ASimProcessEventLogs
Die normalisierte Tabelle für Microsoft Sentinel-Prozessereignisse speichert Ereignisse mithilfe des normalisierten Asim-Schemas verarbeiten, das mit der Erstellung oder Beendigung eines Prozesses verbunden ist. Solche Ereignisse werden von Betriebssystemen und Sicherheitssystemen wie EDR (End Point Detection and Response) gemeldet.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | microsoft.securityinsights/processeventnormalized |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
ActingProcessCommandLine | Zeichenfolge | Die Befehlszeile zum Ausführen des Programms. |
ActingProcessCreationTime | datetime | Datum und Uhrzeit des Starts des agierenden Prozesses. |
ActingProcessFileCompany | Zeichenfolge | Das Unternehmen, das die Imagedatei des agierenden Prozesses erstellt hat. |
ActingProcessFileDescription | Zeichenfolge | Die Beschreibung, die in die Versionsinformationen der Imagedatei des agierenden Prozesses eingebettet ist. |
ActingProcessFileInternalName | Zeichenfolge | Der produktinterne Dateiname aus den Versionsinformationen in der Imagedatei des agierenden Prozesses. |
ActingProcessFilename | Zeichenfolge | Der Name der Produktdatei aus den Versionsinformationen der Imagedatei des handelnden Prozesses. |
ActingProcessFileOriginalName | Zeichenfolge | Der ursprüngliche Produkdateiname aus den Versionsinformationen der Imagedatei des agierenden Prozesses. |
ActingProcessFileProduct | Zeichenfolge | Der Produktname aus den Versionsinformationen in der Imagedatei des agierenden Prozesses. |
ActingProcessFileSize | long | Die Größe der Datei in Bytes, die den handelnden Prozess ausgeführt hat. |
ActingProcessFileVersion | Zeichenfolge | Die Produktversion aus den Versionsinformationen der Imagedatei des agierenden Prozesses. |
ActingProcessGuid | Zeichenfolge | Eine GUID des handelnden Prozesses. |
ActingProcessId | Zeichenfolge | Die Prozess-ID des handelnden Prozesses. |
ActingProcessIMPHASH | Zeichenfolge | Der Importhash aller Bibliotheks-DLLs, die vom agierenden Prozess verwendet werden. |
ActingProcessInjectedAddress | Zeichenfolge | Die Speicheradresse, an der der verantwortliche agierende Prozess gespeichert ist. |
ActingProcessIntegrityLevel | Zeichenfolge | Integritätsebene für den Handlungsprozess. |
ActingProcessIsHidden | bool | Ein Hinweis darauf, ob sich der agierende Prozess im ausgeblendeten Modus befindet. |
ActingProcessMD5 | Zeichenfolge | Der MD5-Hash der Imagedatei des agierenden Prozesses. |
ActingProcessName | Zeichenfolge | Der Name des agierenden Prozesses. |
ActingProcessSHA1 | Zeichenfolge | Der SHA-1-Hash der Imagedatei des agierenden Prozesses. |
ActingProcessSHA256 | Zeichenfolge | Der SHA-256--Hash der Imagedatei des agierenden Prozesses. |
ActingProcessSHA512 | Zeichenfolge | Der SHA-512-Hash der Imagedatei des agierenden Prozesses. |
ActingProcessTokenElevation | Zeichenfolge | Ein Token, das das Vorhandensein oder Fehlen von UAC-Rechteerweiterung (User Access Control) angibt, die auf den agierenden Prozess angewendet wird. |
ActorOriginalUserType | Zeichenfolge | Der Benutzertyp, wie vom Gerät gemeldet. |
ActorScope | Zeichenfolge | Der Bereich, z. B. der Azure AD-Mandant, in dem ActorUserId und ActorUsername definiert sind. |
ActorScopeId | Zeichenfolge | Die Bereichs-ID, z. B. die Azure AD-Mandanten-ID, in der ActorUserId und ActorUsername definiert sind. |
ActorSessionId | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Akteurs. |
ActorUserId | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. |
ActorUserIdType | Zeichenfolge | Der Typ der ID, die im Feld ActorUserId gespeichert ist. |
ActorUsername | Zeichenfolge | Der Benutzername des Akteurs, einschließlich Domäneninformationen, sofern verfügbar. |
ActorUsernameType | Zeichenfolge | Der Typ des Benutzernamens des Akteurs, der im Feld "ActionUsername" angegeben ist |
ActorUserType | Zeichenfolge | Der Typ des Akteurs. |
AdditionalFields | dynamisch | Zusätzliche Informationen, die mithilfe von Schlüssel- und Wertpaaren dargestellt werden, die von der Quelle bereitgestellt werden und die ASim nicht zugeordnet sind. |
_BilledSize | real | Die Datensatzgröße in Bytes |
DvcAction | Zeichenfolge | Zum Melden von Sicherheitssystemen die vom System ausgeführte Aktion. |
DvcDescription | Zeichenfolge | Ein mit dem Gerät verknüpfter beschreibender Text. |
DvcDomain | Zeichenfolge | Die Domäne des Geräts, das das Ereignis meldet. |
DvcDomainType | Zeichenfolge | Der Typ von DvcDomain. Mögliche Werte sind "Windows" und "FQDN". |
DvcFQDN | Zeichenfolge | Der Hostname des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
DvcHostname | Zeichenfolge | Der Hostname des Geräts, das das Ereignis meldet. |
DvcId | Zeichenfolge | Die eindeutige ID des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
DvcIdType | Zeichenfolge | Der Typ von DvcId. |
DvcInterface | Zeichenfolge | Die Netzwerkschnittstelle, über die Daten erfasst wurden. |
DvcIpAddr | Zeichenfolge | Die IP-Adresse des Geräts, das das Ereignis meldet. |
DvcMacAddr | Zeichenfolge | Die MAC-Adresse des Geräts, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
DvcOriginalAction | Zeichenfolge | Die ursprüngliche DvcAction, wie vom meldenden Gerät angegeben. |
DvcOs | Zeichenfolge | Das Betriebssystem, das auf dem Gerät ausgeführt wird, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
DvcOsVersion | Zeichenfolge | Die Version des Betriebssystems auf dem Gerät, auf dem das Ereignis eingetreten ist oder das das Ereignis gemeldet hat. |
DvcScope | Zeichenfolge | Der Cloudplattformbereich, zu dem das Gerät gehört. DvcScope wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DvcScopeId | Zeichenfolge | Die ID des Cloudplattformbereichs, zu dem das Gerät gehört. DvcScopeId wird einer Abonnement-ID in Azure und einer Konto-ID in AWS zugeordnet. |
DvcZone | Zeichenfolge | Das Netzwerk, in dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat. |
EventCount | INT | Die Anzahl der Ereignisse, die vom Datensatz beschrieben werden. |
EventEndTime | datetime | Der Zeitpunkt, zu dem das Ereignis geendet hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das letzte Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
EventMessage | Zeichenfolge | Eine allgemeine Nachricht oder Beschreibung. |
EventOriginalResultDetails | Zeichenfolge | Die ursprünglichen Ergebnisdetails, die von der Quelle bereitgestellt werden. |
EventOriginalSeverity | Zeichenfolge | Der ursprüngliche Schweregrad, wie vom meldenden Gerät angegeben. |
EventOriginalSubType | Zeichenfolge | Der ursprüngliche Ereignisuntertyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
EventOriginalType | Zeichenfolge | Der ursprüngliche Ereignistyp oder die ursprüngliche Ereignis-ID, sofern von der Quelle bereitgestellt. |
EventOriginalUid | Zeichenfolge | Eine eindeutige ID des ursprünglichen Datensatzes, sofern von der Quelle bereitgestellt. |
EventOwner | Zeichenfolge | Der Besitzer des Ereignisses, bei dem es sich in der Regel um die Abteilung oder Niederlassung handelt, in der das Ereignis generiert wurde |
EventProduct | Zeichenfolge | Das Produkt, das das Ereignis erzeugt. |
EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
EventReportUrl | Zeichenfolge | Eine URL, die im Ereignis für eine Ressource bereitgestellt wird, die weitere Informationen zum Ereignis enthält. |
EventResult | Zeichenfolge | Das Ergebnis des Ereignisses, das durch einen der folgenden Werte dargestellt wird: Success, Partial, Failure, NA (Nicht zutreffend). Der Wert wird möglicherweise nicht direkt von den Quellen bereitgestellt, in diesem Fall wird er von anderen Ereignisfeldern abgeleitet, z. B. dem Feld EventResultDetails. |
EventResultDetails | Zeichenfolge | Grund oder Details für das im Feld EventResult gemeldete Ergebnis. |
EventSchemaVersion | Zeichenfolge | Die Version des Schemas. |
EventSeverity | Zeichenfolge | Der Schweregrad des Ereignisses. Gültige Werte sind: Informational, Low, Medium oder High. |
EventStartTime | datetime | Der Zeitpunkt, zu dem das Ereignis begonnen hat. Wenn die Quelle Aggregation unterstützt und der Datensatz mehrere Ereignisse darstellt, die Zeit, zu der das erste Ereignis generiert wurde. Wenn dies nicht vom Quelldatensatz bereitgestellt wird, stellt dieses Feld einen Alias für das Feld TimeGenerated dar. |
EventSubType | Zeichenfolge | Beschreibt eine Untereinheit des Vorgangs, der im Feld EventType gemeldet wird. |
EventType | Zeichenfolge | Beschreibt den vom Datensatz gemeldeten Vorgang. |
EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
ParentProcessCreationTime | datetime | Datum und Uhrzeit des Starts des übergeordneten Prozesses. |
ParentProcessFileCompany | Zeichenfolge | Das Unternehmen, das die übergeordnete Prozessimagedatei erstellt hat. |
ParentProcessFileDescription | Zeichenfolge | Die Beschreibung aus den Versionsinformationen der übergeordneten Prozessimagedatei. |
ParentProcessFileProduct | Zeichenfolge | Der Produktname aus den Versionsinformationen in der übergeordneten Prozessimagedatei. |
ParentProcessFileVersion | Zeichenfolge | Die Produktversion aus den Versionsinformationen der übergeordneten Prozessimagedatei. |
ParentProcessGuid | Zeichenfolge | Eine GUID des übergeordneten Prozesses. |
ParentProcessId | Zeichenfolge | Die Prozess-ID des übergeordneten Prozesses. |
ParentProcessIMPHASH | Zeichenfolge | Der Importhash aller Bibliotheks-DLLs, die vom übergeordneten Prozess verwendet werden. |
ParentProcessInjectedAddress | Zeichenfolge | Die Speicheradresse, an der der verantwortliche übergeordnete Prozess gespeichert ist. |
ParentProcessIntegrityLevel | Zeichenfolge | Integritätsebene für den übergeordneten Prozess. |
ParentProcessIsHidden | bool | Ein Hinweis darauf, ob sich der übergeordnete Prozess im ausgeblendeten Modus befindet. |
ParentProcessMD5 | Zeichenfolge | Der MD5-Hash der Imagedatei des übergeordneten Prozesses. |
ParentProcessName | Zeichenfolge | Der Name des übergeordneten Prozesses. |
ParentProcessSHA1 | Zeichenfolge | Der SHA-1-Hash der Imagedatei des übergeordneten Prozesses. |
ParentProcessSHA256 | Zeichenfolge | Der SHA-256-Hash der Imagedatei des übergeordneten Prozesses. |
ParentProcessSHA512 | Zeichenfolge | Der SHA-512-Hash der Imagedatei des übergeordneten Prozesses. |
ParentProcessTokenElevation | Zeichenfolge | Ein Token, das das Vorhandensein oder Fehlen von UAC-Rechteerweiterung (User Access Control) angibt, die auf den übergeordneten Prozess angewendet wird. |
_ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
RuleName | Zeichenfolge | Der Name oder die ID der Regel, die den Inspektionsergebnissen zugeordnet ist. |
RuleNumber | INT | Die Nummer der Regel, die den Inspektionsergebnissen zugeordnet ist. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
_SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
TargetOriginalUserType | Zeichenfolge | Der Benutzertyp, wie vom Gerät gemeldet. |
TargetProcessCommandLine | Zeichenfolge | Die Befehlszeile zum Ausführen des Zielprozesses. |
TargetProcessCreationTime | datetime | Das Datum und die Uhrzeit, zu dem der Zielprozess gestartet wurde. |
TargetProcessCurrentDirectory | Zeichenfolge | Das aktuelle Verzeichnis, in dem der Zielprozess ausgeführt wird. |
TargetProcessFileCompany | Zeichenfolge | Das Unternehmen, das die Imagedatei des Zielprozesses erstellt hat. |
TargetProcessFileDescription | Zeichenfolge | Die Beschreibung aus den Versionsinformationen der Imagedatei des Zielprozesses. |
TargetProcessFileInternalName | Zeichenfolge | Der interne Dateiname des Produkts aus den Versionsinformationen der Imagedatei des Zielprozesses. |
TargetProcessFilename | Zeichenfolge | Der Produktdateiname aus den Versionsinformationen der Imagedatei des Zielprozesses. |
TargetProcessFileOriginalName | Zeichenfolge | Der ursprüngliche Dateiname des Produkts aus den Versionsinformationen der Imagedatei des Zielprozesses. |
TargetProcessFileProduct | Zeichenfolge | Der Produktname aus den Versionsinformationen in der Imagedatei des Zielprozesses. |
TargetProcessFileSize | long | Größe der Datei in Bytes, die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
TargetProcessFileVersion | Zeichenfolge | Die Produktversion aus den Versionsinformationen der Imagedatei des Zielprozesses. |
TargetProcessGuid | Zeichenfolge | Eine GUID des Zielprozesses. |
TargetProcessId | Zeichenfolge | Die Prozess-ID des Zielprozesses. |
TargetProcessIMPHASH | Zeichenfolge | Der Importhash aller Bibliotheks-DLLs, die vom Zielprozess verwendet werden. |
TargetProcessInjectedAddress | Zeichenfolge | Die Speicheradresse, an der der verantwortliche Zielprozess gespeichert ist. |
TargetProcessIntegrityLevel | Zeichenfolge | Integritätsebene für den Zielprozess. |
TargetProcessIsHidden | bool | Ein Hinweis darauf, ob sich der Zielprozess im ausgeblendeten Modus befindet. |
TargetProcessMD5 | Zeichenfolge | Der MD5-Hash der Imagedatei des Zielprozesses. |
TargetProcessName | Zeichenfolge | Der Name des Zielprozesses. |
TargetProcessSHA1 | Zeichenfolge | Der SHA-1-Hash der Imagedatei des Zielprozesses. |
TargetProcessSHA256 | Zeichenfolge | Der SHA-256-Hash der Imagedatei des Zielprozesses. |
TargetProcessSHA512 | Zeichenfolge | Der SHA-512-Hash der Imagedatei des Zielprozesses. |
TargetProcessStatusCode | Zeichenfolge | Der bei Beendigung vom Zielprozess zurückgegebene Exitcode. |
TargetProcessTokenElevation | Zeichenfolge | Ein Token, das das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (UAC) angibt, die auf den Zielprozess angewendet werden. |
TargetScope | Zeichenfolge | Der Bereich, z. B. der Azure AD-Mandant, in dem TargetUserId und TargetUsername definiert sind. |
TargetScopeId | Zeichenfolge | Die Bereichs-ID, z. B. die Azure AD-Mandanten-ID, in der TargetUserId und TargetUsername definiert sind. |
TargetUserId | Zeichenfolge | Eine maschinenlesbare, alphanumerische, eindeutige Darstellung des Akteurs. |
TargetUserIdType | Zeichenfolge | Der Typ der ID, die im Feld TargetUserId gespeichert ist. |
TargetUsername | Zeichenfolge | Der Benutzername des Zielakteurs, einschließlich Domäneninformationen, sofern verfügbar. |
TargetUsernameType | Zeichenfolge | Der Im Feld TargetUsername angegebene Typ des Benutzernamens des Zielakteurs. |
TargetUserSessionGuid | Zeichenfolge | Die eindeutige GUID der Anmeldesitzung des Zielakteurs. |
TargetUserSessionId | Zeichenfolge | Die eindeutige ID der Anmeldesitzung des Zielakteurs. |
TargetUserType | Zeichenfolge | Der Typ des Zielakteurs. |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
ThreatCategory | Zeichenfolge | Die Kategorie der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
ThreatConfidence | INT | Die Konfidenzstufe der identifizierten Bedrohung, normalisiert auf einen Wert zwischen 0 und 100 |
ThreatField | Zeichenfolge | Das Feld, für das eine Bedrohung identifiziert wurde. |
ThreatFirstReportedTime | datetime | Das erste Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatId | Zeichenfolge | Die ID der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
ThreatIsActive | bool | True ID; die identifizierte Bedrohung wird als aktive Bedrohung betrachtet. |
ThreatLastReportedTime | datetime | Das letzte Mal, dass die IP-Adresse oder Domäne als Bedrohung identifiziert wurde |
ThreatName | Zeichenfolge | Der Name der Bedrohung oder Schadsoftware, die in der Aktivität identifiziert wurde. |
ThreatOriginalConfidence | Zeichenfolge | Die ursprüngliche Konfidenzstufe der identifizierten Bedrohung, wie vom meldenden Gerät gemeldet. |
ThreatOriginalRiskLevel | Zeichenfolge | Die Risikostufe, wie vom meldenden Gerät gemeldet. |
ThreatRiskLevel | INT | Die Risikostufe, die der identifizierten Bedrohung zugeordnet ist. Hierbei muss es sich um eine Zahl zwischen 0 und 100 handeln. |
TimeGenerated | datetime | Der Zeitstempel (UTC), der den Zeitpunkt widerspiegelt, zu dem das Ereignis generiert wurde. |
type | Zeichenfolge | Der Name der Tabelle. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für