ASimProcessEventLogs
Znormalizowana tabela zdarzeń procesu usługi Microsoft Sentinel przechowuje zdarzenia przy użyciu znormalizowanego schematu karty ASIM procesu skojarzonego z tworzeniem lub kończeniem procesu. Takie zdarzenia są zgłaszane przez systemy operacyjne i systemy zabezpieczeń, takie jak systemy wykrywania punktów końcowych i reagowania.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.securityinsights/processeventnormalized |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| ActingProcessCommandLine | ciąg | Wiersz polecenia używany do uruchamiania procesu działania. |
| ActingProcessCreationTime | datetime | Data i godzina rozpoczęcia procesu działania. |
| ActingProcessFileCompany | ciąg | Firma, która utworzyła działający plik obrazu procesu. |
| ActingProcessFileDescription | ciąg | Opis osadzony w informacjach o wersji działającego pliku obrazu procesu. |
| ActingProcessFileInternalName | ciąg | Wewnętrzna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. |
| ActingProcessFilename | ciąg | Nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. |
| ActingProcessFileOriginalName | ciąg | Oryginalna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. |
| ActingProcessFileProduct | ciąg | Nazwa produktu z informacji o wersji w działającym pliku obrazu procesu. |
| ActingProcessFileSize | długi | Rozmiar pliku w bajtach, który uruchomił proces działania. |
| ActingProcessFileVersion | ciąg | Wersja produktu z informacji o wersji działającego pliku obrazu procesu. |
| AktorstwoProcessGuid | ciąg | Identyfikator GUID procesu działania. |
| ActingProcessId | ciąg | Identyfikator procesu działania. |
| ActingProcessIMPHASH | ciąg | Skrót importu wszystkich bibliotek DLL, które są używane przez proces działania. |
| ActingProcessInjectedAddress | ciąg | Adres pamięci, w którym jest przechowywany odpowiedzialny proces działania. |
| ActingProcessIntegrityLevel | ciąg | Poziom integralności dla procesu działania. |
| ActingProcessIsHidden | bool | Wskazanie, czy proces działania jest w trybie ukrytym. |
| ActingProcessMD5 | ciąg | Skrót MD5 działającego pliku obrazu procesu. |
| ActingProcessName | ciąg | Nazwa procesu działania. |
| ActingProcessSHA1 | ciąg | Skrót SHA-1 pliku obrazu procesu działania. |
| ActingProcessSHA256 | ciąg | Skrót SHA-256 działającego pliku obrazu procesu. |
| ActingProcessSHA512 | ciąg | Skrót SHA-512 działającego pliku obrazu procesu. |
| ActingProcessTokenElevation | ciąg | Token wskazujący obecność lub brak uprawnień użytkownika Access Control (UAC) zastosowany do procesu działania. |
| ActorOriginalUserType | ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| AktorScope | ciąg | Zakres, taki jak dzierżawa Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername. |
| ActorScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD identyfikator dzierżawy, w którym zdefiniowano element ActorUserId i ActorUsername. |
| ActorsSessionId | ciąg | Unikatowy identyfikator sesji logowania aktora. |
| ActorUserId | ciąg | Czytelna dla maszyny alfanumeryczna reprezentacja aktora. |
| ActorUserIdType | ciąg | Typ identyfikatora przechowywanego w polu ActorUserId. |
| ActorUsername | ciąg | Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. |
| ActorUsernameType | ciąg | Typ nazwy użytkownika aktora określony w polu ActionUsername |
| ActorUserType | ciąg | Typ aktora. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje reprezentowane przy użyciu par klucz i wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| DvcAction | ciąg | W przypadku raportowania systemów zabezpieczeń akcja wykonywana przez system. |
| DvcDescription | ciąg | Tekst opisowy skojarzony z urządzeniem. |
| DvcDomain | ciąg | Domena urządzenia zgłaszające zdarzenie. |
| DvcDomainType | ciąg | Typ dvcDomain. Możliwe wartości to "Windows" i "FQDN". |
| DvcFQDN | ciąg | Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcHostname | ciąg | Nazwa hosta urządzenia zgłaszające zdarzenie. |
| DvcId | ciąg | Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcIdType | ciąg | Typ dvcId. |
| DvcInterface | ciąg | Interfejs sieciowy, na którym zostały przechwycone dane. |
| DvcIpAddr | ciąg | Adres IP urządzenia zgłaszające zdarzenie. |
| DvcMacAddr | ciąg | Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcOriginalAction | ciąg | Oryginalny element DvcAction dostarczony przez urządzenie raportowania. |
| DvcOs | ciąg | System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcOsVersion | ciąg | Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcScope | ciąg | Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje na identyfikator subskrypcji na platformie Azure i na identyfikator konta na platformie AWS. |
| DvcScopeId | ciąg | Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DvcZone | ciąg | Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| EventCount | int | Liczba zdarzeń opisanych przez rekord. |
| EventEndTime | datetime | Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
| EventMessage | ciąg | Ogólny komunikat lub opis. |
| EventOriginalResultDetails | ciąg | Oryginalne szczegóły wyniku dostarczone przez źródło. |
| EventOriginalSeverity | ciąg | Oryginalna ważność podana przez urządzenie raportowania. |
| EventOriginalSubType | ciąg | Oryginalny podtyp lub identyfikator zdarzenia, jeśli został podany przez źródło. |
| EventOriginalType | ciąg | Oryginalny typ zdarzenia lub identyfikator, jeśli został podany przez źródło. |
| EventOriginalUid | ciąg | Unikatowy identyfikator oryginalnego rekordu, jeśli zostanie podany przez źródło. |
| EventOwner | ciąg | Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
| EventProduct | ciąg | Produkt generujący zdarzenie. |
| EventProductVersion | ciąg | Wersja produktu generująca zdarzenie. |
| EventReportUrl | ciąg | Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
| EventResult | ciąg | Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
| EventResultDetails | ciąg | Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult. |
| EventSchemaVersion | ciąg | Wersja schematu. |
| EventSeverity | ciąg | Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
| EventStartTime | datetime | Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli rekord źródłowy nie zostanie podany, to pole aliasuje pole TimeGenerated. |
| EventSubType | ciąg | Opisuje podział operacji zgłoszonej w polu EventType. |
| Typ zdarzenia | ciąg | Opisuje operację zgłoszoną przez rekord |
| EventVendor | ciąg | Dostawca produktu generującego zdarzenie. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| ParentProcessCreationTime | datetime | Data i godzina rozpoczęcia procesu nadrzędnego. |
| ParentProcessFileCompany | ciąg | Firma, która utworzyła plik obrazu procesu nadrzędnego. |
| ParentProcessFileDescription | ciąg | Opis z informacji o wersji pliku obrazu procesu nadrzędnego. |
| ParentProcessFileProduct | ciąg | Nazwa produktu z informacji o wersji w pliku obrazu procesu nadrzędnego. |
| ParentProcessFileVersion | ciąg | Wersja produktu z informacji o wersji pliku obrazu procesu nadrzędnego. |
| ParentProcessGuid | ciąg | Identyfikator GUID procesu nadrzędnego. |
| ParentProcessId | ciąg | Identyfikator procesu nadrzędnego. |
| ParentProcessIMPHASH | ciąg | Skrót importu wszystkich bibliotek DLL używanych przez proces nadrzędny. |
| ParentProcessInjectedAddress | ciąg | Adres pamięci, w którym jest przechowywany odpowiedzialny proces nadrzędny. |
| ParentProcessIntegrityLevel | ciąg | Poziom integralności dla procesu nadrzędnego. |
| ParentProcessIsHidden | bool | Wskazanie, czy proces nadrzędny jest w trybie ukrytym. |
| ParentProcessMD5 | ciąg | Skrót MD5 pliku obrazu procesu nadrzędnego. |
| ParentProcessName | ciąg | Nazwa procesu nadrzędnego. |
| ParentProcessSHA1 | ciąg | Skrót SHA-1 pliku obrazu procesu nadrzędnego. |
| ParentProcessSHA256 | ciąg | Skrót SHA-256 pliku obrazu procesu nadrzędnego. |
| ParentProcessSHA512 | ciąg | Skrót SHA-512 pliku obrazu procesu nadrzędnego. |
| ParentProcessTokenElevation | ciąg | Token wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowanego do procesu nadrzędnego. |
| _Resourceid | ciąg | Unikatowy identyfikator zasobu skojarzonego z rekordem |
| Rulename | ciąg | Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber | int | Liczba reguł skojarzonych z wynikami inspekcji. |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| _Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| TargetOriginalUserType | ciąg | Typ użytkownika zgłoszony przez urządzenie raportowania. |
| TargetProcessCommandLine | ciąg | Wiersz polecenia używany do uruchamiania procesu docelowego. |
| TargetProcessCreationTime | datetime | Data i godzina rozpoczęcia procesu docelowego. |
| TargetProcessCurrentDirectory | ciąg | Bieżący katalog, w którym jest wykonywany proces docelowy. |
| TargetProcessFileCompany | ciąg | Firma, która utworzyła docelowy plik obrazu procesu. |
| TargetProcessFileDescription | ciąg | Opis z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessFileInternalName | ciąg | Wewnętrzna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessFilename | ciąg | Nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessFileOriginalName | ciąg | Oryginalna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessFileProduct | ciąg | Nazwa produktu z informacji o wersji w pliku obrazu procesu docelowego. |
| TargetProcessFileSize | długi | Rozmiar pliku w bajtach, w których uruchomiono proces odpowiedzialny za zdarzenie. |
| TargetProcessFileVersion | ciąg | Wersja produktu z informacji o wersji pliku obrazu procesu docelowego. |
| TargetProcessGuid | ciąg | Identyfikator GUID procesu docelowego. |
| TargetProcessId | ciąg | Identyfikator procesu docelowego. |
| TargetProcessIMPHASH | ciąg | Skrót importu wszystkich bibliotek DLL używanych przez proces docelowy. |
| TargetProcessInjectedAddress | ciąg | Adres pamięci, w którym jest przechowywany odpowiedzialny proces docelowy. |
| TargetProcessIntegrityLevel | ciąg | Poziom integralności dla procesu docelowego. |
| TargetProcessIsHidden | bool | Wskazanie, czy proces docelowy jest w trybie ukrytym. |
| TargetProcessMD5 | ciąg | Skrót MD5 pliku obrazu procesu docelowego. |
| TargetProcessName | ciąg | Nazwa procesu docelowego. |
| TargetProcessSHA1 | ciąg | Skrót SHA-1 pliku obrazu procesu docelowego. |
| TargetProcessSHA256 | ciąg | Skrót SHA-256 pliku obrazu procesu docelowego. |
| TargetProcessSHA512 | ciąg | Skrót SHA-512 pliku obrazu procesu docelowego. |
| TargetProcessStatusCode | ciąg | Kod zakończenia zwrócony przez proces docelowy po zakończeniu. |
| TargetProcessTokenElevation | ciąg | Token wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowany do procesu docelowego. |
| TargetScope | ciąg | Zakres, taki jak Azure AD dzierżawa, w której zdefiniowano identyfikator TargetUserId i TargetUsername. |
| TargetScopeId | ciąg | Identyfikator zakresu, taki jak Azure AD identyfikator dzierżawy, w którym zdefiniowano identyfikator TargetUserId i TargetUsername. |
| TargetUserId | ciąg | Czytelna dla maszyny alfanumeryczna reprezentacja aktora. |
| TargetUserIdType | ciąg | Typ identyfikatora przechowywanego w polu TargetUserId. |
| TargetUsername | ciąg | Nazwa użytkownika aktora docelowego, w tym informacje o domenie, gdy są dostępne. |
| TargetUsernameType | ciąg | Typ nazwy użytkownika aktora docelowego określony w polu TargetUsername |
| TargetUserSessionGuid | ciąg | Unikatowy identyfikator GUID sesji logowania aktora docelowego. |
| TargetUserSessionId | ciąg | Unikatowy identyfikator sesji logowania aktora docelowego. |
| TargetUserType | ciąg | Typ aktora docelowego. |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatCategory | ciąg | Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
| ThreatConfidence | int | Poziom ufności zidentyfikowanego zagrożenia, znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatField | ciąg | Pole, dla którego zidentyfikowano zagrożenie. |
| ThreatFirstReportedTime | datetime | Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatId | ciąg | Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
| ThreatIsActive | bool | Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uważany za aktywne zagrożenie. |
| ThreatLastReportedTime | datetime | Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatName | ciąg | Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
| ThreatOriginalConfidence | ciąg | Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgłoszony przez urządzenie raportowania. |
| ThreatOriginalRiskLevel | ciąg | Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatRiskLevel | int | Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
| TimeGenerated | datetime | Sygnatura czasowa (UTC) odzwierciedla czas wygenerowania zdarzenia. |
| Typ | ciąg | Nazwa tabeli |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla