Udostępnij za pośrednictwem


ASimProcessEventLogs

Znormalizowana tabela zdarzeń procesu usługi Microsoft Sentinel przechowuje zdarzenia przy użyciu znormalizowanego schematu karty ASIM procesu skojarzonego z tworzeniem lub kończeniem procesu. Takie zdarzenia są zgłaszane przez systemy operacyjne i systemy zabezpieczeń, takie jak systemy wykrywania punktów końcowych i reagowania.

Atrybuty tabeli

Atrybut Wartość
Typy zasobów microsoft.securityinsights/processeventnormalized
Kategorie Zabezpieczenia
Rozwiązania SecurityInsights
Dziennik podstawowy Nie.
Przekształcanie czasu pozyskiwania Tak
Przykładowe zapytania -

Kolumny

Kolumna Type Opis
ActingProcessCommandLine string Wiersz polecenia używany do uruchamiania działającego procesu.
ActingProcessCreationTime datetime Data i godzina rozpoczęcia działającego procesu.
ActingProcessFileCompany string Firma, która utworzyła działający plik obrazu procesu.
ActingProcessFileDescription string Opis osadzony w informacjach o wersji pliku obrazu procesu działania.
ActingProcessFileInternalName string Wewnętrzna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu.
ActingProcessFilename string Nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu.
ActingProcessFileOriginalName string Oryginalna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu.
ActingProcessFileProduct string Nazwa produktu z informacji o wersji w pliku obrazu procesu działającego.
ActingProcessFileSize długi Rozmiar pliku w bajtach, w których uruchomiono działający proces.
ActingProcessFileVersion string Wersja produktu z informacji o wersji działającego pliku obrazu procesu.
ActingProcessGuid string Identyfikator GUID działającego procesu.
ActingProcessId string Identyfikator procesu działającego.
ActingProcessIMPHASH string Skrót importu wszystkich bibliotek DLL używanych przez proces działania.
ActingProcessInjectedAddress string Adres pamięci, w którym jest przechowywany odpowiedzialny proces działający.
ActingProcessIntegrityLevel string Poziom integralności dla działającego procesu.
ActingProcessIsHidden bool Wskazanie, czy proces działający jest w trybie ukrytym.
ActingProcessMD5 string Skrót MD5 pliku obrazu procesu działającego.
ActingProcessName string Nazwa działającego procesu.
ActingProcessSHA1 string Skrót SHA-1 pliku obrazu procesu działającego.
ActingProcessSHA256 string Skrót SHA-256 pliku obrazu procesu działającego.
ActingProcessSHA512 string Skrót SHA-512 pliku obrazu procesu działającego.
ActingProcessTokenElevation string Token wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) stosowane do działającego procesu.
ActorOriginalUserType string Typ użytkownika zgłoszony przez urządzenie raportowania.
AktorZakres string Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername.
AktorScopeId string Identyfikator zakresu, taki jak identyfikator dzierżawy usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername.
ActorsSessionId string Unikatowy identyfikator sesji logowania aktora.
AktorUserId string Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora.
AktorUserIdType string Typ identyfikatora przechowywanego w polu ActorUserId.
AktorUsername string Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne.
AktorUsernameType string Typ nazwy użytkownika aktora określony w polu ActionUsername
AktorUserType string Typ aktora.
Dodatkowe pola dynamiczna Dodatkowe informacje reprezentowane przy użyciu par klucz i wartość dostarczone przez źródło, które nie są mapowane na kartę ASim.
_BilledSize rzeczywiste Rozmiar rekordu w bajtach
DvcAction string W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system.
DvcDescription string Tekst opisowy skojarzony z urządzeniem.
DvcDomain string Domena urządzenia zgłasza zdarzenie.
DvcDomainType string Typ DvcDomain. Możliwe wartości to "Windows" i "FQDN".
DvcFQDN string Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcHostname string Nazwa hosta urządzenia zgłasza zdarzenie.
DvcId string Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcIdType string Typ DvcId.
DvcInterface string Interfejs sieciowy, na którym zostały przechwycone dane.
DvcIpAddr string Adres IP urządzenia zgłasza zdarzenie.
DvcMacAddr string Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcOriginalAction string Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania.
DvcOs string System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcOsVersion string Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie.
DvcScope string Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS.
DvcScopeId string Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS.
DvcZone string Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie.
EventCount int Liczba zdarzeń opisanych przez rekord.
EventEndTime datetime Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated.
EventMessage string Ogólny komunikat lub opis.
EventOriginalResultDetails string Oryginalne szczegóły wyniku dostarczone przez źródło.
EventOriginalSeverity string Oryginalna ważność podana przez urządzenie raportowania.
EventOriginalSubType string Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło.
EventOriginalType string Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło.
EventOriginalUid string Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło.
Właściciel zdarzenia string Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany.
EventProduct string Produkt generujący zdarzenie.
EventProductVersion string Wersja produktu generująca zdarzenie.
EventReportUrl string Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu.
EventResult string Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails.
EventResultDetails string Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult.
EventSchemaVersion string Wersja schematu.
EventSeverity string Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High.
EventStartTime datetime Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated.
EventSubType string Opisuje podział operacji zgłoszonej w polu EventType.
EventType string Opisuje operację zgłoszoną przez rekord
EventVendor string Dostawca produktu generującego zdarzenie.
_IsBillable string Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure
ParentProcessCreationTime datetime Data i godzina rozpoczęcia procesu nadrzędnego.
ParentProcessFileCompany string Firma, która utworzyła plik obrazu procesu nadrzędnego.
ParentProcessFileDescription string Opis z informacji o wersji pliku obrazu procesu nadrzędnego.
ParentProcessFileProduct string Nazwa produktu z informacji o wersji w pliku obrazu procesu nadrzędnego.
ParentProcessFileVersion string Wersja produktu z informacji o wersji pliku obrazu procesu nadrzędnego.
ParentProcessGuid string Identyfikator GUID procesu nadrzędnego.
ParentProcessId string Identyfikator procesu nadrzędnego.
ParentProcessIMPHASH string Skrót importu wszystkich bibliotek DLL używanych przez proces nadrzędny.
ParentProcessInjectedAddress string Adres pamięci, w którym jest przechowywany odpowiedzialny proces nadrzędny.
ParentProcessIntegrityLevel string Poziom integralności dla procesu nadrzędnego.
ParentProcessIsHidden bool Wskazanie, czy proces nadrzędny jest w trybie ukrytym.
ParentProcessMD5 string Skrót MD5 pliku obrazu procesu nadrzędnego.
ParentProcessName string Nazwa procesu nadrzędnego.
ParentProcessSHA1 string Skrót SHA-1 pliku obrazu procesu nadrzędnego.
ParentProcessSHA256 string Skrót SHA-256 pliku obrazu procesu nadrzędnego.
ParentProcessSHA512 string Skrót SHA-512 pliku obrazu procesu nadrzędnego.
ParentProcessTokenElevation string Token wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu nadrzędnego.
_ResourceId string Unikatowy identyfikator zasobu skojarzonego z rekordem
RuleName string Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji.
RuleNumber int Liczba reguł skojarzonych z wynikami inspekcji.
SourceSystem string Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure
_SubscriptionId string Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord
TargetOriginalUserType string Typ użytkownika zgłoszony przez urządzenie raportowania.
TargetProcessCommandLine string Wiersz polecenia używany do uruchamiania procesu docelowego.
TargetProcessCreationTime datetime Data i godzina rozpoczęcia procesu docelowego.
TargetProcessCurrentDirectory string Bieżący katalog, w którym jest wykonywany proces docelowy.
TargetProcessFileCompany string Firma, która utworzyła docelowy plik obrazu procesu.
TargetProcessFileDescription string Opis z informacji o wersji pliku obrazu procesu docelowego.
TargetProcessFileInternalName string Wewnętrzna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego.
TargetProcessFilename string Nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego.
TargetProcessFileOriginalName string Oryginalna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego.
TargetProcessFileProduct string Nazwa produktu z informacji o wersji w pliku obrazu procesu docelowego.
TargetProcessFileSize długi Rozmiar pliku w bajtach, w których uruchomiono proces odpowiedzialny za zdarzenie.
TargetProcessFileVersion string Wersja produktu z informacji o wersji pliku obrazu procesu docelowego.
TargetProcessGuid string Identyfikator GUID procesu docelowego.
TargetProcessId string Identyfikator procesu docelowego.
TargetProcessIMPHASH string Skrót importu wszystkich bibliotek DLL używanych przez proces docelowy.
TargetProcessInjectedAddress string Adres pamięci, w którym jest przechowywany odpowiedzialny proces docelowy.
TargetProcessIntegrityLevel string Poziom integralności dla procesu docelowego.
TargetProcessIsHidden bool Wskazanie, czy proces docelowy jest w trybie ukrytym.
TargetProcessMD5 string Skrót MD5 pliku obrazu procesu docelowego.
TargetProcessName string Nazwa procesu docelowego.
TargetProcessSHA1 string Skrót SHA-1 pliku obrazu procesu docelowego.
TargetProcessSHA256 string Skrót SHA-256 pliku obrazu procesu docelowego.
TargetProcessSHA512 string Skrót SHA-512 pliku obrazu procesu docelowego.
TargetProcessStatusCode string Kod zakończenia zwrócony przez proces docelowy po zakończeniu.
TargetProcessTokenElevation string Token wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu docelowego.
TargetScope string Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano identyfikator TargetUserId i TargetUsername.
TargetScopeId string Identyfikator zakresu, taki jak identyfikator dzierżawy usługi Azure AD, w którym zdefiniowano identyfikator TargetUserId i TargetUsername.
TargetUserId string Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora.
TargetUserIdType string Typ identyfikatora przechowywanego w polu TargetUserId.
TargetUsername string Nazwa użytkownika aktora docelowego, w tym informacje o domenie, gdy są dostępne.
TargetUsernameType string Typ nazwy użytkownika aktora docelowego określony w polu TargetUsername
TargetUserSessionGuid string Unikatowy identyfikator GUID sesji logowania aktora docelowego.
TargetUserSessionId string Unikatowy identyfikator sesji logowania aktora docelowego.
TargetUserType string Typ aktora docelowego.
TenantId string Identyfikator obszaru roboczego usługi Log Analytics
ThreatCategory string Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu.
ThreatConfidence int Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100.
ThreatField string Pole, dla którego zidentyfikowano zagrożenie.
ThreatFirstReportedTime datetime Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatId string Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu.
ThreatIsActive bool Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie.
ThreatLastReportedTime datetime Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie.
ThreatName string Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu.
ThreatOriginalConfidence string Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania.
ThreatOriginalRiskLevel string Poziom ryzyka zgłoszony przez urządzenie raportowania.
ThreatRiskLevel int Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100.
TimeGenerated datetime Znacznik czasu (UTC) odzwierciedla czas wygenerowania zdarzenia.
Typ string Nazwa tabeli