ASimProcessEventLogs
Normalizovaná tabulka událostí procesu služby Microsoft Sentinel ukládá události pomocí normalizovaného schématu ASIM události procesu přidruženého k vytvoření nebo ukončení procesu. Tyto události jsou hlášeny operačními systémy a systémy zabezpečení, jako jsou systémy EDR (End Point Detection and Response).
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/processeventnormalized |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| ActingProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu provádění. |
| ActingProcessCreationTime | datetime | Datum a čas, kdy byl proces spuštění spuštěn. |
| ActingProcessFileCompany | řetězec | Společnost, která vytvořila soubor image působícího procesu. |
| ActingProcessFileDescription | řetězec | Popis vložený do informací o verzi souboru image působícího procesu. |
| ActingProcessFileInternalName | řetězec | Název interního souboru produktu z informací o verzi souboru image působícího procesu. |
| ActingProcessFilename | řetězec | Název souboru produktu z informací o verzi souboru image působícího procesu. |
| ActingProcessFileOriginalName | řetězec | Původní název souboru produktu z informací o verzi souboru image působícího procesu. |
| ActingProcessFileProduct | řetězec | Název produktu z informací o verzi v souboru image působícího procesu. |
| ActingProcessFileSize | long | Velikost souboru v bajtech, ve které se spustil proces činu. |
| ActingProcessFileVersion | řetězec | Verze produktu z informací o verzi souboru image působícího procesu. |
| ActingProcessGuid | řetězec | Identifikátor GUID působícího procesu. |
| ActingProcessId | řetězec | ID procesu působícího procesu. |
| ActingProcessIMPHASH | řetězec | Hodnota hash importu všech knihoven DLL knihovny, které jsou používány působícím procesem. |
| ActingProcessInjectedAddress | řetězec | Adresa paměti, ve které je uložený odpovědný proces jednání. |
| ActingProcessIntegrityLevel | řetězec | Úroveň integrity pro fungující proces. |
| ActingProcessIsHidden | bool | Údaj o tom, zda je herecký proces ve skrytém režimu. |
| ActingProcessMD5 | řetězec | Hodnota hash MD5 souboru obrázku působícího procesu. |
| ActingProcessName | řetězec | Název působícího procesu. |
| ActingProcessSHA1 | řetězec | Hodnota hash SHA-1 souboru image působícího procesu. |
| ActingProcessSHA256 | řetězec | Hodnota hash SHA-256 souboru image působícího procesu. |
| ActingProcessSHA512 | řetězec | Hodnota hash SHA-512 souboru image působícího procesu |
| ActingProcessTokenElevation | řetězec | Token označující přítomnost nebo absenci zvýšení oprávnění uživatelských Access Control (UAC) použitého na proces, který probíhá. |
| ActorOriginalUserType | řetězec | Typ uživatele nahlášený zařízením pro vytváření sestav. |
| ActorScope | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorScopeId | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definovány ActorUserId a ActorUsername. |
| ActorSessionId | řetězec | Jedinečné ID přihlašovací relace objektu Actor. |
| ActorUserId | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu actor. |
| ActorUserIdType | řetězec | Typ ID uloženého v poli ActorUserId. |
| ActorUsername | řetězec | Uživatelské jméno objektu Actor, včetně informací o doméně, pokud jsou k dispozici. |
| ActorUsernameType | řetězec | Typ uživatelského jména objektu Actor zadaný v poli ActionUsername |
| ActorUserType | řetězec | Typ objektu Actor. |
| Další pole | dynamic | Další informace reprezentované pomocí párů klíč a hodnota poskytovaných zdrojem, které se nemapují na ASim. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DvcAction | řetězec | Pro systémy zabezpečení generování sestav akce, kterou systém provedl. |
| Popis dvcDescription | řetězec | Popisný text přidružený k zařízení. |
| DvcDomain | řetězec | Doména zařízení, které událost hlásí. |
| DvcDomainType | řetězec | Typ DvcDomain. Mezi možné hodnoty patří "Windows" a "FQDN". |
| DvcFQDN | řetězec | Název hostitele zařízení, na kterém došlo k události nebo které událost nahlásilo. |
| Název hostitele dvc | řetězec | Název hostitele zařízení, které událost hlásí. |
| DvcId | řetězec | Jedinečné ID zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcIdType | řetězec | Typ DvcId. |
| DvcInterface | řetězec | Síťové rozhraní, na kterém se data zachytávají. |
| DvcIpAddr | řetězec | IP adresa zařízení, které událost hlásí. |
| DvcMacAddr | řetězec | Adresa MAC zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcOriginalAction | řetězec | Původní akce DvcAction poskytovaná zařízením pro vytváření sestav. |
| DvcO | řetězec | Operační systém spuštěný na zařízení, na kterém k události došlo nebo které událost nahlásilo. |
| DvcOsVersion | řetězec | Verze operačního systému na zařízení, na kterém došlo k události nebo které událost nahlásilo. |
| DvcScope | řetězec | Obor cloudové platformy, do které zařízení patří. Mapování DvcScope na ID předplatného v Azure a na ID účtu v AWS. |
| DvcScopeId | řetězec | ID oboru cloudové platformy, do které zařízení patří. DvcScopeId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone | řetězec | Síť, ve které k události došlo nebo která událost nahlásila. |
| EventCount | int | Počet událostí popsaných záznamem |
| EventEndTime | datetime | Čas, ve kterém událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
| EventMessage | řetězec | Obecná zpráva nebo popis. |
| EventOriginalResultDetails | řetězec | Původní podrobnosti o výsledku poskytnuté zdrojem. |
| EventOriginalSeverity | řetězec | Původní závažnost poskytovaná zařízením pro vytváření sestav. |
| EventOriginalSubType | řetězec | Původní podtyp události nebo ID, pokud je zadaný zdrojem. |
| EventOriginalType | řetězec | Původní typ události nebo ID, pokud je zadaný zdrojem. |
| EventOriginalUid | řetězec | Jedinečné ID původního záznamu, pokud je zadaný zdrojem. |
| Vlastník události | řetězec | Vlastníkem události, což je obvykle oddělení nebo dceřiná společnost, ve které se událost vygenerovala. |
| EventProduct | řetězec | Produkt generující událost. |
| EventProductVersion | řetězec | Verze produktu, který generuje událost. |
| EventReportUrl | řetězec | Adresa URL zadaná v události pro prostředek, která poskytuje další informace o události. |
| EventResult | řetězec | Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| EventResultDetails | řetězec | Důvod nebo podrobnosti o výsledku hlášeného v poli EventResult |
| EventSchemaVersion | řetězec | Verze schématu. |
| EventSeverity | řetězec | Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| EventStartTime | datetime | Čas, ve kterém událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, toto pole aliasuje pole TimeGenerated. |
| EventSubType | řetězec | Popisuje dílčí dělení operace hlášené v poli EventType. |
| Typ události | řetězec | Popisuje operaci hlášenou záznamem. |
| EventVendor | řetězec | Dodavatel produktu, který událost generuje. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
| ParentProcessCreationTime | datetime | Datum a čas, kdy byl nadřazený proces zahájen. |
| ParentProcessFileCompany | řetězec | Společnost, která vytvořila soubor image nadřazeného procesu. |
| ParentProcessFileDescription | řetězec | Popis z informací o verzi nadřazeného souboru bitové kopie procesu. |
| ParentProcessFileProduct | řetězec | Název produktu z informací o verzi v souboru image nadřazeného procesu. |
| ParentProcessFileVersion | řetězec | Verze produktu z informací o verzi nadřazeného souboru image procesu. |
| ParentProcessGuid | řetězec | Identifikátor GUID nadřazeného procesu. |
| ParentProcessId | řetězec | ID procesu nadřazeného procesu. |
| ParentProcessIMPHASH | řetězec | Hodnota hash importu všech knihoven DLL knihovny, které jsou používány nadřazeným procesem. |
| ParentProcessInjectedAddress | řetězec | Adresa paměti, ve které je uložený zodpovědný nadřazený proces. |
| ParentProcessIntegrityLevel | řetězec | Úroveň integrity nadřazeného procesu. |
| ParentProcessIsHidden | bool | Údaj o tom, zda je nadřazený proces ve skrytém režimu. |
| ParentProcessMD5 | řetězec | Hodnota hash MD5 nadřazeného souboru obrázku procesu |
| ParentProcessName | řetězec | Název nadřazeného procesu. |
| ParentProcessSHA1 | řetězec | Hodnota hash SHA-1 nadřazeného souboru image procesu. |
| ParentProcessSHA256 | řetězec | Hodnota hash SHA-256 nadřazeného souboru image procesu |
| ParentProcessSHA512 | řetězec | Hodnota hash SHA-512 nadřazeného souboru image procesu |
| ParentProcessTokenElevation | řetězec | Token označující přítomnost nebo absenci zvýšení oprávnění user Access Control (UAC) použitého na nadřazený proces. |
| _Resourceid | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Název pravidla | řetězec | Název nebo ID pravidla přidruženého k výsledkům kontroly. |
| RuleNumber | int | Číslo pravidla přidruženého k výsledkům kontroly. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| _SubscriptionId | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| TargetOriginalUserType | řetězec | Typ uživatele nahlášený zařízením pro generování sestav. |
| TargetProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění cílového procesu. |
| TargetProcessCreationTime | datetime | Datum a čas, kdy byl cílový proces zahájen. |
| TargetProcessCurrentDirectory | řetězec | Aktuální adresář, ve kterém je spuštěn cílový proces. |
| TargetProcessFileCompany | řetězec | Společnost, která vytvořila soubor image cílového procesu. |
| Popis objektu TargetProcessFileDescription | řetězec | Popis z informací o verzi souboru image cílového procesu. |
| TargetProcessFileInternalName | řetězec | Název interního souboru produktu z informací o verzi souboru image cílového procesu. |
| TargetProcessFilename | řetězec | Název souboru produktu z informací o verzi souboru image cílového procesu. |
| TargetProcessFileOriginalName | řetězec | Původní název souboru produktu z informací o verzi cílového souboru bitové kopie procesu. |
| TargetProcessFileProduct | řetězec | Název produktu z informací o verzi v souboru image cílového procesu. |
| TargetProcessFileSize | long | Velikost souboru v bajtech, ve které byl spuštěn proces zodpovědný za danou událost. |
| TargetProcessFileVersion | řetězec | Verze produktu z informací o verzi souboru image cílového procesu. |
| TargetProcessGuid | řetězec | Identifikátor GUID cílového procesu. |
| Id cílovéhoprocesu | řetězec | ID procesu cílového procesu. |
| TargetProcessIMPHASH | řetězec | Hodnota hash importu všech knihoven DLL, které jsou používány cílovým procesem. |
| TargetProcessInjectedAddress | řetězec | Adresa paměti, ve které je uložený zodpovědný cílový proces. |
| TargetProcessIntegrityLevel | řetězec | Úroveň integrity pro cílový proces. |
| TargetProcessIsHidden | bool | Informace o tom, jestli je cílový proces ve skrytém režimu. |
| TargetProcessMD5 | řetězec | Hodnota hash MD5 souboru obrázku cílového procesu. |
| Název cílovéhoprocesu | řetězec | Název cílového procesu. |
| Cílový procesSHA1 | řetězec | Hodnota hash SHA-1 souboru obrázku cílového procesu. |
| Cílový procesSHA256 | řetězec | Hodnota hash SHA-256 souboru obrázku cílového procesu. |
| Cílový procesSHA512 | řetězec | Hodnota hash SHA-512 souboru obrázku cílového procesu |
| TargetProcessStatusCode | řetězec | Ukončovací kód vrácený cílovým procesem při ukončení. |
| TargetProcessTokenElevation | řetězec | Token označující přítomnost nebo absenci zvýšení oprávnění uživatelských Access Control (UAC) použitého u cílového procesu. |
| Cílový rozsah | řetězec | Obor, například Azure AD tenant, ve kterém jsou definovány TargetUserId a TargetUsername. |
| Id cílového oboru | řetězec | ID oboru, například Azure AD ID tenanta, ve kterém jsou definovány TargetUserId a TargetUsername. |
| Id cílového uživatele | řetězec | Strojově čitelná alfanumerická, jedinečná reprezentace objektu actor. |
| Typ cílového uživatele | řetězec | Typ ID uloženého v poli TargetUserId |
| TargetUsername | řetězec | Uživatelské jméno cílového aktéra, včetně informací o doméně, pokud jsou k dispozici. |
| TargetUsernameType | řetězec | Typ uživatelského jména cílového aktéra zadaného v poli TargetUsername |
| TargetUserSessionGuid | řetězec | Jedinečný identifikátor GUID relace přihlašování cílového objektu actor. |
| TargetUserSessionId | řetězec | Jedinečné ID přihlašovací relace cílového objektu actor. |
| TargetUserType | řetězec | Typ cílového objektu actor. |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| ThreatCategory | řetězec | Kategorie hrozby nebo malwaru zjištěného v aktivitě |
| ThreatConfidence | int | Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatField | řetězec | Pole, pro které byla identifikována hrozba. |
| ThreatFirstReportedTime | datetime | Při prvním zjištění IP adresy nebo domény jako hrozby. |
| Id hrozby | řetězec | ID hrozby nebo malwaru zjištěného v aktivitě |
| ThreatIsActive | bool | True ID identifikované hrozby se považuje za aktivní hrozbu. |
| ThreatLastReportedTime | datetime | Čas, kdy byla IP adresa nebo doména naposledy identifikovány jako hrozba. |
| ThreatName | řetězec | Název hrozby nebo malwaru zjištěného v aktivitě. |
| ThreatOriginalConfidence | řetězec | Původní úroveň spolehlivosti zjištěné hrozby nahlášená zařízením pro hlášení. |
| ThreatOriginalRiskLevel | řetězec | Úroveň rizika hlášená zařízením pro hlášení. |
| ThreatRiskLevel | int | Úroveň rizika spojená se identifikovanou hrozbou. Úroveň by měla být číslo mezi 0 a 100. |
| TimeGenerated | datetime | Časové razítko (UTC) odrážející čas, ve kterém byla událost vygenerována. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro