AcaraLogonPerangkat
Tabel ini adalah bagian dari Microsoft Defender untuk Titik Akhir dengan Azure Sentinel. Tabel ini berisi Rincian Masuk dan peristiwa autentikasi lainnya.
Atribut tabel
Atribut | Nilai |
---|---|
Jenis sumber daya | - |
Kategori | Keamanan |
Solusi | SecurityInsights |
Log dasar | Tidak |
Transformasi waktu penyerapan | Ya |
Kueri Sampel | - |
Kolom
Kolom | Jenis | Deskripsi |
---|---|---|
AccountDomain | string | Domain akun. |
Nama Akun | string | Nama pengguna akun. |
AccountSid | string | Pengidentifikasi keamanan (SID) akun. |
ActionType | string | Jenis aktivitas yang memicu peristiwa. |
AdditionalFields | dinamis | Informasi tambahan tentang entitas atau peristiwa. |
AppGuardContainerId | string | Pengidentifikasi untuk kontainer virtual yang digunakan oleh Application Guard untuk mengisolasi aktivitas browser. |
_BilledSize | nyata | Ukuran rekaman dalam byte |
DeviceId | string | Pengidentifikasi unik untuk perangkat dalam layanan. |
DeviceName | string | Nama domain yang sepenuhnya memenuhi syarat (FQDN) perangkat. |
FailureReason | string | Informasi yang menjelaskan mengapa tindakan yang direkam gagal. |
InitiatingProcessAccountDomain | string | Domain akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessAccountName | string | Nama pengguna akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessAccountObjectId | string | Azure AD ID objek akun pengguna yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessAccountSid | string | Pengidentifikasi Keamanan (SID) akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessAccountUpn | string | Nama prinsipal pengguna (UPN) akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses yang memulai peristiwa. |
InitiatingProcessCreationTime | tanggalwaktu | Tanggal dan waktu ketika proses yang memulai peristiwa dimulai. |
InitiatingProcessFileName | string | Nama proses yang memulai peristiwa. |
InitiatingProcessFileSize | long | Ukuran dalam byte proses (file gambar) yang memulai peristiwa. |
InitiatingProcessFolderPath | string | Folder yang berisi proses (file gambar) yang memulai peristiwa. |
InitiatingProcessId | long | ID Proses (PID) dari proses yang memulai peristiwa. |
InitiatingProcessIntegrityLevel | string | Tingkat integritas proses yang memulai peristiwa. Windows menetapkan tingkat integritas ke proses berdasarkan karakteristik tertentu, seperti jika diluncurkan dari unduhan internet. Tingkat integritas ini memengaruhi izin ke sumber daya. |
InitiatingProcessMD5 | string | Hash MD5 dari proses (file gambar) yang memulai peristiwa. |
InitiatingProcessParentCreationTime | tanggalwaktu | Tanggal dan waktu ketika induk proses yang bertanggung jawab atas peristiwa dimulai. |
InitiatingProcessParentFileName | string | Nama proses induk yang menelurkan proses yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessParentId | long | ID Proses (PID) dari proses induk yang melahirkan proses yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessSHA1 | string | Hash SHA-1 dari proses (file gambar) yang memulai peristiwa. |
InitiatingProcessSHA256 | string | Hash SHA-256 dari proses (file gambar) yang memulai peristiwa. Bidang ini biasanya tidak diisi - gunakan kolom SHA1 jika tersedia. |
InitiatingProcessTokenElevation | string | Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa User Access Control (UAC) yang diterapkan pada proses yang memulai peristiwa. |
InitiatingProcessVersionInfoCompanyName | string | Nama perusahaan dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoFileDescription | string | Deskripsi dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoInternalFileName | string | Nama file internal dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoOriginalFileName | string | Nama file asli dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoProductName | string | Nama produk dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoProductVersion | string | Versi produk dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
_IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
IsLocalAdmin | bool | Indikator Boolean tentang apakah pengguna adalah administrator lokal pada komputer. |
LogonId | long | Pengidentifikasi untuk sesi masuk. Pengidentifikasi ini unik pada komputer yang sama hanya antara mulai ulang. |
LogonType | string | Jenis sesi masuk, khususnya interaktif, interaktif jarak jauh (RDP), jaringan, batch, dan layanan. |
MachineGroup | string | Grup mesin mesin. Grup ini digunakan oleh kontrol akses berbasis peran untuk menentukan akses ke komputer. |
Protokol | string | Protokol yang digunakan selama komunikasi. |
RemoteDeviceName | string | Nama perangkat yang melakukan operasi jarak jauh pada komputer yang terpengaruh. Bergantung pada peristiwa yang dilaporkan, nama ini bisa menjadi nama domain yang sepenuhnya memenuhi syarat (FQDN), nama NetBIOS, atau nama host tanpa informasi domain. |
RemoteIP | string | Alamat IP yang sedang tersambung. |
RemoteIPType | string | Jenis alamat IP, misalnya Publik, Privat, Dicadangkan, Loopback, Teredo, FourToSixMapping, dan Broadcast. |
Port Jarak Jauh | int | Port TCP pada perangkat jarak jauh yang sedang tersambung. |
ReportId | long | Pengidentifikasi peristiwa berdasarkan penghitung berulang. Untuk mengidentifikasi peristiwa unik, kolom ini harus digunakan bersama dengan kolom ComputerName dan EventTime. |
SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
TenantId | string | ID ruang kerja Analitik Log |
TimeGenerated | tanggalwaktu | Tanggal dan waktu peristiwa direkam oleh agen MDE pada titik akhir. |
Jenis | string | Nama tabel |
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk