DynamicEventCollection
Obecná tabulka událostí Windows pro data shromážděná agentem Defenderu for Endpoint
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | AzureSentinelDSRE |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| Id účtu | řetězec | Identifikátor zabezpečení (SID) účtu. |
| Další pole | dynamic | Další informace o entitě nebo události |
| AppGuardContainerId | řetězec | Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivit prohlížeče. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DeviceId | řetězec | Jedinečný identifikátor zařízení ve službě. |
| DeviceName | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
| EventId | long | Obsahuje jedinečný identifikátor události. |
| InitiatingProcessAccountDomain | řetězec | Doména účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountObjectId | řetězec | Azure AD ID objektu uživatelského účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountSid | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. Ve službě Active Directory je hlavní název uživatele (UPN) jméno systémového uživatele ve formátu e-mailové adresy (například: john.doe@domain.com) |
| InitiatingProcessFolderPath | řetězec | Složka obsahující proces (soubor obrázku), který událost inicioval. |
| InitiatingProcessId | long | ID procesu (PID) procesu, který událost inicioval. |
| InitiatingProcessLogonId | long | Identifikátor přihlašovací relace procesu, který událost inicioval. Tento identifikátor je jedinečný na stejném počítači pouze mezi restartováními. |
| InitiatingProcessMD5 | řetězec | Hodnota hash MD5 procesu (soubor obrázku), který událost inicioval. |
| InitiatingProcessParentFileName | řetězec | Název nadřazeného procesu, který zprovozní proces zodpovědný za událost. |
| InitiatingProcessParentId | long | ID procesu (PID) nadřazeného procesu, který zprovozní proces zodpovědný za událost. |
| InicialingProcessSHA1 | řetězec | Hodnota hash SHA-1 procesu (souboru obrázku), který událost inicioval. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
| LocalIP | řetězec | IP adresa přiřazená místnímu počítači používanému během komunikace. |
| LocalPort | int | Port TCP na místním počítači, který se používá při komunikaci. |
| MachineGroup | řetězec | Skupina počítačů počítače. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
| ProcessCommandLine | řetězec | Příkazový řádek použitý k vytvoření nového procesu. |
| RemoteDeviceName | řetězec | Název zařízení, které na ovlivněném počítači provedlo vzdálenou operaci. V závislosti na hlášené události může být tento název plně kvalifikovaný název domény (FQDN), název NetBIOS nebo název hostitele bez informací o doméně. |
| RemoteIP | řetězec | IP adresa, ke které bylo připojeno. |
| RemotePort | int | Port TCP na vzdáleném zařízení, ke kterému bylo připojeno. |
| Id sestavy | long | Jedinečný identifikátor události. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Datum a čas (UTC), kdy se záznam vygeneroval. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro