Microsoft 端點防護 程式(MDE)之泛用 Windows 事件資料表。 原始事件的欄位可在 AdditionalFields 數據行中取得。
數據表屬性
| 屬性 |
價值 |
|
資源類型 |
- |
|
類別 |
安全性 |
|
方案 |
AzureSentinelDSRE |
|
基本記錄 |
是的 |
|
擷取時間轉換 |
是的 |
|
範例查詢 |
- |
資料行
| 資料行 |
類型 |
描述 |
| 帳戶識別碼 |
字串 |
帳戶的安全性識別碼(SID)。 |
| 附加欄位 |
動態 |
有關實體或事件的其他資訊。 |
| AppGuard容器識別碼 |
字串 |
應用程式防護 用來隔離瀏覽器活動的虛擬化容器標識碼。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| DeviceId |
字串 |
服務中裝置的唯一標識符。 |
| 設備名稱 |
字串 |
裝置的完整網域名稱 (FQDN)。 |
| EventId |
長 |
包含唯一事件標識碼。 |
| 啟動過程帳戶域 |
字串 |
負責運行該事件進程的帳戶所屬網域。 |
| 啟動程序帳戶名稱 |
字串 |
執行負責事件之進程的帳戶用戶名稱。 |
| 啟動過程帳戶物件ID |
字串 |
執行負責事件之進程的用戶帳戶 Azure AD 物件識別碼。 |
| InitiatingProcessAccountSid (啟動程序帳戶SID) |
字串 |
執行負責事件之進程之帳戶的安全性標識碼 (SID)。 |
| InitiatingProcessAccountUpn |
字串 |
執行負責事件的程序的帳戶使用者主體名稱 (UPN)。 在 Active Directory 中,UPN 是電子郵件地址格式的系統使用者名稱(例如: john.doe@domain.com |
| 啟動程序文件夾路徑 |
字串 |
包含起始事件之進程 (圖像檔) 的資料夾。 |
| 啟動程序ID |
長 |
起始事件之進程的進程標識碼 (PID)。 |
| 啟動過程登入ID |
長 |
起始事件的程序的登入工作階段識別碼。 此標識碼只有在重新啟動時,才會在同一部計算機上是唯一的。 |
| 啟動過程MD5 |
字串 |
啟動事件的程序 "image file" 的 MD5 哈希。 |
| 啟動程序父級檔案名稱 |
字串 |
產生負責事件之進程的父進程名稱。 |
| InitiatingProcessParentId(啟動過程父識別碼) |
長 |
產生負責事件之進程的父進程標識碼 (PID)。 |
| InitiatingProcessSHA1 |
字串 |
啟動事件的進程(圖像文件)的SHA-1哈希。 |
| _IsBillable // 是否可計費 |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| LocalIP |
字串 |
指派給通訊期間使用之本機計算機的IP位址。 |
| 本地端口 |
整數 (int) |
通訊期間使用之本機電腦上的 TCP 連接埠。 |
| MachineGroup |
字串 |
計算機的機器群組。 角色型訪問控制會使用此群組來判斷計算機的存取權。 |
| ProcessCommandLine |
字串 |
用來建立新程式的命令行。 |
| 遠端設備名稱 |
字串 |
在受影響的電腦上執行遠端作業的裝置名稱。 視所報告的事件而定,此名稱可以是完整網域名稱 (FQDN)、NetBIOS 名稱或主機名稱 (不含網域資訊)。 |
| 遠端IP |
字串 |
所連線的IP位址。 |
| RemotePort |
整數 (int) |
所連線遠端裝置上的 TCP 埠。 |
| ReportId |
長 |
事件的唯一識別碼。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於所有 Linux 代理程式的 Linux,或適用於 Azure 診斷的 Azure |
| 租戶識別碼 |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期/時間 |
端點上的 MDE 代理程式記錄事件的日期和時間。 |
| 類型 |
字串 |
資料表的名稱 |