Condividi tramite


DynamicEventCollection

Tabella degli eventi di Windows generica per i dati raccolti dall'agente di Defender per endpoint

Attributi di tabella

Attributo Valore
Tipi di risorse -
Categorie Sicurezza
Soluzioni AzureSentinelDSRE
Log di base No
Trasformazione in fase di inserimento
Query di esempio -

Colonne

Column Type Descrizione
AccountSid string Identificatore di sicurezza (SID) dell'account.
Campi aggiuntivi dynamic Informazioni aggiuntive sull'entità o sull'evento.
AppGuardContainerId string Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser.
_BilledSize real Dimensioni del record in byte
DeviceId string Identificatore univoco per il dispositivo nel servizio.
DeviceName string Nome di dominio completo (FQDN) del dispositivo.
EventId long Contiene l'identificatore di evento univoco.
AvvioprocessAccountDomain string Dominio dell'account che ha eseguito il processo responsabile dell'evento.
AvvioprocessAccountName string Nome utente dell'account che ha eseguito il processo responsabile dell'evento.
AvvioprocessAccountObjectId string ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento.
AvvioprocessAccountSid string ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento.
AvvioprocessAccountUpn string Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. In Active Directory un UPN è il nome di un utente di sistema in un formato di indirizzo di posta elettronica (ad esempio: john.doe@domain.com)
AvvioprocessFolderPath string Cartella contenente il processo (file di immagine) che ha avviato l'evento.
AvvioprocessId long ID processo (PID) del processo che ha avviato l'evento.
StartingProcessLogonId long Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra i riavvii.
AvvioprocessMD5 string Hash MD5 del processo (file di immagine) che ha avviato l'evento.
AvvioprocessParentFileName string Nome del processo padre che ha generato il processo responsabile dell'evento.
AvvioprocessParentId long ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento.
Avvio diProcessSHA1 string Hash SHA-1 del processo (file di immagine) che ha avviato l'evento.
_IsBillable string Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure
LocalIP string Indirizzo IP assegnato al computer locale usato durante la comunicazione.
LocalPort int Porta TCP nel computer locale usato durante la comunicazione.
MachineGroup string Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer.
ProcessCommandLine string Riga di comando usata per creare il nuovo processo.
RemoteDeviceName string Nome del dispositivo che ha eseguito un'operazione remota nel computer interessato. A seconda dell'evento segnalato, questo nome potrebbe essere un nome di dominio completo (FQDN), un nome NetBIOS o un nome host senza informazioni di dominio.
RemoteIP string Indirizzo IP a cui è stata stabilita la connessione.
RemotePort int Porta TCP nel dispositivo remoto a cui è stata connessa.
ReportId long Identificatore univoco per l'evento.
SourceSystem string Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure
TenantId string L'ID dell'area di lavoro Log Analytics
TimeGenerated datetime Data e ora (UTC) in cui è stato generato il record.
Type string Nome della tabella