Freigeben über


ASimProcessEventLogs

In der normalisierten Tabelle von Microsoft Sentinel werden Ereignisse mithilfe des normalisierten Schemas "Process Event ASIM" gespeichert, das der Erstellung oder Beendigung eines Prozesses zugeordnet ist. Solche Ereignisse werden von Betriebssystemen und Sicherheitssystemen wie EDR (End Point Detection and Response) gemeldet.

Tabellenattribute

attribute Wert
Ressourcentypen microsoft.securityinsights/processeventnormalized
Kategorien Sicherheit
Lösungen SecurityInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen -

Spalten

Spalte Type BESCHREIBUNG
ActingProcessCommandLine Zeichenfolge Die Befehlszeile zum Ausführen des Programms.
ActingProcessCreationTime datetime Datum und Uhrzeit des Starts des agierenden Prozesses.
ActingProcessFileCompany Zeichenfolge Das Unternehmen, das die Imagedatei des agierenden Prozesses erstellt hat.
ActingProcessFileDescription Zeichenfolge Die Beschreibung, die in die Versionsinformationen der Imagedatei des agierenden Prozesses eingebettet ist.
ActingProcessFileInternalName Zeichenfolge Der produktinterne Dateiname aus den Versionsinformationen in der Imagedatei des agierenden Prozesses.
ActingProcessFilename Zeichenfolge Der Produktdateiname aus den Versionsinformationen der handelnden Prozessbilddatei.
ActingProcessFileOriginalName Zeichenfolge Der ursprüngliche Produkdateiname aus den Versionsinformationen der Imagedatei des agierenden Prozesses.
ActingProcessFileProduct Zeichenfolge Der Produktname aus den Versionsinformationen in der Imagedatei des agierenden Prozesses.
ActingProcessFileSize long Die Größe der Datei in Bytes, die den handelnden Prozess ausgeführt hat.
ActingProcessFileVersion Zeichenfolge Die Produktversion aus den Versionsinformationen der Imagedatei des agierenden Prozesses.
ActingProcessGuid Zeichenfolge Eine GUID des handelnden Prozesses.
ActingProcessId Zeichenfolge Die Prozess-ID des handelnden Prozesses.
ActingProcessIMPHASH Zeichenfolge Der Importhash aller Bibliotheks-DLLs, die vom agierenden Prozess verwendet werden.
ActingProcessInjectedAddress Zeichenfolge Die Speicheradresse, an der der verantwortliche agierende Prozess gespeichert ist.
ActingProcessIntegrityLevel Zeichenfolge Integritätsstufe für das Handeln.
ActingProcessIsHidden bool Ein Hinweis darauf, ob sich der agierende Prozess im ausgeblendeten Modus befindet.
ActingProcessMD5 Zeichenfolge Der MD5-Hash der Imagedatei des agierenden Prozesses.
ActingProcessName Zeichenfolge Der Name des agierenden Prozesses.
ActingProcessSHA1 Zeichenfolge Der SHA-1-Hash der Imagedatei des agierenden Prozesses.
ActingProcessSHA256 Zeichenfolge Der SHA-256--Hash der Imagedatei des agierenden Prozesses.
ActingProcessSHA512 Zeichenfolge Der SHA-512-Hash der Imagedatei des agierenden Prozesses.
ActingProcessTokenElevation Zeichenfolge Ein Token, das das Vorhandensein oder Fehlen von UAC-Rechteerweiterung (User Access Control) angibt, die auf den agierenden Prozess angewendet wird.
ActorOriginalUserType Zeichenfolge Der Benutzertyp, wie vom Gerät gemeldet.
ActorScope Zeichenfolge Der Bereich, z. B. der Azure AD-Mandant, in dem ActorUserId und ActorUsername definiert sind.
ActorScopeId Zeichenfolge Die Bereichs-ID, z. B. azure AD-Mandanten-ID, in der ActorUserId und ActorUsername definiert sind.
ActorSessionId Zeichenfolge Die eindeutige ID der Anmeldesitzung des Akteurs.
ActorUserId Zeichenfolge Eine maschinenlesbare, alphanumerische, einzigartige Darstellung des Akteurs.
ActorUserIdType Zeichenfolge Der Typ der ID, die im Feld ActorUserId gespeichert ist.
ActorUsername Zeichenfolge Der Benutzername des Akteurs, einschließlich Domäneninformationen, wenn verfügbar.
ActorUsernameType Zeichenfolge Der Typ des im Feld "ActionUsername" angegebenen Benutzernamens des Akteurs
ActorUserType Zeichenfolge Der Typ des Akteurs.
AdditionalFields dynamisch Zusätzliche Informationen, dargestellt mithilfe von Schlüssel- und Wertpaaren, die von der Quelle bereitgestellt werden, die nicht ASim zugeordnet sind.
_BilledSize real Die Datensatzgröße in Bytes.
DvcAction Zeichenfolge Für die Meldung von Sicherheitssystemen, die vom System ergriffene Aktion.
DvcDescription Zeichenfolge Ein mit dem Gerät verknüpfter beschreibender Text.
DvcDomain Zeichenfolge Die Domäne des Geräts, das das Ereignis meldet.
DvcDomainType Zeichenfolge Der Typ von DvcDomain. Mögliche Werte sind "Windows" und "FQDN".
DvcFQDN Zeichenfolge Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
DvcHostname Zeichenfolge Der Hostname des Geräts, das das Ereignis meldet.
DvcId Zeichenfolge Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
DvcIdType Zeichenfolge Der Typ von DvcId.
DvcInterface Zeichenfolge Die Netzwerkschnittstelle, über die Daten erfasst wurden.
DvcIpAddr Zeichenfolge Die IP-Adresse des Geräts, das das Ereignis meldet.
DvcMacAddr Zeichenfolge Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.
DvcOriginalAction Zeichenfolge Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben.
DvcOs Zeichenfolge Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.
DvcOsVersion Zeichenfolge Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat.
DvcScope Zeichenfolge Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DvcScopeId Zeichenfolge Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet.
DvcZone Zeichenfolge Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat.
EventCount int Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden.
EventEndTime datetime Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar.
EventMessage Zeichenfolge Eine allgemeine Nachricht oder Beschreibung.
EventOriginalResultDetails Zeichenfolge Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden.
EventOriginalSeverity Zeichenfolge Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben.
EventOriginalSubType Zeichenfolge Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt.
EventOriginalType Zeichenfolge Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt.
EventOriginalUid Zeichenfolge Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt.
EventOwner Zeichenfolge Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde
EventProduct Zeichenfolge Das Produkt, das das Ereignis erzeugt.
EventProductVersion Zeichenfolge Die Version des Produkts, das das Ereignis erzeugt.
EventReportUrl Zeichenfolge Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält.
EventResult Zeichenfolge Das Ergebnis des Ereignisses, dargestellt durch einen der folgenden Werte: Success, Partial, Failure, NA (Not Applicable). Der Wert kann nicht direkt von den Quellen bereitgestellt werden, in diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld "EventResultDetails".
EventResultDetails Zeichenfolge Grund oder Details für das im Feld EventResult gemeldete Ergebnis.
EventSchemaVersion Zeichenfolge Die Version des Schemas.
EventSeverity Zeichenfolge Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High.
EventStartTime datetime Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar.
EventSubType Zeichenfolge Beschreibt eine Untereinheit des Vorgangs, der im Feld EventType gemeldet wird.
EventType Zeichenfolge Beschreibt den vom Datensatz gemeldeten Vorgang.
EventVendor Zeichenfolge Der Hersteller des Produkts, das das Ereignis erzeugt.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
ParentProcessCreationTime datetime Datum und Uhrzeit des Starts des übergeordneten Prozesses.
ParentProcessFileCompany Zeichenfolge Das Unternehmen, das die übergeordnete Prozessbilddatei erstellt hat.
ParentProcessFileDescription Zeichenfolge Die Beschreibung aus den Versionsinformationen der übergeordneten Prozessbilddatei.
ParentProcessFileProduct Zeichenfolge Der Produktname aus den Versionsinformationen in der übergeordneten Prozessbilddatei.
ParentProcessFileVersion Zeichenfolge Die Produktversion aus den Versionsinformationen der übergeordneten Prozessbilddatei.
ParentProcessGuid Zeichenfolge Eine GUID des übergeordneten Prozesses.
ParentProcessId Zeichenfolge Die Prozess-ID des übergeordneten Prozesses.
ParentProcessIMPHASH Zeichenfolge Der Importhash aller Bibliotheks-DLLs, die vom übergeordneten Prozess verwendet werden.
ParentProcessInjectedAddress Zeichenfolge Die Speicheradresse, an der der verantwortliche übergeordnete Prozess gespeichert ist.
ParentProcessIntegrityLevel Zeichenfolge Integritätsebene für übergeordneten Prozess.
ParentProcessIsHidden bool Ein Hinweis darauf, ob sich der übergeordnete Prozess im ausgeblendeten Modus befindet.
ParentProcessMD5 Zeichenfolge Der MD5-Hash der Imagedatei des übergeordneten Prozesses.
ParentProcessName Zeichenfolge Der Name des übergeordneten Prozesses.
ParentProcessSHA1 Zeichenfolge Der SHA-1-Hash der Imagedatei des übergeordneten Prozesses.
ParentProcessSHA256 Zeichenfolge Der SHA-256-Hash der Imagedatei des übergeordneten Prozesses.
ParentProcessSHA512 Zeichenfolge Der SHA-512-Hash der Imagedatei des übergeordneten Prozesses.
ParentProcessTokenElevation Zeichenfolge Ein Token, das das Vorhandensein oder Fehlen von UAC-Rechteerweiterung (User Access Control) angibt, die auf den übergeordneten Prozess angewendet wird.
_ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist.
RuleName Zeichenfolge Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist.
RuleNumber int Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
_SubscriptionId Zeichenfolge Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist.
TargetOriginalUserType Zeichenfolge Der Benutzertyp, wie vom Gerät gemeldet.
TargetProcessCommandLine Zeichenfolge Die Befehlszeile zum Ausführen des Zielprozesses.
TargetProcessCreationTime datetime Das Datum und die Uhrzeit, zu der der Zielprozess gestartet wurde.
TargetProcessCurrentDirectory Zeichenfolge Das aktuelle Verzeichnis, in dem der Zielprozess ausgeführt wird.
TargetProcessFileCompany Zeichenfolge Das Unternehmen, das die Zielprozessbilddatei erstellt hat.
TargetProcessFileDescription Zeichenfolge Die Beschreibung aus den Versionsinformationen der Zielprozessbilddatei.
TargetProcessFileInternalName Zeichenfolge Der interne Produktdateiname aus den Versionsinformationen der Zielprozessbilddatei.
TargetProcessFilename Zeichenfolge Der Produktdateiname aus den Versionsinformationen der Zielprozessbilddatei.
TargetProcessFileOriginalName Zeichenfolge Der Name der ursprünglichen Produktdatei aus den Versionsinformationen der Zielprozessbilddatei.
TargetProcessFileProduct Zeichenfolge Der Produktname aus den Versionsinformationen in der Zielprozessbilddatei.
TargetProcessFileSize long Die Größe der Datei in Bytes, die den für das Ereignis verantwortlichen Prozess ausgeführt hat.
TargetProcessFileVersion Zeichenfolge Die Produktversion aus den Versionsinformationen der Imagedatei des Zielprozesses.
TargetProcessGuid Zeichenfolge Eine GUID des Zielprozesses.
TargetProcessId Zeichenfolge Die Prozess-ID des Zielprozesses.
TargetProcessIMPHASH Zeichenfolge Der Importhash aller Bibliotheks-DLLs, die vom Zielprozess verwendet werden.
TargetProcessInjectedAddress Zeichenfolge Die Speicheradresse, an der der verantwortliche Zielprozess gespeichert ist.
TargetProcessIntegrityLevel Zeichenfolge Integritätsebene für den Zielprozess.
TargetProcessIsHidden bool Ein Hinweis darauf, ob sich der Zielprozess im ausgeblendeten Modus befindet.
TargetProcessMD5 Zeichenfolge Der MD5-Hash der Imagedatei des Zielprozesses.
TargetProcessName Zeichenfolge Der Name des Zielprozesses.
TargetProcessSHA1 Zeichenfolge Der SHA-1-Hash der Imagedatei des Zielprozesses.
TargetProcessSHA256 Zeichenfolge Der SHA-256-Hash der Imagedatei des Zielprozesses.
TargetProcessSHA512 Zeichenfolge Der SHA-512-Hash der Imagedatei des Zielprozesses.
TargetProcessStatusCode Zeichenfolge Der bei Beendigung vom Zielprozess zurückgegebene Exitcode.
TargetProcessTokenElevation Zeichenfolge Ein Token, das angibt, dass die Rechteerweiterung der Benutzerzugriffskontrolle (User Access Control, UAC) auf den Zielprozess angewendet wird oder nicht vorhanden ist.
TargetScope Zeichenfolge Der Bereich, z. B. der Azure AD-Mandant, in dem TargetUserId und TargetUsername definiert sind.
TargetScopeId Zeichenfolge Die Bereichs-ID, z. B. die Azure AD-Mandanten-ID, in der TargetUserId und TargetUsername definiert sind.
TargetUserId Zeichenfolge Eine maschinenlesbare, alphanumerische, einzigartige Darstellung des Akteurs.
TargetUserIdType Zeichenfolge Der Typ der ID, die im Feld TargetUserId gespeichert ist.
TargetUsername Zeichenfolge Der Benutzername des Zieldarstellers, einschließlich Domäneninformationen, wenn verfügbar.
TargetUsernameType Zeichenfolge Der Typ des Benutzernamens des Zieldarstellers, der im Feld "TargetUsername" angegeben ist.
TargetUserSessionGuid Zeichenfolge Die eindeutige GUID der Anmeldesitzung des Ziel-Akteurs.
TargetUserSessionId Zeichenfolge Die eindeutige ID der Anmeldesitzung des Ziel-Akteurs.
TargetUserType Zeichenfolge Der Typ des Ziel-Akteurs.
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
ThreatCategory Zeichenfolge Die Kategorie der Inaktivität identifizierten Bedrohungen oder Schadsoftware.
ThreatConfidence int Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100
ThreatField Zeichenfolge Das Feld, für das eine Bedrohung identifiziert wurde.
ThreatFirstReportedTime datetime Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatId Zeichenfolge Die ID der in der Aktivität identifizierten Bedrohung oder Schadsoftware.
ThreatIsActive bool True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet.
ThreatLastReportedTime datetime Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde
ThreatName Zeichenfolge Der Name der in der Aktivität identifizierten Bedrohung oder Schadsoftware.
ThreatOriginalConfidence Zeichenfolge Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet.
ThreatOriginalRiskLevel Zeichenfolge Die Risikostufe, wie vom meldenden Gerät gemeldet.
ThreatRiskLevel int Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln.
TimeGenerated datetime Der Zeitstempel (UTC), der die Uhrzeit widerspiegelt, in der das Ereignis generiert wurde.
type Zeichenfolge Der Name der Tabelle.