Delen via


ASimProcessEventLogs

In de genormaliseerde microsoft Sentinel-procesgebeurtenissen worden gebeurtenissen opgeslagen met behulp van het genormaliseerdE ASIM-schema voor procesgebeurtenissen dat is gekoppeld aan het maken of beëindigen van een proces. Dergelijke gebeurtenissen worden gerapporteerd door besturingssystemen en beveiligingssystemen, zoals EDR-systemen (End Point Detection and Response).

Tabelkenmerken

Kenmerk Waarde
Resourcetypen microsoft.securityinsights/processeventnormalized
Categorieën Beveiliging
Oplossingen SecurityInsights
Basislogboek No
Opnametijdtransformatie Yes
Voorbeeldquery's -

Kolommen

Kolom Type Description
ActingProcessCommandLine tekenreeks De opdrachtregel die wordt gebruikt om het acteerproces uit te voeren.
ActingProcessCreationTime datum/tijd De datum en tijd waarop het acteerproces is gestart.
ActingProcessFileCompany tekenreeks Het bedrijf dat het afbeeldingsbestand voor het acterende proces heeft gemaakt.
ActingProcessFileDescription tekenreeks De beschrijving die is ingesloten in de versie-informatie van het afbeeldingsbestand van het acterende proces.
ActingProcessFileInternalName tekenreeks De interne bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het actieve proces.
ActingProcessFilename tekenreeks De naam van het productbestand uit de versiegegevens van het actieve procesafbeeldingsbestand.
ActingProcessFileOriginalName tekenreeks De oorspronkelijke bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het actieve proces.
ActingProcessFileProduct tekenreeks De productnaam uit de versiegegevens in het afbeeldingsbestand van het acterende proces.
ActingProcessFileSize long De grootte van het bestand in bytes waarop het acteerproces is uitgevoerd.
ActingProcessFileVersion tekenreeks De productversie van de versie-informatie van het afbeeldingsbestand van het acterende proces.
ActingProcessGuid tekenreeks Een GUID van het acterende proces.
ActingProcessId tekenreeks De proces-id van het acterende proces.
ActingProcessIMPHASH tekenreeks De import-hash van alle bibliotheek-DLL's die worden gebruikt door het acteerproces.
ActingProcessInjectedAddress tekenreeks Het geheugenadres waarin het verantwoordelijk handelende proces is opgeslagen.
ActingProcessIntegrityLevel tekenreeks Integriteitsniveau voor handelend proces.
ActingProcessIsHidden booleaans Een indicatie of het acteerproces zich in de verborgen modus bevindt.
ActingProcessMD5 tekenreeks De MD5-hash van het afbeeldingsbestand van het actieve proces.
ActingProcessName tekenreeks De naam van het acteerproces.
ActingProcessSHA1 tekenreeks De SHA-1-hash van het afbeeldingsbestand van het actieve proces.
ActingProcessSHA256 tekenreeks De SHA-256-hash van het actieve procesafbeeldingsbestand.
ActingProcessSHA512 tekenreeks De SHA-512-hash van het actieve procesafbeeldingsbestand.
ActingProcessTokenElevation tekenreeks Een token dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het acterende proces.
ActorOriginalUserType tekenreeks Het gebruikerstype zoals gerapporteerd door het rapportageapparaat.
ActorScope tekenreeks Het bereik, zoals Azure AD tenant, waarin ActorUserId en ActorUsername zijn gedefinieerd.
ActorScopeId tekenreeks De bereik-id, zoals Azure AD tenant-id, waarin ActorUserId en ActorUsername zijn gedefinieerd.
ActorSessionId tekenreeks De unieke id van de aanmeldingssessie van de Actor.
ActorUserId tekenreeks Een machineleesbare, alfanumerieke, unieke weergave van de actor.
ActorUserIdType tekenreeks Het type id dat is opgeslagen in het veld ActorUserId.
ActorUsername tekenreeks De gebruikersnaam van de actor, inclusief domeingegevens indien beschikbaar.
ActorUsernameType tekenreeks Het type gebruikersnaam van de actor dat is opgegeven in het veld ActionUsername
ActorUserType tekenreeks Het type actor.
AdditionalFields dynamisch Aanvullende informatie, weergegeven met behulp van sleutel- en waardeparen die door de bron worden geleverd en die niet zijn toegewezen aan ASim.
_BilledSize werkelijk De recordgrootte in bytes
DvcAction tekenreeks Voor rapportagebeveiligingssystemen, de actie die door het systeem wordt uitgevoerd.
DvcDescription tekenreeks Een beschrijvende tekst die is gekoppeld aan het apparaat.
DvcDomain tekenreeks Het domein van het apparaat dat de gebeurtenis rapporteert.
DvcDomainType tekenreeks Het type DvcDomain. Mogelijke waarden zijn 'Windows' en 'FQDN'.
DvcFQDN tekenreeks De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcHostname tekenreeks De hostnaam van het apparaat dat de gebeurtenis rapporteert.
DvcId tekenreeks De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcIdType tekenreeks Het type DvcId.
DvcInterface tekenreeks De netwerkinterface waarop gegevens zijn vastgelegd.
DvcIpAddr tekenreeks Het IP-adres van het apparaat dat de gebeurtenis rapporteert.
DvcMacAddr tekenreeks Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcOriginalAction tekenreeks De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat.
DvcO's tekenreeks Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
DvcOsVersion tekenreeks De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd.
DvcScope tekenreeks Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
DvcScopeId tekenreeks De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS.
DvcZone tekenreeks Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd.
EventCount int Het aantal gebeurtenissen dat door de record wordt beschreven.
EventEndTime datum/tijd De tijd waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt.
EventMessage tekenreeks Een algemeen bericht of beschrijving.
EventOriginalResultDetails tekenreeks De oorspronkelijke resultaatdetails die door de bron zijn opgegeven.
EventOriginalSeverity tekenreeks De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat.
EventOriginalSubType tekenreeks Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron.
EventOriginalType tekenreeks Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron.
EventOriginalUid tekenreeks Een unieke id van de oorspronkelijke record, indien opgegeven door de bron.
EventOwner tekenreeks De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd.
EventProduct tekenreeks Het product dat de gebeurtenis genereert.
EventProductVersion tekenreeks De versie van het product dat de gebeurtenis genereert.
EventReportUrl tekenreeks Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt.
EventResult tekenreeks Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Mislukt, NB (Niet van toepassing). De waarde kan niet rechtstreeks door de bronnen worden opgegeven. In dat geval is deze afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails.
EventResultDetails tekenreeks Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult.
EventSchemaVersion tekenreeks De versie van het schema.
EventSeverity tekenreeks De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog.
EventStartTime datum/tijd Het tijdstip waarop de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt.
EventSubType tekenreeks Beschrijft een onderverdeling van de bewerking die is gerapporteerd in het veld EventType.
EventType tekenreeks Beschrijft de bewerking die door de record wordt gerapporteerd
EventVendor tekenreeks De leverancier van het product dat de gebeurtenis genereert.
_IsBillable tekenreeks Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account
ParentProcessCreationTime datum/tijd De datum en tijd waarop het bovenliggende proces is gestart.
ParentProcessFileCompany tekenreeks Het bedrijf dat het bovenliggende procesinstallatiekopieënbestand heeft gemaakt.
ParentProcessFileDescription tekenreeks De beschrijving van de versie-informatie van het bovenliggende procesafbeeldingsbestand.
ParentProcessFileProduct tekenreeks De productnaam uit de versiegegevens in het bovenliggende procesafbeeldingsbestand.
ParentProcessFileVersion tekenreeks De productversie uit de versiegegevens van het bovenliggende procesinstallatiekopieënbestand.
ParentProcessGuid tekenreeks Een GUID van het bovenliggende proces.
ParentProcessId tekenreeks De proces-id van het bovenliggende proces.
ParentProcessIMPHASH tekenreeks De import-hash van alle bibliotheek-DLL's die worden gebruikt door het bovenliggende proces.
ParentProcessInjectedAddress tekenreeks Het geheugenadres waarin het verantwoordelijke bovenliggende proces wordt opgeslagen.
ParentProcessIntegrityLevel tekenreeks Integriteitsniveau voor bovenliggend proces.
ParentProcessIsHidden booleaans Een indicatie of het bovenliggende proces zich in de verborgen modus bevindt.
ParentProcessMD5 tekenreeks De MD5-hash van het bovenliggende procesinstallatiekopieënbestand.
ParentProcessName tekenreeks De naam van het bovenliggende proces.
ParentProcessSHA1 tekenreeks De SHA-1-hash van het bovenliggende procesafbeeldingsbestand.
ParentProcessSHA256 tekenreeks De SHA-256-hash van het bovenliggende procesafbeeldingsbestand.
ParentProcessSHA512 tekenreeks De SHA-512-hash van het bovenliggende procesafbeeldingsbestand.
ParentProcessTokenElevation tekenreeks Een token dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het bovenliggende proces.
_Resourceid tekenreeks Een unieke id voor de resource waaraan de record is gekoppeld
RuleName tekenreeks De naam of id van de regel die is gekoppeld aan de inspectieresultaten.
RuleNumber int Het nummer van de regel die is gekoppeld aan de inspectieresultaten.
SourceSystem tekenreeks Het type agent waarvan de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics
_SubscriptionId tekenreeks Een unieke id voor het abonnement waaraan de record is gekoppeld
TargetOriginalUserType tekenreeks Het gebruikerstype zoals gerapporteerd door het rapportageapparaat.
TargetProcessCommandLine tekenreeks De opdrachtregel die wordt gebruikt om het doelproces uit te voeren.
TargetProcessCreationTime datum/tijd De datum en tijd waarop het doelproces is gestart.
TargetProcessCurrentDirectory tekenreeks De huidige map waarin het doelproces wordt uitgevoerd.
TargetProcessFileCompany tekenreeks Het bedrijf dat het afbeeldingsbestand voor het doelproces heeft gemaakt.
TargetProcessFileDescription tekenreeks De beschrijving van de versie-informatie van het afbeeldingsbestand van het doelproces.
TargetProcessFileInternalName tekenreeks De interne productbestandsnaam uit de versiegegevens van het afbeeldingsbestand van het doelproces.
TargetProcessFilename tekenreeks De productbestandsnaam uit de versiegegevens van het afbeeldingsbestand van het doelproces.
TargetProcessFileOriginalName tekenreeks De oorspronkelijke bestandsnaam van het product uit de versiegegevens van het afbeeldingsbestand van het doelproces.
TargetProcessFileProduct tekenreeks De productnaam uit de versiegegevens in het afbeeldingsbestand van het doelproces.
TargetProcessFileSize long Grootte van het bestand in bytes waarop het proces is uitgevoerd dat verantwoordelijk is voor de gebeurtenis.
TargetProcessFileVersion tekenreeks De productversie van de versiegegevens van het afbeeldingsbestand van het doelproces.
TargetProcessGuid tekenreeks Een GUID van het doelproces.
TargetProcessId tekenreeks De proces-id van het doelproces.
TargetProcessIMPHASH tekenreeks De import-hash van alle bibliotheek-DLL's die worden gebruikt door het doelproces.
TargetProcessInjectedAddress tekenreeks Het geheugenadres waarin het verantwoordelijke doelproces wordt opgeslagen.
TargetProcessIntegrityLevel tekenreeks Integriteitsniveau voor doelproces.
TargetProcessIsHidden booleaans Een indicatie of het doelproces zich in de verborgen modus bevindt.
TargetProcessMD5 tekenreeks De MD5-hash van het afbeeldingsbestand van het doelproces.
TargetProcessName tekenreeks De naam van het doelproces.
TargetProcessSHA1 tekenreeks De SHA-1-hash van het afbeeldingsbestand van het doelproces.
TargetProcessSHA256 tekenreeks De SHA-256-hash van het afbeeldingsbestand van het doelproces.
TargetProcessSHA512 tekenreeks De SHA-512-hash van het afbeeldingsbestand van het doelproces.
TargetProcessStatusCode tekenreeks De afsluitcode die door het doelproces wordt geretourneerd wanneer deze wordt beëindigd.
TargetProcessTokenElevation tekenreeks Een token dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het doelproces.
TargetScope tekenreeks Het bereik, zoals Azure AD tenant, waarin TargetUserId en TargetUsername zijn gedefinieerd.
TargetScopeId tekenreeks De bereik-id, zoals Azure AD tenant-id, waarin TargetUserId en TargetUsername zijn gedefinieerd.
TargetUserId tekenreeks Een machineleesbare, alfanumerieke, unieke weergave van de actor.
TargetUserIdType tekenreeks Het type id dat is opgeslagen in het veld TargetUserId.
TargetUsername tekenreeks De gebruikersnaam van de doelacteur, inclusief domeingegevens indien beschikbaar.
TargetUsernameType tekenreeks Het type gebruikersnaam van de doelacteur dat is opgegeven in het veld TargetUsername
TargetUserSessionGuid tekenreeks De unieke GUID van de aanmeldingssessie van de doelacteur.
TargetUserSessionId tekenreeks De unieke id van de aanmeldingssessie van de doelacteur.
TargetUserType tekenreeks Het type doelacteur.
TenantId tekenreeks De id van de Log Analytics-werkruimte
ThreatCategory tekenreeks De categorie van de bedreiging of malware die is geïdentificeerd in de activiteit.
ThreatConfidence int Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en een 100.
ThreatField tekenreeks Het veld waarvoor een bedreiging is geïdentificeerd.
ThreatFirstReportedTime datum/tijd De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging.
ThreatId tekenreeks De id van de bedreiging of malware die in de activiteit is geïdentificeerd.
ThreatIsActive booleaans True ID de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging.
ThreatLastReportedTime datum/tijd De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging.
ThreatName tekenreeks De naam van de bedreiging of malware die in de activiteit is geïdentificeerd.
ThreatOriginalConfidence tekenreeks Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat.
ThreatOriginalRiskLevel tekenreeks Het risiconiveau zoals gerapporteerd door het rapportageapparaat.
ThreatRiskLevel int Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn.
TimeGenerated datum/tijd De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd.
Type tekenreeks De naam van de tabel