Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tabela zdarzeń wykonywania skryptów dla usługi Microsoft Defender for Endpoints (MDE) w kontekście niestandardowego zbierania danych. Ta tabela zawiera informacje na temat wykonywania skryptu i powiązanych szczegółów procesu dla wszystkiego jawnie żądanego przez klienta do gromadzenia.
Właściwości tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zarządzanie rejestrami |
| Podstawowe logi | Tak |
| Transformacja podczas ingestii | Nie. |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Typ akcji | ciąg | Typ działania, które wyzwoliło zdarzenie. |
| _RozmiarRachunku | autentyczne | Rozmiar rekordu w bajtach |
| Identyfikator urządzenia | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia | ciąg | Pełna kwalifikowana nazwa domeny (FQDN) urządzenia. |
| InicjowanieProcesuKontaDomeny | ciąg | Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| NazwaKontaProcesuInicjującego | ciąg | Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| Inicjowanie Procesu Identyfikatora Obiektu Konta | ciąg | Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie. |
| Inicjowanie Procesu AccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| Inicjowanie procesu konta UPN | ciąg | Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| Inicjowanie procesu wiersza poleceń | ciąg | Wiersz poleceń użyty do uruchomienia procesu, który zainicjował zdarzenie. |
| Inicjowanie ProcessCreationTime | data/godzina | Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| NazwaPlikuInicjowanegoProcesu | ciąg | Nazwa procesu, który zainicjował zdarzenie. |
| RozmiarPlikuProcesuInicjującego | długi | Rozmiar procesu (pliku obrazu), który zainicjował zdarzenie. |
| Inicjowanie ProcessFolderPath | ciąg | Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
| Identyfikator procesu inicjowania | długi | Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
| Inicjowanie Procesu MD5 | ciąg | Skrót MD5 procesu (plik obrazu), który zainicjował zdarzenie. |
| RozpoczęcieCzasTworzeniaRodzicaProcesu | data/godzina | Data i godzina uruchomienia procesu nadrzędnego, który jest odpowiedzialny za zdarzenie. |
| NazwaPlikuRodzicaProcesuInicjującego | ciąg | Nazwa procesu nadrzędnego, który uruchomił proces odpowiedzialny za zdarzenie. |
| InicjowanieProcesuParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który uruchomił proces odpowiedzialny za zdarzenie. |
| Inicjowanie procesu SHA1 | ciąg | Skrót SHA-1 procesu (plik obrazu), który zainicjował zdarzenie. |
| Inicjowanie procesu SHA256 | ciąg | Skrót SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełniane — jeśli jest dostępna, użyj kolumny SHA1. |
| Inicjowanie statusu sygnatury procesu | ciąg | Informacje o stanie podpisu procesu (pliku obrazu), który zainicjował zdarzenie. |
| RozpoczynanieTypPodpisywaczaProcesu | ciąg | Typ pliku podpisującego proces (pliku obrazka), który zainicjował zdarzenie. |
| Inicjowanie ProcessVersionInfoCompanyName | ciąg | Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| Inicjowanie opisu pliku informacji o wersji procesu | ciąg | Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| Inicjowanie informacji o wersji procesu NazwaOryginalnegoPliku | ciąg | Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoProductName | ciąg | Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| Inicjowanie procesu Informacje o wersji produktu | ciąg | Wersja produktu pochodząca z informacji o wersji procesu, który jest odpowiedzialny za zdarzenie, czyli pliku obrazu. |
| _PodlegaFakturowaniu | ciąg | Określa, czy wczytywanie danych podlega opłacie. Jeśli _IsBillable jest false, ingestia nie jest rozliczana na Twoim koncie platformy Azure |
| Identyfikator raportu | długi | Identyfikator zdarzenia oparty na powtarzającym się liczniku. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
| RuleLastModificationTime | data/godzina | Data i godzina, kiedy ostatnio zmieniono regułę, która zebrała zdarzenie. |
| Nazwa Reguły | ciąg | Nazwa reguły, która zebrała zdarzenie |
| SkryptContent | ciąg | Zawartość wykonanego skryptu. |
| ScriptContentSHA256 | ciąg | SHA256 dla zawartości skryptu. |
| System źródłowy | ciąg | Typ agenta, za pomocą którego dane o zdarzeniu zostały zebrane. Na przykład OpsManager dla agentów systemu Windows (bezpośrednie połączenie lub program Operations Manager), Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyki Azure. |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Sygnatura czasowa | data/godzina | Data i godzina wygenerowania rekordu. |
| Typ | ciąg | Nazwa tabeli |