Sdílet prostřednictvím


DynamicEventCollection

Obecná tabulka událostí windows pro data shromážděná agentem Defenderu pro koncový bod

Atributy tabulky

Atribut Hodnota
Typy prostředků -
Kategorie Zabezpečení
Řešení AzureSentinelDSRE
Základní protokol No
Transformace v čase příjmu dat Ano
Ukázkové dotazy -

Sloupce

Column Type Popis
AccountSid string Identifikátor zabezpečení (SID) účtu.
Další pole dynamic Další informace o entitě nebo události
AppGuardContainerId string Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivity prohlížeče.
_BilledSize real Velikost záznamu v bajtech
DeviceId string Jedinečný identifikátor zařízení ve službě.
DeviceName string Plně kvalifikovaný název domény (FQDN) zařízení.
EventId long Obsahuje jedinečný identifikátor události.
Inicializování doményProcessAccountDomain string Doména účtu, který spustil proces zodpovědný za událost.
Inicializování názvu účtuProcessAccountName string Uživatelské jméno účtu, který spustil proces zodpovědný za událost.
IniciaceProcessAccountObjectId string ID objektu Azure AD uživatelského účtu, který spustil proces zodpovědný za událost.
IniciaceProcessAccountSid string Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost.
Inicializování účtuProcessAccountUpn string Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. Ve službě Active Directory je hlavní název uživatele systému ve formátu e-mailové adresy (například: john.doe@domain.com)
IniciaceProcessFolderPath string Složka obsahující proces (soubor obrázku), která událost iniciovala.
IniciaceProcessId long ID procesu (PID) procesu, který událost inicioval.
IniciaceProcessLogonId long Identifikátor přihlašovací relace procesu, který událost inicioval. Tento identifikátor je jedinečný pouze na stejném počítači mezi restartováními.
IniciaceProcessMD5 string Hodnota hash MD5 procesu (souboru obrázku), která událost iniciovala.
IniciaceProcessParentFileName string Název nadřazeného procesu, který vyvolal proces zodpovědný za událost.
IniciaceProcessParentId long ID procesu (PID) nadřazeného procesu, který vytvořila proces zodpovědný za událost.
IniciaceProcessSHA1 string Hodnota hash SHA-1 procesu (souboru obrázku), která událost iniciovala.
_IsBillable string Určuje, jestli je ingestování dat fakturovatelné. Pokud se příjem dat _IsBillable false neúčtuje vašemu účtu Azure
LocalIP string IP adresa přiřazená místnímu počítači používanému během komunikace.
LocalPort int Port TCP na místním počítači, který se používá při komunikaci.
MachineGroup string Skupina počítačů počítače. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači.
ProcessCommandLine string Příkazový řádek použitý k vytvoření nového procesu
RemoteDeviceName string Název zařízení, které provedlo vzdálenou operaci na ovlivněném počítači V závislosti na hlášené události může být tento název plně kvalifikovaný název domény (FQDN), název netBIOS nebo název hostitele bez informací o doméně.
RemoteIP string IP adresa, ke které se připojila.
RemotePort int Port TCP na vzdáleném zařízení, ke kterému se připojujete.
ReportId long Jedinečný identifikátor události.
SourceSystem string Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure
TenantId string ID pracovního prostoru služby Log Analytics
TimeGenerated datetime Datum a čas (UTC) při vygenerování záznamu
Typ string Název tabulky