi dan Respons Titik Akhir).
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | microsoft.securityinsights/processeventnormalized |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| ActingProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses bertindak tersebut. |
| ActingProcessCreationTime | tanggalwaktu | Tanggal dan waktu ketika proses bertindak dimulai. |
| ActingProcessFileCompany | string | Perusahaan yang membuat file gambar proses bertindak. |
| ActingProcessFileDescription | string | Deskripsi yang disematkan dalam informasi versi file gambar proses bertindak. |
| ActingProcessFileInternalName | string | Nama file internal produk dari informasi versi file gambar proses bertindak. |
| ActingProcessFilename | string | Nama file produk dari informasi versi file gambar proses bertindak. |
| ActingProcessFileOriginalName | string | Nama file asli produk dari informasi versi file gambar proses bertindak. |
| ActingProcessFileProduct | string | Nama produk dari informasi versi dalam file gambar proses bertindak. |
| ActingProcessFileSize | long | Ukuran file dalam byte yang menjalankan proses bertindak. |
| ActingProcessFileVersion | string | Versi produk dari informasi versi file gambar proses bertindak. |
| ActingProcessGuid | string | GUID dari proses bertindak. |
| ActingProcessId | string | ID proses dari proses bertindak. |
| ActingProcessIMPHASH | string | Hash Impor dari semua DLL pustaka yang digunakan oleh proses bertindak. |
| ActingProcessInjectedAddress | string | Alamat memori di mana proses bertindak yang bertanggung jawab disimpan. |
| ActingProcessIntegrityLevel | string | Tingkat Integritas untuk proses bertindak. |
| ActingProcessIsHidden | bool | Indikasi apakah proses bertindak dalam mode tersembunyi. |
| ActingProcessMD5 | string | Hash MD5 dari file gambar proses bertindak. |
| ActingProcessName | string | Nama dari proses bertindak. |
| ActingProcessSHA1 | string | Hash SHA-1 dari file gambar proses bertindak. |
| ActingProcessSHA256 | string | Hash SHA-256 dari file gambar proses bertindak. |
| ActingProcessSHA512 | string | Hash SHA-512 dari file gambar proses bertindak. |
| ActingProcessTokenElevation | string | Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses bertindak. |
| ActorOriginalUserType | string | Jenis pengguna seperti yang dilaporkan oleh perangkat pelaporan. |
| ActorScope | string | Cakupan, seperti penyewa Azure AD, di mana ActorUserId dan ActorUsername didefinisikan. |
| ActorScopeId | string | ID cakupan, seperti ID penyewa Azure AD, di mana ActorUserId dan ActorUsername didefinisikan. |
| ActorSessionId | string | ID unik dari sesi rincian masuk Pelaku. |
| ActorUserId | string | Representasi aktor yang dapat dibaca mesin, alfanumerik, dan unik. |
| ActorUserIdType | string | Jenis ID yang disimpan pada bidang ActorUserId. |
| ActorUsername | string | Nama pengguna Actor, termasuk informasi domain jika tersedia. |
| ActorUsernameType | string | Jenis nama pengguna Actor yang ditentukan dalam bidang ActionUsername |
| ActorUserType | string | Jenis Pelaku. |
| AdditionalFields | dinamis | Informasi tambahan, diwakili menggunakan pasangan kunci dan nilai yang disediakan oleh sumber yang tidak dipetakan ke ASim. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DvcAction | string | Untuk melaporkan sistem keamanan, tindakan yang diambil oleh sistem. |
| DvcDescription | string | Teks deskriptif yang terkait dengan perangkat. |
| DvcDomain | string | Domain perangkat yang melaporkan peristiwa. |
| DvcDomainType | string | Jenis DvcDomain. Nilai yang mungkin termasuk "Windows" dan "FQDN". |
| DvcFQDN | string | Nama host perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcHostname | string | Nama host perangkat yang melaporkan peristiwa. |
| DvcId | string | ID unik perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa. |
| DvcIdType | string | Jenis DvcId. |
| DvcInterface | string | Antarmuka jaringan tempat data diambil. |
| DvcIpAddr | string | Alamat IP perangkat yang melaporkan peristiwa. |
| DvcMacAddr | string | Alamat MAC perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| DvcOriginalAction | string | DvcAction asli seperti yang disediakan oleh perangkat pelaporan. |
| DvcOs | string | Sistem operasi yang berjalan pada perangkat tempat terjadinya peristiwa atau yang melaporkan peristiwa tersebut. |
| DvcOsVersion | string | Versi sistem operasi pada perangkat tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| DvcScope | string | Cakupan platform cloud milik perangkat. Peta DvcScope ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcScopeId | string | ID cakupan platform cloud milik perangkat. Peta DvcScopeId ke ID langganan di Azure dan ke ID akun di AWS. |
| DvcZone | string | Jaringan tempat peristiwa terjadi atau yang melaporkan peristiwa tersebut. |
| EventCount | int | Jumlah peristiwa yang dijelaskan oleh rekaman. |
| EventEndTime | tanggalwaktu | Waktu saat peristiwa berakhir. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa terakhir dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventMessage | string | Pesan atau deskripsi umum. |
| EventOriginalResultDetails | string | Detail hasil asli disediakan oleh sumber. |
| EventOriginalSeverity | string | Tingkat keparahan asli seperti yang disediakan oleh perangkat pelaporan. |
| EventOriginalSubType | string | Subjenis atau ID peristiwa asli, jika disediakan oleh sumbernya. |
| EventOriginalType | string | Jenis acara asli atau ID, jika disediakan oleh sumber. |
| EventOriginalUid | string | ID unik dari rekaman asli, jika disediakan oleh sumbernya. |
| EventOwner | string | Pemilik acara, yang biasanya merupakan departemen atau anak perusahaan tempat peristiwa tersebut dihasilkan. |
| EventProduct | string | Produk yang menghasilkan peristiwa. |
| EventProductVersion | string | Versi produk yang menghasilkan peristiwa. |
| EventReportUrl | string | URL yang disediakan dalam peristiwa untuk sumber daya yang memberikan informasi lebih lanjut tentang peristiwa tersebut. |
| EventResult | string | Hasil peristiwa, diwakili oleh salah satu nilai berikut: Sukses, Parsial, Kegagalan, NA (Tidak Berlaku). Nilai mungkin tidak disediakan langsung oleh sumber, dalam hal ini berasal dari bidang peristiwa lain, misalnya, bidang EventResultDetails. |
| EventResultDetails | string | Alasan atau detail hasil yang dilaporkan di EventResult. |
| EventSchemaVersion | string | Versi skema. |
| EventSeverity | string | Tingkat keparahan peristiwa. Nilai yang valid adalah: Informasi, Rendah, Sedang, atau Tinggi. |
| EventStartTime | tanggalwaktu | Waktu saat peristiwa dimulai. Jika sumber mendukung agregasi dan catatan mewakili beberapa peristiwa, waktu saat peristiwa pertama dibuat. Jika tidak disediakan oleh catatan sumber, bidang ini merupakan alias bidang TimeGenerated. |
| EventSubType | string | Penjelasan operasi subdivisi telah di laporkan di bidang EventType. |
| EventType | string | Menjelaskan operasi yang dilaporkan oleh rekaman |
| EventVendor | string | Vendor dari produk yang menghasilkan peristiwa. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| ParentProcessCreationTime | tanggalwaktu | Tanggal dan waktu ketika proses induk dimulai. |
| ParentProcessFileCompany | string | Perusahaan yang membuat file gambar proses induk. |
| ParentProcessFileDescription | string | Deskripsi dari informasi versi file gambar proses induk. |
| ParentProcessFileProduct | string | Nama produk dari informasi versi dalam file gambar proses induk. |
| ParentProcessFileVersion | string | Versi produk dari informasi versi file gambar proses induk. |
| ParentProcessGuid | string | GUID proses induk. |
| ParentProcessId | string | ID proses dari proses induk. |
| ParentProcessIMPHASH | string | Hash Impor dari semua DLL pustaka yang digunakan oleh proses induk. |
| ParentProcessInjectedAddress | string | Alamat memori tempat proses induk yang bertanggung jawab disimpan. |
| ParentProcessIntegrityLevel | string | Tingkat Integritas untuk proses induk. |
| ParentProcessIsHidden | bool | Indikasi apakah proses induk dalam mode tersembunyi. |
| ParentProcessMD5 | string | Hash MD5 dari file gambar proses induk. |
| ParentProcessName | string | Nama proses induk. |
| ParentProcessSHA1 | string | Hash SHA-1 dari file gambar proses induk. |
| ParentProcessSHA256 | string | Hash SHA-256 dari file gambar proses induk. |
| ParentProcessSHA512 | string | Hash SHA-512 dari file gambar proses induk. |
| ParentProcessTokenElevation | string | Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa Kontrol Akses Pengguna (UAC) yang diterapkan pada proses induk. |
| _ResourceId | string | Pengidentifikasi unik untuk sumber daya yang terkait dengan rekaman |
| RuleName | string | Nama atau ID aturan dengan dikaitkan dengan hasil inspeksi. |
| RuleNumber | int | Jumlah aturan yang terkait dengan hasil inspeksi. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| _SubscriptionId | string | Pengidentifikasi unik untuk langganan yang dikaitkan dengan catatan |
| TargetOriginalUserType | string | Jenis pengguna seperti yang dilaporkan oleh perangkat pelaporan. |
| TargetProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses target tersebut. |
| TargetProcessCreationTime | tanggalwaktu | Tanggal dan waktu ketika proses target dimulai. |
| TargetProcessCurrentDirectory | string | Direktori saat ini di mana proses target dijalankan. |
| TargetProcessFileCompany | string | Perusahaan yang membuat file gambar proses target. |
| TargetProcessFileDescription | string | Deskripsi dari informasi versi file gambar proses target. |
| TargetProcessFileInternalName | string | Nama file internal produk dari informasi versi file gambar proses target. |
| TargetProcessFilename | string | Nama file produk dari informasi versi file gambar proses target. |
| TargetProcessFileOriginalName | string | Nama file asli produk dari informasi versi file gambar proses target. |
| TargetProcessFileProduct | string | Nama produk dari informasi versi dalam file gambar proses target. |
| TargetProcessFileSize | long | Ukuran file dalam byte yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| TargetProcessFileVersion | string | Versi produk dari informasi versi file gambar proses target. |
| TargetProcessGuid | string | GUID dari proses target. |
| TargetProcessId | string | ID proses dari proses target. |
| TargetProcessIMPHASH | string | Hash Impor dari semua DLL pustaka yang digunakan oleh proses target. |
| TargetProcessInjectedAddress | string | Alamat memori tempat proses target yang bertanggung jawab disimpan. |
| TargetProcessIntegrityLevel | string | Tingkat Integritas untuk proses target. |
| TargetProcessIsHidden | bool | Indikasi apakah proses target dalam mode tersembunyi. |
| TargetProcessMD5 | string | Hash MD5 dari file gambar proses target. |
| TargetProcessName | string | Nama proses target. |
| TargetProcessSHA1 | string | Hash SHA-1 dari file gambar proses target. |
| TargetProcessSHA256 | string | Hash SHA-256 dari file gambar proses target. |
| TargetProcessSHA512 | string | Hash SHA-512 dari file gambar proses target. |
| TargetProcessStatusCode | string | Kode keluar dikembalikan oleh proses target saat dihentikan. |
| TargetProcessTokenElevation | string | Token yang menunjukkan ada atau tidak adanya elevasi hak istimewa User Access Control (UAC) yang diterapkan pada proses target. |
| Cakupan Target | string | Cakupan, seperti penyewa Azure AD, di mana TargetUserId dan TargetUsername ditentukan. |
| TargetScopeId | string | ID cakupan, seperti ID penyewa Azure AD, di mana TargetUserId dan TargetUsername ditentukan. |
| TargetUserId | string | Representasi aktor yang dapat dibaca mesin, alfanumerik, dan unik. |
| TargetUserIdType | string | Jenis ID yang disimpan di bidang TargetUserId. |
| TargetUsername | string | Nama pengguna Pelaku target, termasuk informasi domain saat tersedia. |
| TargetUsernameType | string | Jenis nama pengguna pelaku Target yang ditentukan di bidang TargetUsername |
| TargetUserSessionGuid | string | Panduan unik dari sesi masuk aktor Target. |
| TargetUserSessionId | string | ID unik dari sesi masuk pelaku Target. |
| TargetUserType | string | Jenis aktor Target. |
| TenantId | string | ID ruang kerja Analitik Log |
| ThreatCategory | string | Kategori ancaman atau malware yang diidentifikasi dalam aktivitas. |
| ThreatConfidence | int | Tingkat keyakinan ancaman yang diidentifikasi, dinormalisasi ke nilai antara 0 dan 100. |
| ThreatField | string | Bidang yang ancamannya diidentifikasi. |
| ThreatFirstReportedTime | datetime | Pertama kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatId | string | ID ancaman atau malware yang diidentifikasi dalam aktivitas. |
| ThreatIsActive | bool | True ID ancaman yang diidentifikasi dianggap sebagai ancaman aktif. |
| ThreatLastReportedTime | datetime | Terakhir kali alamat IP atau domain diidentifikasi sebagai ancaman. |
| ThreatName | string | Nama ancaman atau malware yang diidentifikasi dalam aktivitas. |
| ThreatOriginalConfidence | string | Tingkat keyakinan asli ancaman yang diidentifikasi, seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatOriginalRiskLevel | string | Tingkat risiko seperti yang dilaporkan oleh perangkat pelaporan. |
| ThreatRiskLevel | int | Tingkat risiko yang terkait dengan ancaman yang diidentifikasi. Levelnya harus berupa angka antara 0 hingga 100. |
| TimeGenerated | tanggalwaktu | Tanda waktu (UTC) yang mencerminkan waktu di mana peristiwa dihasilkan. |
| Jenis | string | Nama tabel |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk