ASimProcessEventLogs
A tabela normalizada de eventos de processo do Microsoft Sentinel armazena eventos usando o esquema normalizado ASIM do Evento de Processo associado à criação ou encerramento de um processo. Esses eventos são relatados por sistemas operacionais e por sistemas de segurança, como os sistemas de EDR (detecção e resposta de ponto de extremidade).
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | microsoft.securityinsights/processeventnormalized |
Categorias | Segurança |
Soluções | SecurityInsights |
Log básico | No |
Transformação de tempo de ingestão | Yes |
Consultas de amostras | - |
Colunas
Coluna | Tipo | Descrição |
---|---|---|
ActingProcessCommandLine | string | A linha de comando usada para executar o processo de ação. |
ActingProcessCreationTime | DATETIME | A data e a hora em que o processo de ação foi iniciado. |
ActingProcessFileCompany | string | A empresa que criou o arquivo de imagem do processo de ação. |
ActingProcessFileDescription | string | A descrição inserida nas informações de versão do arquivo de imagem do processo em ação. |
ActingProcessFileInternalName | string | O nome do arquivo interno do produto das informações de versão do arquivo de imagem do processo em ação. |
ActingProcessFilename | string | O nome do arquivo do produto das informações de versão do arquivo de imagem do processo em ação. |
ActingProcessFileOriginalName | string | O nome do arquivo original do produto das informações de versão do arquivo de imagem do processo em ação. |
ActingProcessFileProduct | string | O nome do produto das informações de versão no arquivo de imagem do processo em ação. |
ActingProcessFileSize | long | O tamanho do arquivo em bytes que executou o processo de ação. |
ActingProcessFileVersion | string | A versão do produto das informações de versão do arquivo de imagem do processo em ação. |
ActingProcessGuid | string | Um GUID do processo de atuação. |
ActingProcessId | string | A ID do processo de atuação. |
ActingProcessIMPHASH | string | O Hash de Importação de todas as DLLs de biblioteca que são usadas pelo processo de ação. |
ActingProcessInjectedAddress | string | O endereço de memória no qual o processo de ação responsável é armazenado. |
ActingProcessIntegrityLevel | string | Nível de integridade para o processo de atuação. |
ActingProcessIsHidden | bool | Indica se o processo de ação está no modo oculto. |
ActingProcessMD5 | string | O hash MD5 do arquivo de imagem do processo em ação. |
ActingProcessName | string | O nome do processo de ação. |
ActingProcessSHA1 | string | O hash SHA-1 do arquivo de imagem do processo em ação. |
ActingProcessSHA256 | string | O hash SHA-256 do arquivo de imagem do processo em ação. |
ActingProcessSHA512 | string | O hash SHA-512 do arquivo de imagem do processo em ação. |
ActingProcessTokenElevation | string | Um token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo em ação. |
ActorOriginalUserType | string | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
ActorScope | string | O escopo, como o locatário do Azure AD, no qual ActorUserId e ActorUsername são definidos. |
ActorScopeId | string | A ID do escopo, como Azure AD ID de locatário, na qual ActorUserId e ActorUsername são definidos. |
ActorSessionId | string | A ID exclusiva da sessão de entrada do Ator. |
string | Uma representação exclusiva, alfanumérica e legível por computador do ator. | |
ActorUserIdType | string | O tipo da ID armazenada no campo ActorUserId. |
ActorUsername | string | O nome de usuário do Ator, incluindo informações de domínio quando disponíveis. |
ActorUsernameType | string | O tipo do nome de usuário do Ator especificado no campo ActionUsername |
ActorUserType | string | O tipo do ator. |
AdditionalFields | dinâmico | Informações adicionais, representadas usando pares chave e valor fornecidos pela origem que não são mapeadas para o ASim. |
_BilledSize | real | O tamanho do registro em bytes |
DvcAction | string | Para relatar sistemas de segurança, a ação executada pelo sistema. |
DvcDescription | string | Um texto descritivo associado ao dispositivo. |
DvcDomain | string | O domínio do dispositivo que relata o evento. |
DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
DvcFQDN | string | O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcHostname | string | O nome do host do dispositivo que relata o evento. |
DvcId | string | A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcIdType | string | O tipo de DvcId. |
DvcInterface | string | A interface de rede em que os dados foram capturados. |
DvcIpAddr | string | O endereço IP do dispositivo que relata o evento. |
DvcMacAddr | string | O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. |
DvcOriginalAction | string | A DvcAction original, conforme fornecida pelo dispositivo de relatório. |
DvcOs | string | O sistema operacional em execução no dispositivo em que o evento ocorreu ou que relatou o evento. |
DvcOsVersion | string | A versão do sistema operacional do dispositivo em que o evento ocorreu ou que relatou o evento. |
DvcScope | string | O escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScope para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
DvcScopeId | string | A ID do escopo da plataforma de nuvem à qual o dispositivo pertence. Mapa do DvcScopeId para uma ID da assinatura no Azure e para uma ID da conta na AWS. |
DvcZone | string | A rede na qual o evento ocorreu ou que relatou o evento. |
EventCount | INT | O número de eventos descritos pelo registro. |
EventEndTime | DATETIME | A hora em que o evento terminou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
EventMessage | string | Uma mensagem ou descrição geral. |
EventOriginalResultDetails | string | Os detalhes do resultado original fornecidos pela origem. |
EventOriginalSeverity | string | A severidade original, conforme fornecido pelo dispositivo de relatório. |
EventOriginalSubType | string | O subtipo ou a ID do evento original, se fornecido pela origem. |
EventOriginalType | string | O ID ou tipo de evento original, se fornecido pela origem. |
EventOriginalUid | string | Uma ID exclusiva do registro original, se fornecida pela origem. |
EventOwner | string | O proprietário do evento, que geralmente é o departamento ou subsidiária no qual ele foi gerado. |
EventProduct | string | O produto que gera o evento. |
EventProductVersion | string | A versão do produto que gera o evento. |
EventReportUrl | string | Uma URL fornecida no evento para um recurso que apresenta informações adicionais sobre o evento. |
EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
EventResultDetails | string | Motivo ou detalhes do resultado relatado no campo EventResult. |
EventSchemaVersion | string | A versão do esquema. |
EventSeverity | string | Gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
EventStartTime | DATETIME | A hora em que o evento iniciou. Se a origem for compatível com a agregação e o registro representar vários eventos, especificará a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo terá como alias o campo TimeGenerated. |
EventSubType | string | Descreve uma subdivisão da operação relatada no campo EventType. |
EventType | string | Descreve a operação relatada pelo registro |
EventVendor | string | O fornecedor do produto que gera o evento. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
ParentProcessCreationTime | DATETIME | A data e a hora em que o processo pai foi iniciado. |
ParentProcessFileCompany | string | A empresa que criou o arquivo de imagem de processo pai. |
ParentProcessFileDescription | string | A descrição das informações de versão do arquivo de imagem do processo pai. |
ParentProcessFileProduct | string | O nome do produto das informações de versão no arquivo de imagem do processo pai. |
ParentProcessFileVersion | string | A versão do produto das informações de versão do arquivo de imagem do processo pai. |
ParentProcessGuid | string | Um GUID do processo pai. |
ParentProcessId | string | A ID do processo pai. |
ParentProcessIMPHASH | string | O Hash de Importação de todas as DLLs de biblioteca que são usadas pelo processo pai. |
ParentProcessInjectedAddress | string | O endereço de memória no qual o processo pai responsável é armazenado. |
ParentProcessIntegrityLevel | string | Nível de integridade para o processo pai. |
ParentProcessIsHidden | bool | Indica se o processo pai está no modo oculto. |
ParentProcessMD5 | string | O hash MD5 do arquivo de imagem do processo pai. |
ParentProcessName | string | O nome do processo pai. |
ParentProcessSHA1 | string | O hash SHA-1 do arquivo de imagem do processo pai. |
ParentProcessSHA256 | string | O hash SHA-256 do arquivo de imagem do processo pai. |
ParentProcessSHA512 | string | O hash SHA-512 do arquivo de imagem do processo pai. |
ParentProcessTokenElevation | string | Um token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo pai. |
_ResourceId | string | Identificador exclusivo do recurso ao qual o registro está associado |
RuleName | string | O nome ou a ID da regra associada aos resultados da inspeção. |
RuleNumber | INT | O número da regra associada aos resultados da inspeção. |
SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
_SubscriptionId | string | Identificador exclusivo da assinatura à qual o registro está associado |
TargetOriginalUserType | string | O tipo de usuário, conforme relatado pelo dispositivo de relatório. |
TargetProcessCommandLine | string | A linha de comando usada para executar o processo de destino. |
TargetProcessCreationTime | DATETIME | A data e a hora em que o processo de destino foi iniciado. |
TargetProcessCurrentDirectory | string | O diretório atual no qual o processo de destino é executado. |
TargetProcessFileCompany | string | A empresa que criou o arquivo de imagem do processo de destino. |
TargetProcessFileDescription | string | A descrição das informações de versão do arquivo de imagem do processo de destino. |
TargetProcessFileInternalName | string | O nome do arquivo interno do produto das informações de versão do arquivo de imagem do processo de destino. |
TargetProcessFilename | string | O nome do arquivo do produto das informações de versão do arquivo de imagem do processo de destino. |
TargetProcessFileOriginalName | string | O nome do arquivo original do produto das informações de versão do arquivo de imagem do processo de destino. |
TargetProcessFileProduct | string | O nome do produto das informações de versão no arquivo de imagem do processo de destino. |
TargetProcessFileSize | long | Tamanho do arquivo em bytes que executou o processo responsável pelo evento. |
TargetProcessFileVersion | string | A versão do produto das informações de versão do arquivo de imagem do processo de destino. |
TargetProcessGuid | string | Um GUID do processo de destino. |
TargetProcessId | string | A ID do processo de destino. |
TargetProcessIMPHASH | string | O Hash de Importação de todas as DLLs de biblioteca que são usadas pelo processo de destino. |
TargetProcessInjectedAddress | string | O endereço de memória no qual o processo de destino responsável é armazenado. |
TargetProcessIntegrityLevel | string | Nível de integridade para o processo de destino. |
TargetProcessIsHidden | bool | Indica se o processo de destino está no modo oculto. |
TargetProcessMD5 | string | O hash MD5 do arquivo de imagem do processo de destino. |
TargetProcessName | string | O nome do processo de destino. |
TargetProcessSHA1 | string | O hash SHA-1 do arquivo de imagem do processo de destino. |
TargetProcessSHA256 | string | O hash SHA-256 do arquivo de imagem do processo de destino. |
TargetProcessSHA512 | string | O hash SHA-512 do arquivo de imagem do processo de destino. |
TargetProcessStatusCode | string | O código de saída retornado pelo processo de destino quando encerrado. |
TargetProcessTokenElevation | string | Um token que indica a presença ou ausência de elevação de privilégio de Controle de Acesso de Usuário (UAC) aplicada ao processo de destino. |
TargetScope | string | O escopo, como o locatário do Azure AD, no qual TargetUserId e TargetUsername são definidos. |
TargetScopeId | string | A ID de escopo, como Azure AD ID de locatário, na qual TargetUserId e TargetUsername são definidos. |
string | Uma representação exclusiva, alfanumérica e legível por computador do ator. | |
TargetUserIdType | string | O tipo da ID armazenada no campo TargetUserId. |
string | O nome de usuário do ator de destino, incluindo informações de domínio quando disponível. | |
TargetUsernameType | string | O tipo do nome de usuário do ator de destino especificado no campo TargetUsername |
TargetUserSessionGuid | string | O guid exclusivo da sessão de entrada do ator de destino. |
TargetUserSessionId | string | A ID exclusiva da sessão de entrada do ator de destino. |
TargetUserType | string | O tipo do ator de destino. |
TenantId | string | A ID do workspace do Log Analytics |
ThreatCategory | string | A categoria da ameaça ou malware identificada na atividade. |
ThreatConfidence | INT | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
ThreatField | string | O campo para o qual uma ameaça foi identificada. |
ThreatFirstReportedTime | DATETIME | A primeira vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatId | string | A ID da ameaça ou malware identificado na atividade. |
ThreatIsActive | bool | True, a ID da ameaça identificada é considerada uma ameaça ativa. |
ThreatLastReportedTime | DATETIME | A última vez em que o endereço IP ou domínio foi identificado como uma ameaça. |
ThreatName | string | O nome da ameaça ou malware identificado na atividade. |
ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
ThreatOriginalRiskLevel | string | O nível de risco, conforme relatado pelo dispositivo de relatório. |
ThreatRiskLevel | INT | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
TimeGenerated | DATETIME | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
Type | string | O nome da tabela |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de