Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Tabella degli eventi di esecuzione script di Microsoft Defender per endpoint per lo scenario di raccolta personalizzata. Questa tabella contiene informazioni sull'esecuzione di script e i dettagli relativi al processo per qualsiasi elemento richiesto in modo esplicito dal cliente per la raccolta.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | Gestione dei log |
| Log di base | Sì |
| Trasformazione durante l'ingestione | NO |
| Interrogazioni di esempio | - |
Colonne
| colonna | TIPO | Descrizione |
|---|---|---|
| Tipo di azione | string | Tipo di attività che ha attivato l'evento. |
| _BilledSize | autentico | Dimensioni del record in unità di byte |
| DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
| Nome del dispositivo | string | Nome di dominio completo (FQDN) del dispositivo. |
| InitiatingProcessAccountDomain | string | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| InitiatingProcessAccountName | string | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| InitiatingProcessAccountObjectId | string | ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| InitiatingProcessAccountSid | string | ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| InitiatingProcessAccountUpn | string | Nome principale utente (UPN) dell'account che ha eseguito il processo che ha generato l'evento. |
| InitiatingProcessCommandLine | string | Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| InitiatingProcessCreationTime | data e ora | Data e ora dell'avvio del processo che ha avviato l'evento. |
| NomeDelFileDelProcessoIniziale | string | Nome del processo che ha avviato l'evento. |
| InitiatingProcessFileSize | long | Dimensioni del processo (file immagine) che ha avviato l'evento. |
| InitiatingProcessFolderPath | string | Cartella contenente il processo (file di immagine) che ha avviato l'evento. |
| AvvioProcessoId | long | ID processo (PID) del processo che ha avviato l'evento. |
| Avviare il Processo MD5 | string | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| InitiatingProcessParentCreationTime | data e ora | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| InitiatingProcessParentFileName | string | Nome del processo parentale che ha originato il processo responsabile dell'evento. |
| InitiatingProcessParentId | long | ID del processo (PID) del processo genitore che ha generato il processo responsabile dell'evento. |
| Avvio di ProcessSHA1 | string | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| Avvio del processo SHA256 | string | Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. Questo campo in genere non viene popolato. Usare la colonna SHA1, se disponibile. |
| InitiatingProcessSignatureStatus | string | Informazioni sullo stato della firma del processo (file di immagine) che ha avviato l'evento. |
| InitiatingProcessSignerType | string | Tipo di firmatario di file del processo (file di immagine) che ha avviato l'evento. |
| InitiatingProcessVersionInfoCompanyName | string | Nome della società ottenuto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitiatingProcessVersionInfoFileDescription | string | Descrizione delle informazioni di versione del processo (file di immagine) responsabile dell'evento. |
| InitiatingProcessVersionInfoInternalFileName | string | Nome del file interno ricavato dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nome file originale tratto dalle informazioni sulla versione del processo (file immagine) che è responsabile dell'evento. |
| InitiatingProcessVersionInfoProductName | string | Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitiatingProcessVersionInfoProductVersion | string | Versione del prodotto ricavata dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| _IsBillable | string | Specifica se l'ingestione dei dati è soggetta a fatturazione. Quando il valore di _IsBillable è false, l'ingestione non viene fatturata all'account Azure. |
| ReportId | long | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere usata congiuntamente alle colonne DeviceName e Timestamp. |
| RuleLastModificationTime | data e ora | Data e ora dell'ultima modifica alla regola che ha raccolto l'evento. |
| Nome della Regola | string | Nome della regola che ha raccolto l'evento |
| ScriptContent | string | Contenuto dello script eseguito. |
| ScriptContentSHA256 | string | SHA256 sul contenuto dello script. |
| SourceSystem | string | Tipo di agente da cui l'evento è stato registrato. Ad esempio, OpsManager per l'agente Windows: connessione diretta o tramite Operations Manager; Linux per tutti gli agenti Linux; oppure Azure per la diagnostica di Azure. |
| ID dell'inquilino | string | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Marca temporale: | data e ora | Data e ora di generazione del record. |
| TIPO | string | Nome della tabella |