Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Defender för Endpoints-tabell (MDE) för generiska Windows-händelser. Fält för råhändelserna är tillgängliga som en del av kolumnen AdditionalFields.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | AzureSentinelDSRE |
| Grundläggande logg | Ja |
| Transformation vid inmatningstid | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
| YtterligareFält | dynamisk | Ytterligare information om entiteten eller händelsen. |
| Behållar-ID för AppGuard | sträng | Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet. |
| _Fakturastorlek | verklig | Poststorleken i byte |
| DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | sträng | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| EventId | lång | Innehåller den unika händelseidentifieraren. |
| InitierarProcessAccountDomain | sträng | Domän för det konto som körde processen som var ansvarig för händelsen. |
| InitierarProcessAccountName | sträng | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountObjectId | sträng | Azure AD-objekt-ID för användarkontot som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountSid | sträng | Säkerhetsidentifierare (SID) för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcesskontoUpn | sträng | Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. I Active Directory är ett UPN namnet på en systemanvändare i ett e-postadressformat (till exempel: john.doe@domain.com) |
| InitieraProcessFolderPath | sträng | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| InitierandeProcessID | lång | Process-ID (PID) för den process som initierade händelsen. |
| Initiera ProcessLogonId | lång | Identifierare för en inloggningssession för den process som initierade händelsen. Den här identifieraren är unik på samma dator endast mellan omstarter. |
| Initiera ProcessMD5 | sträng | MD5-hash för processen (bildfilen) som initierade händelsen. |
| InitieraProcessFöräldraFilnamn | sträng | Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitierarProcessFörälderId | lång | Process-ID (PID) för den överordnade processen som skapade processen som ansvarar för händelsen. |
| Initiera Process SHA1 | sträng | SHA-1-hash för processen (bildfilen) som initierade händelsen. |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När värdet av _IsBillable är false debiteras inte inmatning på ditt Azure-konto. |
| Lokal IP-adress | sträng | IP-adress tilldelad till den lokala dator som användes under kommunikationen. |
| LokalPort | heltal (datatyp) | TCP-port på den lokala datorn som används under kommunikationen. |
| MachineGroup | sträng | Maskingruppen för maskinen. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
| ProcessCommandLine | sträng | Kommandorad som används för att skapa den nya processen. |
| Namn på fjärrenhet | sträng | Namnet på den enhet som utförde en fjärråtgärd på den berörda datorn. Beroende på vilken händelse som rapporteras kan det här namnet vara ett fullständigt domännamn (FQDN), ett NetBIOS-namn eller ett värdnamn utan domäninformation.. |
| Fjärr-IP | sträng | IP-adress som var ansluten till. |
| RemotePort | heltal (datatyp) | TCP-port på den fjärrenhet som var ansluten till. |
| ReportId | lång | Unik identifierare för händelsen. |
| SourceSystem | sträng | Typen av agent som händelsen insamlades av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Hyresgivarens ID | sträng | Log Analytics-arbetsytans ID |
| Tidpunkt för generering | datum och tid | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Typ | sträng | Namnet på tabellen |