Eventi
Creare app e agenti di intelligenza artificiale
17 mar, 21 - 21 mar, 10
Partecipa alla serie meetup per creare soluzioni di intelligenza artificiale scalabili basate su casi d'uso reali con altri sviluppatori ed esperti.
Iscriviti subitoASimProcessEventLogs
La tabella normalizzata dei processi di Microsoft Sentinel archivia gli eventi usando lo schema normalizzato process event ASIM associato alla creazione o alla chiusura di un processo. Tali eventi vengono segnalati dai sistemi operativi e dai sistemi di sicurezza, ad esempio sistemi EDR (End Point Detection and Response).
| Attributo | Valore |
|---|---|
| Tipi di risorse | microsoft.securityinsights/processeventnormalized |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
| Column | Type | Descrizione |
|---|---|---|
| ActingProcessCommandLine | string | Riga di comando usata per eseguire il processo di azione. |
| ActingProcessCreationTime | datetime | Data e ora di inizio del processo di recitazione. |
| ActingProcessFileCompany | string | Società che ha creato il file di immagine del processo di azione. |
| ActingProcessFileDescription | string | Descrizione incorporata nelle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFileInternalName | string | Nome del file interno del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFilename | string | Nome del file del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFileOriginalName | string | Nome del file originale del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFileProduct | string | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo di azione. |
| ActingProcessFileSize | long | Dimensione del file in byte che ha eseguito il processo di azione. |
| ActingProcessFileVersion | string | Versione del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessGuid | string | GUID del processo di azione. |
| ActingProcessId | string | ID processo del processo di azione. |
| ActingProcessIMPHASH | string | Hash di importazione di tutte le DLL della libreria usate dal processo di azione. |
| ActingProcessInjectedAddress | string | Indirizzo di memoria in cui è archiviato il processo di azione responsabile. |
| ActingProcessIntegrityLevel | string | Livello di integrità per il processo di azione. |
| ActingProcessIsHidden | bool | Indica se il processo di azione è in modalità nascosta. |
| ActingProcessMD5 | string | Hash MD5 del file di immagine del processo di azione. |
| ActingProcessName | string | Nome del processo di azione. |
| ActingProcessSHA1 | string | Hash SHA-1 del file di immagine del processo che agisce. |
| ActingProcessSHA256 | string | Hash SHA-256 del file di immagine del processo di azione. |
| ActingProcessSHA512 | string | Hash SHA-512 del file di immagine del processo che agisce. |
| ActingProcessTokenElevation | string | Token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo di azione. |
| ActorOriginalUserType | string | Tipo di utente segnalato dal dispositivo di report. |
| ActorScope | string | Ambito, ad esempio il tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorScopeId | string | ID ambito, ad esempio ID tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorSessionId | string | ID univoco della sessione di accesso dell'attore. |
| ActorUserId | string | Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
| ActorUserIdType | string | Tipo dell'ID archiviato nel campo ActorUserId. |
| ActorUsername | string | Nome utente dell'attore, incluse le informazioni sul dominio, se disponibili. |
| ActorUsernameType | string | Tipo del nome utente dell'attore specificato nel campo ActionUsername |
| ActorUserType | string | Tipo dell'attore. |
| Campi aggiuntivi | dynamic | Informazioni aggiuntive, rappresentate usando coppie chiave e valore fornite dall'origine che non eseguono il mapping ad ASim. |
| _BilledSize | real | Dimensioni del record in byte |
| DvcAction | string | Per la creazione di report sui sistemi di sicurezza, l'azione intrapresa dal sistema. |
| DvcDescription | string | Un testo descrittivo associato al dispositivo. |
| DvcDomain | string | Dominio del dispositivo che segnala l'evento. |
| DvcDomainType | string | Tipo di DvcDomain. I valori possibili includono "Windows" e "FQDN". |
| DvcFQDN | string | Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcHostname | string | Nome host del dispositivo che segnala l'evento. |
| DvcId | string | ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcIdType | string | Il tipo di DvcId. |
| DvcInterface | string | Interfaccia di rete in cui sono stati acquisiti i dati. |
| DvcIpAddr | string | Indirizzo IP del dispositivo che segnala l'evento. |
| DvcMacAddr | string | Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOriginalAction | string | Il DvcAction originale fornito dal dispositivo di report. |
| DvcOs | string | Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOsVersion | string | La versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcScope | string | L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcScopeId | string | L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcZone | string | Rete in cui si è verificato l'evento o che ha segnalato l'evento. |
| EventCount | int | Numero di eventi descritti dal record. |
| EventEndTime | datetime | Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventMessage | string | Messaggio o descrizione generali. |
| EventOriginalResultDetails | string | Dettagli del risultato originale forniti dall'origine. |
| EventOriginalSeverity | string | Gravità originale fornita dal dispositivo di report. |
| EventOriginalSubType | string | Sottotipo o ID dell'evento originale, se specificato dall'origine. |
| EventOriginalType | string | Tipo di evento o ID originale, se specificato dall'origine. |
| EventOriginalUid | string | ID univoco del record originale, se specificato dall'origine. |
| EventOwner | string | Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct | string | Prodotto che genera l'evento. |
| EventProductVersion | string | Versione del prodotto che genera l'evento. |
| EventReportUrl | string | URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| EventResult | string | Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicable). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso è derivato da altri campi evento, ad esempio il campo EventResultDetails. |
| EventResultDetails | string | Motivo o dettagli per il risultato segnalato nel campo EventResult. |
| EventSchemaVersion | string | La versione dello schema. |
| EventSeverity | string | Gravità dell'evento. I valori validi sono: Informativo, Basso, Medio o Alto. |
| EventStartTime | datetime | Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubType | string | Descrive una suddivisione dell'operazione segnalata nel campo EventType. |
| EventType | string | Descrive l'operazione segnalata dal record |
| EventVendor | string | Fornitore del prodotto che genera l'evento. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| ParentProcessCreationTime | datetime | Data e ora di avvio del processo padre. |
| ParentProcessFileCompany | string | Società che ha creato il file di immagine del processo padre. |
| ParentProcessFileDescription | string | Descrizione delle informazioni sulla versione del file di immagine del processo padre. |
| ParentProcessFileProduct | string | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo padre. |
| ParentProcessFileVersion | string | Versione del prodotto dalle informazioni sulla versione del file di immagine del processo padre. |
| ParentProcessGuid | string | GUID del processo padre. |
| ParentProcessId | string | ID processo del processo padre. |
| ParentProcessIMPHASH | string | Importazione hash di tutte le DLL della libreria usate dal processo padre. |
| ParentProcessInjectedAddress | string | Indirizzo di memoria in cui è archiviato il processo padre responsabile. |
| ParentProcessIntegrityLevel | string | Livello di integrità per il processo padre. |
| ParentProcessIsHidden | bool | Indicazione se il processo padre è in modalità nascosta. |
| ParentProcessMD5 | string | Hash MD5 del file di immagine del processo padre. |
| ParentProcessName | string | Nome del processo padre. |
| ParentProcessSHA1 | string | Hash SHA-1 del file di immagine del processo padre. |
| ParentProcessSHA256 | string | Hash SHA-256 del file di immagine del processo padre. |
| ParentProcessSHA512 | string | Hash SHA-512 del file di immagine del processo padre. |
| ParentProcessTokenElevation | string | Token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo padre. |
| _ResourceId | string | Identificatore univoco della risorsa a cui è associato il record. |
| RuleName | string | Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber | int | Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| _SubscriptionId | string | Identificatore univoco della sottoscrizione a cui è associato il record |
| TargetOriginalUserType | string | Tipo di utente segnalato dal dispositivo di report. |
| TargetProcessCommandLine | string | Riga di comando usata per eseguire il processo di destinazione. |
| TargetProcessCreationTime | datetime | Data e ora di avvio del processo di destinazione. |
| TargetProcessCurrentDirectory | string | Directory corrente in cui viene eseguito il processo di destinazione. |
| TargetProcessFileCompany | string | Società che ha creato il file di immagine del processo di destinazione. |
| TargetProcessFileDescription | string | Descrizione delle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFileInternalName | string | Nome file interno del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFilename | string | Nome del file del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFileOriginalName | string | Nome del file originale del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFileProduct | string | Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo di destinazione. |
| TargetProcessFileSize | long | Dimensione del file in byte che ha eseguito il processo responsabile dell'evento. |
| TargetProcessFileVersion | string | Versione del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessGuid | string | GUID del processo di destinazione. |
| TargetProcessId | string | ID del processo di destinazione. |
| TargetProcessIMPHASH | string | Importazione hash di tutte le DLL della libreria usate dal processo di destinazione. |
| TargetProcessInjectedAddress | string | Indirizzo di memoria in cui è archiviato il processo di destinazione responsabile. |
| TargetProcessIntegrityLevel | string | Livello di integrità per il processo di destinazione. |
| TargetProcessIsHidden | bool | Indicazione se il processo di destinazione è in modalità nascosta. |
| TargetProcessMD5 | string | Hash MD5 del file di immagine del processo di destinazione. |
| TargetProcessName | string | Nome del processo di destinazione. |
| TargetProcessSHA1 | string | Hash SHA-1 del file di immagine del processo di destinazione. |
| TargetProcessSHA256 | string | Hash SHA-256 del file di immagine del processo di destinazione. |
| TargetProcessSHA512 | string | Hash SHA-512 del file di immagine del processo di destinazione. |
| TargetProcessStatusCode | string | Codice di uscita restituito dal processo di destinazione al termine. |
| TargetProcessTokenElevation | string | Token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo di destinazione. |
| TargetScope | string | Ambito, ad esempio il tenant di Azure AD, in cui sono definiti TargetUserId e TargetUsername. |
| TargetScopeId | string | ID ambito, ad esempio ID tenant di Azure AD, in cui vengono definiti TargetUserId e TargetUsername. |
| TargetUserId | string | Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
| TargetUserIdType | string | Tipo dell'ID archiviato nel campo TargetUserId. |
| TargetUsername | string | Nome utente dell'attore di destinazione, incluse le informazioni sul dominio, se disponibili. |
| TargetUsernameType | string | Tipo del nome utente dell'attore di destinazione specificato nel campo TargetUsername |
| TargetUserSessionGuid | string | GUID univoco della sessione di accesso dell'attore target. |
| TargetUserSessionId | string | ID univoco della sessione di accesso dell'attore di destinazione. |
| TargetUserType | string | Tipo dell'attore target. |
| TenantId | string | L'ID dell'area di lavoro Log Analytics |
| ThreatCategory | string | Categoria della minaccia o del malware identificato nell'attività. |
| ThreatConfidence | int | Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField | string | Campo per il quale è stata identificata una minaccia. |
| ThreatFirstReportedTime | datetime | La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatId | string | ID della minaccia o del malware identificato nell'attività. |
| ThreatIsActive | bool | True ID la minaccia identificata è considerata una minaccia attiva. |
| ThreatLastReportedTime | datetime | L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatName | string | Nome della minaccia o del malware identificato nell'attività. |
| ThreatOriginalConfidence | string | Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalRiskLevel | string | Livello di rischio segnalato dal dispositivo di report. |
| ThreatRiskLevel | int | Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
| TimeGenerated | datetime | Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| Type | string | Nome della tabella |
Risorse aggiuntive
Formazione
Modulo
Normalizzazione dei dati in Microsoft Sentinel - Training
Normalizzazione dei dati in Microsoft Sentinel
Certificazione
Microsoft Certified: Security Operations Analyst Associate - Certifications
Analizzare, cercare e attenuare minacce usando Microsoft Sentinel, Microsoft Defender per il cloud e Microsoft 365 Defender.