ASimProcessEventLogs
В нормализованной таблице событий процесса Microsoft Sentinel хранятся события с помощью нормализованной схемы ASIM события процесса, связанной с созданием или завершением процесса. Такие события регистрируются операционными системами, а также системами безопасности, такими как системы EDR (обнаружение и конечных точек и реагирование).
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | microsoft.securityinsights/processeventnormalized |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| ActingProcessCommandLine | строка | Командная строка, используемая для запуска действующего процесса. |
| ActingProcessCreationTime | DATETIME | Дата и время запуска действующего процесса. |
| ActingProcessFileCompany | строка | Компания, создавшая файл образа действующего процесса. |
| ActingProcessFileDescription | строка | Описание, внедренное в сведения о версии файла образа действующего процесса. |
| ActingProcessFileInternalName | строка | Внутреннее имя файла продукта, полученное из сведений о версии файла образа действующего процесса. |
| ActingProcessFilename | строка | Имя файла продукта из сведений о версии файла образа действующего процесса. |
| ActingProcessFileOriginalName | строка | Исходное имя файла продукта, полученное из сведений о версии файла образа действующего процесса. |
| ActingProcessFileProduct | строка | Имя продукта, полученное из сведений о версии в файле образа действующего процесса. |
| ActingProcessFileSize | long | Размер файла в байтах, который выполнял действующий процесс. |
| ActingProcessFileVersion | строка | Версия продукта, полученная из сведений о версии файла образа действующего процесса. |
| ActingProcessGuid | строка | GUID действующего процесса. |
| ActingProcessId | строка | Идентификатор действующего процесса. |
| ActingProcessIMPHASH | строка | Хэш импорта всех библиотек DLL, используемых действующим процессом. |
| ActingProcessInjectedAddress | строка | Адрес памяти, в котором хранится ответственный действующий процесс. |
| ActingProcessIntegrityLevel | строка | Уровень целостности для действующего процесса. |
| ActingProcessIsHidden | bool | Указывает, скрыт ли действующий процесс. |
| ActingProcessMD5 | строка | Хэш MD5 файла образа действующего процесса. |
| ActingProcessName | строка | Имя действующего процесса. |
| ActingProcessSHA1 | строка | Хэш SHA-1 файла образа действующего процесса. |
| ActingProcessSHA256 | строка | Хэш SHA-256 файла образа действующего процесса. |
| ActingProcessSHA512 | строка | Хэш SHA-512 файла образа действующего процесса. |
| ActingProcessTokenElevation | строка | Токен, указывающий на наличие или отсутствие повышения привилегий контроля доступа пользователей (UAC), применяемого к действующему процессу. |
| ActorOriginalUserType | строка | Тип пользователя, сообщаемый устройством отчетов. |
| ActorScope | строка | Область, например клиент Azure AD, в котором определены ActorUserId и ActorUsername. |
| ActorScopeId | строка | Идентификатор область, например идентификатор клиента Azure AD, в котором определены ActorUserId и ActorUsername. |
| ActorSessionId | строка | Уникальный идентификатор сеанса входа Actor. |
| ActorUserId | строка | Машиночитаемое, буквенно-цифровое, уникальное представление субъекта. |
| ActorUserIdType | строка | Тип идентификатора, который хранится в поле ActorUserId. |
| ActorUsername | строка | Имя пользователя субъекта, включая сведения о домене, если они доступны. |
| ActorUsernameType | строка | Тип имени пользователя субъекта, указанного в поле ActionUsername |
| ActorUserType | строка | Тип Actor. |
| AdditionalFields | Динамический | Дополнительные сведения, представленные с помощью пар "ключ - значение", предоставленных источником, которые не сопоставляются с ASim. |
| _BilledSize | real | Размер записи в байтах |
| DvcAction | строка | Для систем безопасности отчетов — действия, выполняемые системой. |
| DvcDescription | строка | Текст описания, связанный с устройством. |
| DvcDomain | строка | Домен устройства, сообщающего о событии. |
| DvcDomainType | строка | Тип DvcDomain. Возможные значения: "Windows" и "полное доменное имя". |
| DvcFQDN | строка | Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcHostname | строка | Имя узла устройства, сообщающего о событии. |
| DvcId | строка | Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType | строка | Тип DvcId. |
| DvcInterface | строка | Сетевой интерфейс, в котором были фиксируются данные. |
| DvcIpAddr | строка | IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr | строка | MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. |
| DvcOriginalAction | строка | Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs | строка | Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcOsVersion | строка | Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcScope | строка | Облачная платформа область принадлежит устройство. DvcScope сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcScopeId | строка | Идентификатор область облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone | строка | Сеть, в которой произошло событие или которая сообщила о событии. |
| EventCount | INT | Количество событий, описываемых записью. |
| EventEndTime | DATETIME | Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage | строка | Общее сообщение или описание. |
| EventOriginalResultDetails | строка | Исходные сведения о результатах, предоставленные источником. |
| EventOriginalSeverity | строка | Исходная степень серьезности, предоставленная передающим устройством. |
| EventOriginalSubType | строка | Исходный идентификатор или подтип события, если предоставлен источником. |
| EventOriginalType | строка | Исходный идентификатор или тип события, если он указан источником. |
| EventOriginalUid | строка | Уникальный идентификатор исходной записи, если он указан источником. |
| EventOwner | строка | Владелец события, которое обычно является отделом или дочерним подразделением, в котором оно было создано. |
| EventProduct | строка | Продукт, создающий событие. |
| EventProductVersion | строка | Версия продукта, создающего событие. |
| EventReportUrl | строка | URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| EventResult | строка | Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (not applicable). Значение может быть не предоставлено напрямую источниками. В этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| EventResultDetails | строка | Причина или подробные сведения для результата, полученного в поле EventResult. |
| EventSchemaVersion | строка | Номер версии схемы. |
| EventSeverity | строка | Серьезность события. Допустимые значения: Информационный, Низкий, Средний или Высокий. |
| EventStartTime | DATETIME | Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType | строка | Описывает подразделение операции, записанной в поле EventType. |
| EventType | строка | Описывает операцию, сообщаемую записью |
| EventVendor | строка | Поставщик продукта, создающего событие. |
| _IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
| ParentProcessCreationTime | DATETIME | Дата и время запуска родительского процесса. |
| ParentProcessFileCompany | строка | Компания, создающая файл образа родительского процесса. |
| ParentProcessFileDescription | строка | Описание из сведений о версии файла образа родительского процесса. |
| ParentProcessFileProduct | строка | Название продукта из сведений о версии в файле образа родительского процесса. |
| ParentProcessFileVersion | строка | Версия продукта из сведений о версии файла образа родительского процесса. |
| ParentProcessGuid | строка | GUID родительского процесса. |
| ParentProcessId | строка | Идентификатор родительского процесса. |
| ParentProcessIMPHASH | строка | Хэш импорта всех библиотек DLL, используемых родительским процессом. |
| ParentProcessInjectedAddress | строка | Адрес памяти, в котором хранится ответственный родительский процесс. |
| ParentProcessIntegrityLevel | строка | Уровень целостности для родительского процесса. |
| ParentProcessIsHidden | bool | Указывает, скрыт ли родительский процесс. |
| ParentProcessMD5 | строка | Хэш MD5 файла образа родительского процесса. |
| ParentProcessName | строка | Имя родительского окна. |
| ParentProcessSHA1 | строка | Хэш SHA-1 файла образа родительского процесса. |
| ParentProcessSHA256 | строка | Хэш SHA-256 файла образа родительского процесса. |
| ParentProcessSHA512 | строка | Хэш SHA-512 файла образа родительского процесса. |
| ParentProcessTokenElevation | строка | Токен, указывающий на наличие или отсутствие повышения привилегий контроля доступа пользователей (UAC), применяемого к родительскому процессу. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
| RuleName | строка | Имя или идентификатор правила, связанного с результатами проверки. |
| RuleNumber | INT | Номер правила, связанного с результатами проверки. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| TargetOriginalUserType | строка | Тип пользователя, сообщаемый устройством отчетов. |
| TargetProcessCommandLine | строка | Командная строка, используемая для запуска целевого процесса. |
| TargetProcessCreationTime | DATETIME | Дата и время запуска целевого процесса. |
| TargetProcessCurrentDirectory | строка | Текущий каталог, в котором выполняется целевой процесс. |
| TargetProcessFileCompany | строка | Компания, создающая файл образа целевого процесса. |
| TargetProcessFileDescription | строка | Описание из сведений о версии файла образа целевого процесса. |
| TargetProcessFileInternalName | строка | Имя внутреннего файла продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessFilename | строка | Имя файла продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessFileOriginalName | строка | Исходное имя файла продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessFileProduct | строка | Название продукта из сведений о версии в файле образа целевого процесса. |
| TargetProcessFileSize | long | Размер файла в байтах, выполняющего процесс, отвечающий за событие. |
| TargetProcessFileVersion | строка | Версия продукта, полученная из сведений о версии файла образа целевого процесса. |
| TargetProcessGuid | строка | GUID целевого процесса. |
| TargetProcessId | строка | Идентификатор целевого процесса. |
| TargetProcessIMPHASH | строка | Хэш импорта всех библиотек DLL, используемых целевым процессом. |
| TargetProcessInjectedAddress | строка | Адрес памяти, в котором хранится ответственный целевой процесс. |
| TargetProcessIntegrityLevel | строка | Уровень целостности для целевого процесса. |
| TargetProcessIsHidden | bool | Указывает, скрыт ли целевой процесс. |
| TargetProcessMD5 | строка | Хэш MD5 файла образа целевого процесса. |
| TargetProcessName | строка | Имя целевого процесса. |
| TargetProcessSHA1 | строка | Хэш SHA-1 файла образа целевого процесса. |
| TargetProcessSHA256 | строка | Хэш SHA-256 файла образа целевого процесса. |
| TargetProcessSHA512 | строка | Хэш SHA-512 файла образа целевого процесса. |
| TargetProcessStatusCode | строка | Код выхода, полученный при завершении целевого процесса. |
| TargetProcessTokenElevation | строка | Маркер, указывающий на наличие или отсутствие повышения прав пользователя контроль доступа (UAC), примененного к целевому процессу. |
| TargetScope | строка | Область, например клиент Azure AD, в котором определены TargetUserId и TargetUsername. |
| TargetScopeId | строка | Идентификатор область, например идентификатор клиента Azure AD, в котором определены TargetUserId и TargetUsername. |
| TargetUserId | строка | Машиночитаемое, буквенно-цифровое, уникальное представление субъекта. |
| TargetUserIdType | строка | Тип идентификатора, хранимый в поле TargetUserId. |
| TargetUsername | строка | Имя пользователя целевого субъекта, включая сведения о домене, если они доступны. |
| TargetUsernameType | строка | Тип имени пользователя целевого субъекта, указанного в поле TargetUsername. |
| TargetUserSessionGuid | строка | Уникальный guid сеанса входа целевого субъекта. |
| TargetUserSessionId | строка | Уникальный идентификатор сеанса входа целевого субъекта. |
| TargetUserType | строка | Тип целевого субъекта. |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| ThreatCategory | строка | Категория угроз или вредоносных программ, определенных в действии. |
| ThreatConfidence | INT | Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField | строка | Поле, для которого была обнаружена угроза. |
| ThreatFirstReportedTime | DATETIME | Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId | строка | Идентификатор угрозы или вредоносной программы, идентифицированной в действии. |
| ThreatIsActive | bool | Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime | DATETIME | Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName | строка | Имя угрозы или вредоносной программы, идентифицированной в действии. |
| ThreatOriginalConfidence | строка | Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel | строка | Уровень риска, сообщаемый устройством отчетов. |
| ThreatRiskLevel | INT | Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. |
| TimeGenerated | DATETIME | Метка времени (UTC), отражающая время создания события. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по