DynamicEventCollection
適用於端點的 Defender 代理程式所收集數據的一般 Windows 事件數據表
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | AzureSentinelDSRE |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | - |
資料行
資料行 | 類型 | Description |
---|---|---|
AccountSid | 字串 | 帳戶的安全性標識碼 (SID) 。 |
AdditionalFields | 動態 | 實體或事件的其他資訊。 |
AppGuardContainerId | 字串 | 應用程式防護 用來隔離瀏覽器活動的虛擬化容器標識碼。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
DeviceId | 字串 | 服務中裝置的唯一標識符。 |
DeviceName | 字串 | 裝置的完整功能變數名稱 (FQDN) 。 |
EventId | long | 包含唯一的事件標識碼。 |
InitiatingProcessAccountDomain | 字串 | 執行負責事件之進程的帳戶網域。 |
InitiatingProcessAccountName | 字串 | 執行負責事件之進程的帳戶用戶名稱。 |
InitiatingProcessAccountObjectId | 字串 | 執行負責事件之進程的用戶帳戶 Azure AD 物件識別碼。 |
InitiatingProcessAccountSid | 字串 | 執行負責事件之處理程式的安全性標識碼 (SID) 。 |
InitiatingProcessAccountUpn | 字串 | 執行負責事件的處理程式的用戶主體名稱 (UPN) 。 在 Active Directory 中,UPN 是電子郵件地址格式的系統使用者名稱 (,例如: john.doe@domain.com) |
InitiatingProcessFolderPath | 字串 | 包含起始事件之進程 (影像檔案) 的資料夾。 |
InitiatingProcessId | long | 起始事件之進程的進程標識碼 (PID) 。 |
InitiatingProcessLogonId | long | 起始事件之進程的登入會話標識碼。 此標識碼只在重新啟動之間在同一部計算機上是唯一的。 |
InitiatingProcessMD5 | 字串 | 起始事件的進程 (圖像檔) MD5 哈希。 |
InitiatingProcessParentFileName | 字串 | 繁衍負責事件之進程的父進程名稱。 |
InitiatingProcessParentId | long | 產生負責事件之進程的父進程的進程標識碼 (PID) 。 |
InitiatingProcessSHA1 | 字串 | 起始事件之進程 (圖像檔) 的 SHA-1 哈希。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
LocalIP | 字串 | 指派給通訊期間所用本機計算機的IP位址。 |
本機連接埠 | int | 通訊期間所使用本機電腦上的 TCP 連接埠。 |
MachineGroup | 字串 | 機器的機器群組。 角色型訪問控制會使用此群組來判斷計算機的存取權。 |
ProcessCommandLine | 字串 | 用來建立新進程的命令行。 |
RemoteDeviceName | 字串 | 在受影響的電腦上執行遠端作業的裝置名稱。 視所報告的事件而定,此名稱可以是完整功能變數名稱, (FQDN) 、NetBIOS 名稱或主機名,而不需要網域資訊。 |
RemoteIP | 字串 | 所連線的IP位址。 |
遠端連接埠 | int | 連線到之遠端裝置上的 TCP 連接埠。 |
ReportId | long | 事件的唯一識別碼。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager 直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
TenantId | 字串 | Log Analytics 工作區標識符 |
TimeGenerated | Datetime | 產生記錄時的日期和時間 (UTC) 。 |
類型 | 字串 | 資料表的名稱 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應