DynamicEventCollection
Ogólna tabela zdarzeń systemu Windows dla danych zebranych przez agenta usługi Defender for Endpoint
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | AzureSentinelDSRE |
| Dziennik podstawowy | Nie |
| Przekształcanie w czasie pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| AccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje o jednostce lub zdarzeniu. |
| AppGuardContainerId | ciąg | Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania działania przeglądarki. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| DeviceId | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| DeviceName | ciąg | W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. |
| EventId | długi | Zawiera unikatowy identyfikator zdarzenia. |
| InicjowanieProcessAccountDomain | ciąg | Domena konta, na które uruchomiono proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountName | ciąg | Nazwa użytkownika konta, na które uruchomiono proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountObjectId | ciąg | Azure AD identyfikator obiektu konta użytkownika, w ramach którego uruchomiono proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, na które uruchomiono proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. W usłudze Active Directory nazwa UPN jest nazwą użytkownika systemowego w formacie adresu e-mail (na przykład: john.doe@domain.com) |
| InicjowanieProcessFolderPath | ciąg | Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessId | długi | Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
| InicjowanieProcessLogonId | długi | Identyfikator sesji logowania procesu, który zainicjował zdarzenie. Ten identyfikator jest unikatowy na tej samej maszynie tylko między ponownymi uruchomieniami. |
| InicjowanieProcessMD5 | ciąg | Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessParentFileName | ciąg | Nazwa procesu nadrzędnego, który zrodził proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który zrodził proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessSHA1 | ciąg | Skrót SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| LocalIP | ciąg | Adres IP przypisany do komputera lokalnego używanego podczas komunikacji. |
| Port_lokalny | int | Port TCP na komputerze lokalnym używanym podczas komunikacji. |
| Grupa maszyn | ciąg | Grupa maszyn maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| ProcessCommandLine | ciąg | Wiersz polecenia służący do tworzenia nowego procesu. |
| RemoteDeviceName | ciąg | Nazwa urządzenia, które wykonało operację zdalną na maszynie, której dotyczy problem. W zależności od zgłaszanego zdarzenia ta nazwa może być w pełni kwalifikowaną nazwą domeny (FQDN), nazwą NetBIOS lub nazwą hosta bez informacji o domenie. |
| RemoteIP | ciąg | Adres IP, z który był połączony. |
| RemotePort | int | Port TCP na urządzeniu zdalnym, z którymi był połączony. |
| Identyfikator raportu | długi | Unikatowy identyfikator zdarzenia. |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Data i godzina (UTC) podczas generowania rekordu. |
| Typ | ciąg | Nazwa tabeli |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla