ASimProcessEventLogs
Microsoft Sentinel 進程事件正規化數據表會使用與進程建立或終止相關聯的處理事件 ASIM 正規化架構來儲存事件。 這類事件是由 EDR (端點偵測和回應) 系統等作業系統和安全性系統進行報告。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | microsoft.securityinsights/processeventnormalized |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | - |
資料行
資料行 | 類型 | Description |
---|---|---|
ActingProcessCommandLine | 字串 | 用來執行作用中處理程序的命令列。 |
ActingProcessCreationTime | datetime | 作用中處理程序的開始日期和時間。 |
ActingProcessFileCompany | 字串 | 建立作用中進程影像檔案的公司。 |
ActingProcessFileDescription | 字串 | 內嵌在作用中處理程序影像檔案版本資訊中的描述。 |
ActingProcessFileInternalName | 字串 | 作用中處理程序影像檔案版本資訊的產品內部檔案名稱。 |
ActingProcessFilename | 字串 | 作用中進程圖像檔的版本資訊中的產品名稱。 |
ActingProcessFileOriginalName | 字串 | 作用中處理程序影像檔案版本資訊的產品原檔案名稱。 |
ActingProcessFileProduct | 字串 | 作用中處理程序影像檔案版本資訊中的產品名稱。 |
ActingProcessFileSize | long | 執行作用中進程的檔案大小,以位元組為單位。 |
ActingProcessFileVersion | 字串 | 作用中處理程序影像檔案版本資訊的產品版本。 |
ActingProcessGuid | 字串 | 作用中進程的 GUID。 |
ActingProcessId | 字串 | 作用中進程的進程標識碼。 |
ActingProcessIMPHASH | 字串 | 作用中處理程序使用的所有程式庫 DLL 匯入雜湊碼。 |
ActingProcessInjectedAddress | 字串 | 儲存應負責作用中處理程序的記憶體位址。 |
ActingProcessIntegrityLevel | 字串 | 作用中進程的完整性層級。 |
ActingProcessIsHidden | bool | 指出作用中處理程序是否處於隱形模式。 |
ActingProcessMD5 | 字串 | 作用中處理程序影像檔案的 MD5 雜湊碼。 |
ActingProcessName | 字串 | 作用中處理程序的名稱。 |
ActingProcessSHA1 | 字串 | 作用中處理程序影像檔案的 SHA-1 雜湊碼。 |
ActingProcessSHA256 | 字串 | 作用中處理程序影像檔案的 SHA-256 雜湊碼。 |
ActingProcessSHA512 | 字串 | 作用中處理程序影像檔案的 SHA-512 雜湊碼。 |
ActingProcessTokenElevation | 字串 | 表示「使用者存取控制」(UAC) 是否提高權限套用作用中處理程序的權杖。 |
ActorOriginalUserType | 字串 | 報告裝置所報告的用戶類型。 |
ActorScope | 字串 | 定義 ActorUserId 和 ActorUsername 的範圍,例如 Azure AD 租使用者。 |
ActorScopeId | 字串 | 定義 ActorUserId 和 ActorUsername 的範圍識別碼,例如 Azure AD 租使用者識別碼。 |
ActorSessionId | 字串 | 執行者登入工作階段的唯一識別碼。 |
ActorUserId | 字串 | 機器可讀取、英數位元、唯一的動作專案表示法。 |
ActorUserIdType | 字串 | 儲存在 [ActorUserId] 欄位中的識別碼類型。 |
ActorUsername | 字串 | 動作項目的用戶名稱,包括可用時的網域資訊。 |
ActorUsernameType | 字串 | ActionUsername 欄位中所指定的動作項目使用者名稱類型 |
ActorUserType | 字串 | 執行者的類型。 |
AdditionalFields | 動態 | 其他資訊,使用未對應至 ASim 的來源所提供的索引鍵和值組來表示。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
DvcAction | 字串 | 針對報告安全性系統,系統所採取的動作。 |
DvcDescription | 字串 | 與裝置相關聯的描述性文字。 |
DvcDomain | 字串 | 報告事件的裝置網域。 |
DvcDomainType | 字串 | DvcDomain 的類型。 可能的值為 「Windows」 和 「FQDN」。 |
DvcFQDN | 字串 | 發生事件或報告事件的裝置主機名。 |
DvcHostname | 字串 | 報告事件的裝置主機名。 |
DvcId | 字串 | 發生事件或報告事件之裝置的唯一標識符。 |
DvcIdType | 字串 | DvcId 的類型。 |
DvcInterface | 字串 | 擷取資料的網路介面。 |
DvcIpAddr | 字串 | 報告事件的裝置IP位址。 |
DvcMacAddr | 字串 | 發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 |
DvcOriginalAction | 字串 | 報告裝置所提供原始的 DvcAction。 |
DvcOs | 字串 | 在發生事件或報告事件裝置的作業系統執行。 |
DvcOsVersion | 字串 | 在發生事件或報告事件裝置的作業系統版本。 |
DvcScope | 字串 | 裝置所屬的雲端平台範圍。 DvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DvcScopeId | 字串 | 裝置所屬的雲端平臺範圍標識碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DvcZone | 字串 | 發生事件或報告事件的網路。 |
EventCount | int | 記錄所描述的事件數目。 |
EventEndTime | datetime | 事件結束的時間。 如果來源支援彙總,而記錄代表多個事件,則會產生最後一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
EventMessage | 字串 | 一般訊息或描述。 |
EventOriginalResultDetails | 字串 | 來源所提供的原始結果詳細資料。 |
EventOriginalSeverity | 字串 | 報告裝置所提供的原始嚴重性。 |
EventOriginalSubType | 字串 | 如果由來源提供,則為原始事件子類型或識別碼。 |
EventOriginalType | 字串 | 如果由來源提供,則為原始事件類型或識別碼。 |
EventOriginalUid | 字串 | 如果由來源提供,則為原始資料列的唯一識別碼。 |
EventOwner | 字串 | 事件的擁有者,通常是產生事件的部門或子公司。 |
EventProduct | 字串 | 產生事件的產品。 |
EventProductVersion | 字串 | 產生事件的產品版本。 |
EventReportUrl | 字串 | 事件中所提供的 URL,提供該事件的詳細資訊。 |
EventResult | 字串 | 事件的結果,以下列其中一個值表示:Success、Partial、Failure、NA (Not Applicable) 。 值可能不會由來源直接提供,在此情況下,該值衍生自其他事件欄位,例如 EventResultDetails 字段。 |
EventResultDetails | 字串 | EventResult 欄位中所報告的原因或詳細資訊結果。 |
EventSchemaVersion | 字串 | 結構描述的版本。 |
EventSeverity | 字串 | 該事件的嚴重性。 有效值為:資訊、低、中或高。 |
EventStartTime | datetime | 事件開始的時間。 如果來源支援彙總,而記錄代表多個事件,則會產生第一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
EventSubType | 字串 | 描述 EventType 欄位中所報告的作業細分。 |
EventType | 字串 | 描述記錄所報告的作業 |
EventVendor | 字串 | 產生事件的產品廠商。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
ParentProcessCreationTime | datetime | 父處理程序的開始日期和時間。 |
ParentProcessFileCompany | 字串 | 建立父進程圖像檔的公司。 |
ParentProcessFileDescription | 字串 | 父進程圖像檔之版本資訊的描述。 |
ParentProcessFileProduct | 字串 | 父進程映像檔中版本資訊中的產品名稱。 |
ParentProcessFileVersion | 字串 | 父進程映像檔版本信息的產品版本。 |
ParentProcessGuid | 字串 | 父進程的 GUID。 |
ParentProcessId | 字串 | 父進程的進程標識碼。 |
ParentProcessIMPHASH | 字串 | 父處理程序使用的所有程式庫 DLL 匯入雜湊碼。 |
ParentProcessInjectedAddress | 字串 | 儲存應負責父處理程序的記憶體位址。 |
ParentProcessIntegrityLevel | 字串 | 父進程的完整性層級。 |
ParentProcessIsHidden | bool | 指出父處理程序是否處於隱形模式。 |
ParentProcessMD5 | 字串 | 父處理程序影像檔案的 MD5 雜湊碼。 |
ParentProcessName | 字串 | 父處理程序的名稱。 |
ParentProcessSHA1 | 字串 | 父處理程序影像檔案的 SHA-1 雜湊碼。 |
ParentProcessSHA256 | 字串 | 父處理程序影像檔案的 SHA-256 雜湊碼。 |
ParentProcessSHA512 | 字串 | 父處理程序影像檔案的 SHA-512 雜湊碼。 |
ParentProcessTokenElevation | 字串 | 表示「使用者存取控制」(UAC) 是否提高權限套用父處理程序的權杖。 |
_ResourceId | 字串 | 記錄相關資源的唯一識別碼。 |
RuleName | 字串 | 與檢查結果相關聯的規則名稱或標識碼。 |
RuleNumber | int | 與檢查結果相關聯的規則數目。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager 直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
_SubscriptionId | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
TargetOriginalUserType | 字串 | 報告裝置所報告的用戶類型。 |
TargetProcessCommandLine | 字串 | 用來執行目標處理程序的命令列。 |
TargetProcessCreationTime | datetime | 目標進程的啟動日期和時間。 |
TargetProcessCurrentDirectory | 字串 | 目前在執行目標處理程序中的目錄。 |
TargetProcessFileCompany | 字串 | 建立目標進程映像檔的公司。 |
TargetProcessFileDescription | 字串 | 目標進程映像檔的版本資訊描述。 |
TargetProcessFileInternalName | 字串 | 目標進程映像檔版本資訊的產品內部檔名。 |
TargetProcessFilename | 字串 | 目標進程映像檔的版本資訊中的產品名稱。 |
TargetProcessFileOriginalName | 字串 | 目標進程映像檔的版本資訊中的產品源檔名稱。 |
TargetProcessFileProduct | 字串 | 目標進程映像檔中版本資訊中的產品名稱。 |
TargetProcessFileSize | long | 以位元組為單位的檔案大小,執行負責事件的進程。 |
TargetProcessFileVersion | 字串 | 目標處理程序影像檔案版本資訊的產品版本。 |
TargetProcessGuid | 字串 | 目標進程的 GUID。 |
TargetProcessId | 字串 | 目標進程的進程標識碼。 |
TargetProcessIMPHASH | 字串 | 目標處理程序使用的所有程式庫 DLL 匯入雜湊碼。 |
TargetProcessInjectedAddress | 字串 | 儲存應負責目標處理程序的記憶體位址。 |
TargetProcessIntegrityLevel | 字串 | 目標進程的完整性層級。 |
TargetProcessIsHidden | bool | 指出目標處理程序是否處於隱形模式。 |
TargetProcessMD5 | 字串 | 目標處理程序影像檔案的 MD5 雜湊碼。 |
TargetProcessName | 字串 | 目標處理程序的名稱。 |
TargetProcessSHA1 | 字串 | 目標處理程序影像檔案的 SHA-1 雜湊碼。 |
TargetProcessSHA256 | 字串 | 目標處理程序影像檔案的 SHA-256 雜湊碼。 |
TargetProcessSHA512 | 字串 | 目標處理程序影像檔案的 SHA-512 雜湊碼。 |
TargetProcessStatusCode | 字串 | 目標處理程序終止時所傳回的結束代碼。 |
TargetProcessTokenElevation | 字串 | 表示使用者 存取控制 (UAC 存在或不存在的令牌,) 套用至目標進程的許可權提升。 |
TargetScope | 字串 | 定義 TargetUserId 和 TargetUsername 的範圍,例如 Azure AD 租使用者。 |
TargetScopeId | 字串 | 定義 TargetUserId 和 TargetUsername 的範圍標識碼,例如 Azure AD 租使用者標識碼。 |
TargetUserId | 字串 | 機器可讀取、英數位元、動作專案的唯一表示法。 |
TargetUserIdType | 字串 | 儲存在 TargetUserId 欄位中的識別碼類型。 |
TargetUsername | 字串 | 目標執行者的用戶名稱,包括可用時的網域資訊。 |
TargetUsernameType | 字串 | TargetUsername 欄位中指定之目標動作專案使用者名稱的類型 |
TargetUserSessionGuid | 字串 | 目標執行者登入會話的唯一 GUID。 |
TargetUserSessionId | 字串 | 目標執行者登入會話的唯一標識符。 |
TargetUserType | 字串 | 目標動作專案的型別。 |
TenantId | 字串 | Log Analytics 工作區標識符 |
ThreatCategory | 字串 | 活動中所識別的威脅或惡意代碼類別。 |
ThreatConfidence | int | 已識別威脅的信賴等級,標準化為 0 到 100 之間的值。 |
ThreatField | 字串 | 已識別威脅的欄位。 |
ThreatFirstReportedTime | Datetime | 第一次 IP 位址或網域被識別為威脅的時間。 |
ThreatId | 字串 | 活動中所識別威脅或惡意代碼的標識碼。 |
ThreatIsActive | bool | 已識別威脅的 True ID 被視為作用中的威脅。 |
ThreatLastReportedTime | Datetime | 上次 IP 位址或網域被視為威脅的時間。 |
ThreatName | 字串 | 活動中所識別的威脅或惡意代碼名稱。 |
ThreatOriginalConfidence | 字串 | 已識別威脅的原始信賴等級,如報告裝置中所回報。 |
ThreatOriginalRiskLevel | 字串 | 報告裝置所報告的風險層級。 |
ThreatRiskLevel | int | 與識別的威脅相關聯的風險層級。 層級應該為 0 與 100 之間的數字。 |
TimeGenerated | Datetime | 時間戳 (UTC) 反映產生事件的時間。 |
類型 | 字串 | 資料表的名稱 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應