ASimProcessEventLogs
In de genormaliseerde microsoft Sentinel-procesgebeurtenissen worden gebeurtenissen opgeslagen met behulp van het genormaliseerdE ASIM-schema voor procesgebeurtenissen dat is gekoppeld aan het maken of beëindigen van een proces. Dergelijke gebeurtenissen worden gerapporteerd door besturingssystemen en beveiligingssystemen, zoals EDR-systemen (End Point Detection and Response).
Tabelkenmerken
| Kenmerk | Waarde |
|---|---|
| Resourcetypen | microsoft.securityinsights/processeventnormalized |
| Categorieën | Beveiliging |
| Oplossingen | SecurityInsights |
| Basislogboek | No |
| Opnametijdtransformatie | Yes |
| Voorbeeldquery's | - |
Kolommen
| Kolom | Type | Description |
|---|---|---|
| ActingProcessCommandLine | tekenreeks | De opdrachtregel die wordt gebruikt om het acteerproces uit te voeren. |
| ActingProcessCreationTime | datum/tijd | De datum en tijd waarop het acteerproces is gestart. |
| ActingProcessFileCompany | tekenreeks | Het bedrijf dat het afbeeldingsbestand voor het acterende proces heeft gemaakt. |
| ActingProcessFileDescription | tekenreeks | De beschrijving die is ingesloten in de versie-informatie van het afbeeldingsbestand van het acterende proces. |
| ActingProcessFileInternalName | tekenreeks | De interne bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het actieve proces. |
| ActingProcessFilename | tekenreeks | De naam van het productbestand uit de versiegegevens van het actieve procesafbeeldingsbestand. |
| ActingProcessFileOriginalName | tekenreeks | De oorspronkelijke bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het actieve proces. |
| ActingProcessFileProduct | tekenreeks | De productnaam uit de versiegegevens in het afbeeldingsbestand van het acterende proces. |
| ActingProcessFileSize | long | De grootte van het bestand in bytes waarop het acteerproces is uitgevoerd. |
| ActingProcessFileVersion | tekenreeks | De productversie van de versie-informatie van het afbeeldingsbestand van het acterende proces. |
| ActingProcessGuid | tekenreeks | Een GUID van het acterende proces. |
| ActingProcessId | tekenreeks | De proces-id van het acterende proces. |
| ActingProcessIMPHASH | tekenreeks | De import-hash van alle bibliotheek-DLL's die worden gebruikt door het acteerproces. |
| ActingProcessInjectedAddress | tekenreeks | Het geheugenadres waarin het verantwoordelijk handelende proces is opgeslagen. |
| ActingProcessIntegrityLevel | tekenreeks | Integriteitsniveau voor handelend proces. |
| ActingProcessIsHidden | booleaans | Een indicatie of het acteerproces zich in de verborgen modus bevindt. |
| ActingProcessMD5 | tekenreeks | De MD5-hash van het afbeeldingsbestand van het actieve proces. |
| ActingProcessName | tekenreeks | De naam van het acteerproces. |
| ActingProcessSHA1 | tekenreeks | De SHA-1-hash van het afbeeldingsbestand van het actieve proces. |
| ActingProcessSHA256 | tekenreeks | De SHA-256-hash van het actieve procesafbeeldingsbestand. |
| ActingProcessSHA512 | tekenreeks | De SHA-512-hash van het actieve procesafbeeldingsbestand. |
| ActingProcessTokenElevation | tekenreeks | Een token dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het acterende proces. |
| ActorOriginalUserType | tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| ActorScope | tekenreeks | Het bereik, zoals Azure AD tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd. |
| ActorScopeId | tekenreeks | De bereik-id, zoals Azure AD tenant-id, waarin ActorUserId en ActorUsername zijn gedefinieerd. |
| ActorSessionId | tekenreeks | De unieke id van de aanmeldingssessie van de Actor. |
| ActorUserId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de actor. |
| ActorUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld ActorUserId. |
| ActorUsername | tekenreeks | De gebruikersnaam van de actor, inclusief domeingegevens indien beschikbaar. |
| ActorUsernameType | tekenreeks | Het type gebruikersnaam van de actor dat is opgegeven in het veld ActionUsername |
| ActorUserType | tekenreeks | Het type actor. |
| AdditionalFields | dynamisch | Aanvullende informatie, weergegeven met behulp van sleutel- en waardeparen die door de bron worden geleverd en die niet zijn toegewezen aan ASim. |
| _BilledSize | werkelijk | De recordgrootte in bytes |
| DvcAction | tekenreeks | Voor rapportagebeveiligingssystemen, de actie die door het systeem wordt uitgevoerd. |
| DvcDescription | tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. |
| DvcDomain | tekenreeks | Het domein van het apparaat dat de gebeurtenis rapporteert. |
| DvcDomainType | tekenreeks | Het type DvcDomain. Mogelijke waarden zijn 'Windows' en 'FQDN'. |
| DvcFQDN | tekenreeks | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcHostname | tekenreeks | De hostnaam van het apparaat dat de gebeurtenis rapporteert. |
| DvcId | tekenreeks | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcIdType | tekenreeks | Het type DvcId. |
| DvcInterface | tekenreeks | De netwerkinterface waarop gegevens zijn vastgelegd. |
| DvcIpAddr | tekenreeks | Het IP-adres van het apparaat dat de gebeurtenis rapporteert. |
| DvcMacAddr | tekenreeks | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcOriginalAction | tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
| DvcO's | tekenreeks | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| DvcOsVersion | tekenreeks | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. |
| DvcScope | tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| DvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| DvcZone | tekenreeks | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
| EventCount | int | Het aantal gebeurtenissen dat door de record wordt beschreven. |
| EventEndTime | datum/tijd | De tijd waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
| EventMessage | tekenreeks | Een algemeen bericht of beschrijving. |
| EventOriginalResultDetails | tekenreeks | De oorspronkelijke resultaatdetails die door de bron zijn opgegeven. |
| EventOriginalSeverity | tekenreeks | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. |
| EventOriginalSubType | tekenreeks | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron. |
| EventOriginalType | tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. |
| EventOriginalUid | tekenreeks | Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. |
| EventOwner | tekenreeks | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
| EventProduct | tekenreeks | Het product dat de gebeurtenis genereert. |
| EventProductVersion | tekenreeks | De versie van het product dat de gebeurtenis genereert. |
| EventReportUrl | tekenreeks | Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
| EventResult | tekenreeks | Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Mislukt, NB (Niet van toepassing). De waarde kan niet rechtstreeks door de bronnen worden opgegeven. In dat geval is deze afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails. |
| EventResultDetails | tekenreeks | Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult. |
| EventSchemaVersion | tekenreeks | De versie van het schema. |
| EventSeverity | tekenreeks | De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog. |
| EventStartTime | datum/tijd | Het tijdstip waarop de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
| EventSubType | tekenreeks | Beschrijft een onderverdeling van de bewerking die is gerapporteerd in het veld EventType. |
| EventType | tekenreeks | Beschrijft de bewerking die door de record wordt gerapporteerd |
| EventVendor | tekenreeks | De leverancier van het product dat de gebeurtenis genereert. |
| _IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account |
| ParentProcessCreationTime | datum/tijd | De datum en tijd waarop het bovenliggende proces is gestart. |
| ParentProcessFileCompany | tekenreeks | Het bedrijf dat het bovenliggende procesinstallatiekopieënbestand heeft gemaakt. |
| ParentProcessFileDescription | tekenreeks | De beschrijving van de versie-informatie van het bovenliggende procesafbeeldingsbestand. |
| ParentProcessFileProduct | tekenreeks | De productnaam uit de versiegegevens in het bovenliggende procesafbeeldingsbestand. |
| ParentProcessFileVersion | tekenreeks | De productversie uit de versiegegevens van het bovenliggende procesinstallatiekopieënbestand. |
| ParentProcessGuid | tekenreeks | Een GUID van het bovenliggende proces. |
| ParentProcessId | tekenreeks | De proces-id van het bovenliggende proces. |
| ParentProcessIMPHASH | tekenreeks | De import-hash van alle bibliotheek-DLL's die worden gebruikt door het bovenliggende proces. |
| ParentProcessInjectedAddress | tekenreeks | Het geheugenadres waarin het verantwoordelijke bovenliggende proces wordt opgeslagen. |
| ParentProcessIntegrityLevel | tekenreeks | Integriteitsniveau voor bovenliggend proces. |
| ParentProcessIsHidden | booleaans | Een indicatie of het bovenliggende proces zich in de verborgen modus bevindt. |
| ParentProcessMD5 | tekenreeks | De MD5-hash van het bovenliggende procesinstallatiekopieënbestand. |
| ParentProcessName | tekenreeks | De naam van het bovenliggende proces. |
| ParentProcessSHA1 | tekenreeks | De SHA-1-hash van het bovenliggende procesafbeeldingsbestand. |
| ParentProcessSHA256 | tekenreeks | De SHA-256-hash van het bovenliggende procesafbeeldingsbestand. |
| ParentProcessSHA512 | tekenreeks | De SHA-512-hash van het bovenliggende procesafbeeldingsbestand. |
| ParentProcessTokenElevation | tekenreeks | Een token dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het bovenliggende proces. |
| _Resourceid | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
| RuleName | tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
| RuleNumber | int | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
| SourceSystem | tekenreeks | Het type agent waarvan de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| _SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
| TargetOriginalUserType | tekenreeks | Het gebruikerstype zoals gerapporteerd door het rapportageapparaat. |
| TargetProcessCommandLine | tekenreeks | De opdrachtregel die wordt gebruikt om het doelproces uit te voeren. |
| TargetProcessCreationTime | datum/tijd | De datum en tijd waarop het doelproces is gestart. |
| TargetProcessCurrentDirectory | tekenreeks | De huidige map waarin het doelproces wordt uitgevoerd. |
| TargetProcessFileCompany | tekenreeks | Het bedrijf dat het afbeeldingsbestand voor het doelproces heeft gemaakt. |
| TargetProcessFileDescription | tekenreeks | De beschrijving van de versie-informatie van het afbeeldingsbestand van het doelproces. |
| TargetProcessFileInternalName | tekenreeks | De interne productbestandsnaam uit de versiegegevens van het afbeeldingsbestand van het doelproces. |
| TargetProcessFilename | tekenreeks | De productbestandsnaam uit de versiegegevens van het afbeeldingsbestand van het doelproces. |
| TargetProcessFileOriginalName | tekenreeks | De oorspronkelijke bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het doelproces. |
| TargetProcessFileProduct | tekenreeks | De productnaam uit de versiegegevens in het afbeeldingsbestand van het doelproces. |
| TargetProcessFileSize | long | Grootte van het bestand in bytes waarop het proces is uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| TargetProcessFileVersion | tekenreeks | De productversie van de versiegegevens van het afbeeldingsbestand van het doelproces. |
| TargetProcessGuid | tekenreeks | Een GUID van het doelproces. |
| TargetProcessId | tekenreeks | De proces-id van het doelproces. |
| TargetProcessIMPHASH | tekenreeks | De import-hash van alle bibliotheek-DLL's die worden gebruikt door het doelproces. |
| TargetProcessInjectedAddress | tekenreeks | Het geheugenadres waarin het verantwoordelijke doelproces wordt opgeslagen. |
| TargetProcessIntegrityLevel | tekenreeks | Integriteitsniveau voor doelproces. |
| TargetProcessIsHidden | booleaans | Een indicatie of het doelproces zich in de verborgen modus bevindt. |
| TargetProcessMD5 | tekenreeks | De MD5-hash van het afbeeldingsbestand van het doelproces. |
| TargetProcessName | tekenreeks | De naam van het doelproces. |
| TargetProcessSHA1 | tekenreeks | De SHA-1-hash van het afbeeldingsbestand van het doelproces. |
| TargetProcessSHA256 | tekenreeks | De SHA-256-hash van het afbeeldingsbestand van het doelproces. |
| TargetProcessSHA512 | tekenreeks | De SHA-512-hash van het afbeeldingsbestand van het doelproces. |
| TargetProcessStatusCode | tekenreeks | De afsluitcode die door het doelproces wordt geretourneerd wanneer deze wordt beëindigd. |
| TargetProcessTokenElevation | tekenreeks | Een token dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het doelproces. |
| TargetScope | tekenreeks | Het bereik, zoals Azure AD tenant, waarin TargetUserId en TargetUsername zijn gedefinieerd. |
| TargetScopeId | tekenreeks | De bereik-id, zoals Azure AD tenant-id, waarin TargetUserId en TargetUsername zijn gedefinieerd. |
| TargetUserId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de actor. |
| TargetUserIdType | tekenreeks | Het type id dat is opgeslagen in het veld TargetUserId. |
| TargetUsername | tekenreeks | De gebruikersnaam van de doelacteur, inclusief domeingegevens indien beschikbaar. |
| TargetUsernameType | tekenreeks | Het type gebruikersnaam van de doelacteur dat is opgegeven in het veld TargetUsername |
| TargetUserSessionGuid | tekenreeks | De unieke GUID van de aanmeldingssessie van de doelacteur. |
| TargetUserSessionId | tekenreeks | De unieke id van de aanmeldingssessie van de doelacteur. |
| TargetUserType | tekenreeks | Het type doelacteur. |
| TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
| ThreatCategory | tekenreeks | De categorie van de bedreiging of malware die is geïdentificeerd in de activiteit. |
| ThreatConfidence | int | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en een 100. |
| ThreatField | tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. |
| ThreatFirstReportedTime | datum/tijd | De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging. |
| ThreatId | tekenreeks | De id van de bedreiging of malware die in de activiteit is geïdentificeerd. |
| ThreatIsActive | booleaans | True ID de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
| ThreatLastReportedTime | datum/tijd | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatName | tekenreeks | De naam van de bedreiging of malware die in de activiteit is geïdentificeerd. |
| ThreatOriginalConfidence | tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatOriginalRiskLevel | tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatRiskLevel | int | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. |
| TimeGenerated | datum/tijd | De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd. |
| Type | tekenreeks | De naam van de tabel |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor