Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Windows için genel olaylar tablosu: Microsoft Defender for Endpoints (MDE). Ham olayların alanları, AdditionalFields sütununun bir parçası olarak kullanılabilir.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | - |
| Kategoriler | Güvenlik |
| Çözümler | AzureSentinelDSRE |
| Temel kayıt | Evet |
| Veri alımı zamanı dönüşümü | Evet |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Türü | Açıklama |
|---|---|---|
| AccountSid | Dize | Hesabın güvenlik tanımlayıcısı (SID). |
| Ek Alanlar | dinamik | Varlık veya olay hakkında ek bilgiler. |
| AppGuard Container Kimliği | Dize | Application Guard tarafından tarayıcı etkinliğini yalıtmak için kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı. |
| _FaturalandırılanBoyut | gerçek | Bayt cinsinden kayıt boyutu |
| DeviceId | Dize | Hizmetteki cihaz için benzersiz tanımlayıcı. |
| Cihaz İsmi | Dize | Cihazın tam etki alanı adı (FQDN). |
| EventId | uzun | Benzersiz olay tanımlayıcısını içerir. |
| Başlatılan Süreç Hesap Alanı | Dize | Olaydan sorumlu işlemi çalıştıran hesabın etki alanı. |
| Başlatan Süreç Hesap Adı | Dize | Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı adı. |
| Başlatma Süreci Hesap Nesne Kimliği | Dize | Olaydan sorumlu işlemi çalıştıran kullanıcı hesabının Azure AD nesne kimliği. |
| BaşlatanSüreçHesapSid | Dize | Olaydan sorumlu işlemi çalıştıran hesabın Güvenlik Tanımlayıcısı (SID). |
| Başlatılan Süreç Hesap UPN | Dize | Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı asıl adı (UPN). Active Directory'de UPN, bir sistem kullanıcısının e-posta adresi biçimindeki adıdır (örneğin: john.doe@domain.com) |
| Başlatılan İşlem Klasör Yolu | Dize | Olayı başlatan işlemi (görüntü dosyası) içeren klasör. |
| BaşlatanSüreçKimliği | uzun | Olayı başlatan işlemin işlem kimliği (PID). |
| BaşlatıcıİşlemOturumAçmaKimliği | uzun | Olayı başlatan işlemin oturum açma oturumunun tanımlayıcısı. Bu tanımlayıcı aynı makinede yalnızca yeniden başlatmalar arasında benzersizdir. |
| Başlatıcı İşlem MD5 | Dize | Olayı başlatan işlemin (görüntü dosyası) MD5 karması. |
| BaşlatanSüreçEbeveynDosyaAdı | Dize | Olaydan sorumlu işlemi oluşturan üst işlemin adı. |
| BaşlatıcıSüreçEbeveynId | uzun | Olaydan sorumlu işlemi oluşturan üst işlemin İşlem Kimliği (PID). |
| BaşlatmaİşlemiSHA1 | Dize | Olayı başlatan işlemin (görüntü dosyası) SHA-1 karması. |
| _IsFaturalanabilir | Dize | Verilerin alımının ücretli olup olmadığını belirtir. _IsBillable false olduğunda alım Azure hesabınıza faturalandırılmaz. |
| YerelIP | Dize | İletişim sırasında kullanılan yerel makineye atanan IP adresi. |
| Yerel Bağlantı Noktası | Int | İletişim sırasında kullanılan yerel makinede TCP bağlantı noktası. |
| MachineGroup | Dize | Makinenin makina grubu. Bu grup, makineye erişimi belirlemek için rol tabanlı erişim denetimi tarafından kullanılır. |
| ProcessCommandLine | Dize | Yeni işlemi oluşturmak için kullanılan komut satırı. |
| UzaktanCihazAdı | Dize | Etkilenen makinede uzak işlem gerçekleştiren cihazın adı. Bildirilen olaya bağlı olarak, bu ad tam etki alanı adı (FQDN), NetBIOS adı veya etki alanı bilgisi içermeyen bir konak adı olabilir. |
| Uzaktaki IP | Dize | Bağlanılmakta olan IP adresi. |
| RemotePort | Int | Bağlanılmakta olan uzak cihazdaki TCP bağlantı noktası. |
| ReportId | uzun | Olayın benzersiz tanımlayıcısı. |
| SourceSystem | Dize | Toplanan olayın etmen türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| Kiracı Kimliği | Dize | Log Analytics çalışma alanı kimliği |
| TimeGenerated | tarih saat | Olayın uç noktadaki MDE aracısı tarafından kaydedildiği tarih ve saat. |
| Türü | Dize | Tablonun adı |