Udostępnij za pośrednictwem


DynamicEventCollection

Ogólna tabela zdarzeń systemu Windows dla danych zebranych przez agenta usługi Defender for Endpoint

Atrybuty tabeli

Atrybut Wartość
Typy zasobów -
Kategorie Zabezpieczenia
Rozwiązania AzureSentinelDSRE
Dziennik podstawowy Nie.
Przekształcanie czasu pozyskiwania Tak
Przykładowe zapytania -

Kolumny

Kolumna Type Opis
AccountSid string Identyfikator zabezpieczeń (SID) konta.
Dodatkowe pola dynamiczna Dodatkowe informacje o jednostce lub zdarzeniu.
AppGuardContainerId string Identyfikator zwirtualizowanego kontenera używanego przez funkcję Application Guard do izolowania działania przeglądarki.
_BilledSize rzeczywiste Rozmiar rekordu w bajtach
DeviceId string Unikatowy identyfikator urządzenia w usłudze.
Nazwa urządzenia string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia.
EventId długi Zawiera unikatowy identyfikator zdarzenia.
InicjowanieProcessAccountDomain string Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie.
InicjowanieProcessAccountName string Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie.
InicjowanieProcessAccountObjectId string Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie.
InicjowanieProcessAccountSid string Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie.
InicjowanieProcessAccountUpn string Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. W usłudze Active Directory nazwa UPN jest nazwą użytkownika systemowego w formacie adresu e-mail (na przykład: john.doe@domain.com)
InicjowanieProcessFolderPath string Folder zawierający proces (plik obrazu), który zainicjował zdarzenie.
InicjowanieProcessId długi Identyfikator procesu (PID) procesu, który zainicjował zdarzenie.
InicjowanieProcessLogonId długi Identyfikator sesji logowania procesu, który zainicjował zdarzenie. Ten identyfikator jest unikatowy na tej samej maszynie tylko między ponownymi uruchomieniami.
InicjowanieProcessMD5 string Skrót MD5 procesu (plik obrazu), który zainicjował zdarzenie.
InicjowanieProcessParentFileName string Nazwa procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie.
InicjowanieProcessParentId długi Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie.
InicjowanieProcessSHA1 string Skrót SHA-1 procesu (plik obrazu), który zainicjował zdarzenie.
_IsBillable string Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure
LocalIP string Adres IP przypisany do komputera lokalnego używanego podczas komunikacji.
LocalPort int Port TCP na komputerze lokalnym używanym podczas komunikacji.
MachineGroup string Grupa maszyny maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny.
ProcessCommandLine string Wiersz polecenia służący do tworzenia nowego procesu.
RemoteDeviceName string Nazwa urządzenia, które wykonało operację zdalną na maszynie, której dotyczy problem. W zależności od zgłaszanego zdarzenia ta nazwa może być w pełni kwalifikowaną nazwą domeny (FQDN), nazwą NetBIOS lub nazwą hosta bez informacji o domenie.
RemoteIP string Adres IP, z który był połączony.
RemotePort int Port TCP na urządzeniu zdalnym, z którymi nawiązano połączenie.
Identyfikator raportu długi Unikatowy identyfikator zdarzenia.
SourceSystem string Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure
TenantId string Identyfikator obszaru roboczego usługi Log Analytics
TimeGenerated datetime Data i godzina (UTC) wygenerowania rekordu.
Typ string Nazwa tabeli