DynamicEventCollection
Eine generische Windows-Ereignistabelle für Daten, die vom Defender for Endpoint-Agent erfasst werden
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | AzureSentinelDSRE |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | Yes |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos. |
| AdditionalFields | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId | Zeichenfolge | Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| deviceId | Zeichenfolge | Eindeutiger Bezeichner für das Gerät im Dienst. |
| DeviceName | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts. |
| EventId | long | Enthält den eindeutigen Ereignisbezeichner. |
| InitiierenprocessAccountDomain | Zeichenfolge | Domäne des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiierenProcessAccountName | Zeichenfolge | Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountObjectId | Zeichenfolge | Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountSid | Zeichenfolge | Security Identifier (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiierenprocessAccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. In Active Directory ist ein UPN der Name eines Systembenutzers in einem E-Mail-Adressformat (z. B.: john.doe@domain.com) |
| InitiierenProcessFolderPath | Zeichenfolge | Ordner, der den Prozess (Imagedatei) enthält, der das Ereignis initiiert hat. |
| InitiierenProcessId | long | Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
| InitiatingProcessLogonId | long | Bezeichner für eine Anmeldesitzung des Prozesses, der das Ereignis initiiert hat. Dieser Bezeichner ist nur zwischen Neustarts auf demselben Computer eindeutig. |
| InitiierenProcessMD5 | Zeichenfolge | MD5-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. |
| InitiierenProcessParentFileName | Zeichenfolge | Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess ausgelöst hat. |
| Initiieren vonProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess ausgelöst hat. |
| Initiieren vonProcessSHA1 | Zeichenfolge | SHA-1-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LocalIP | Zeichenfolge | IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird. |
| LocalPort | INT | TCP-Port auf dem lokalen Computer, der während der Kommunikation verwendet wird. |
| MachineGroup | Zeichenfolge | Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| ProcessCommandLine | Zeichenfolge | Befehlszeile, die zum Erstellen des neuen Prozesses verwendet wird. |
| RemoteDeviceName | Zeichenfolge | Name des Geräts, das einen Remotevorgang auf dem betroffenen Computer ausgeführt hat. Abhängig vom gemeldeten Ereignis kann dieser Name ein vollqualifizierter Domänenname (FQDN), ein NetBIOS-Name oder ein Hostname ohne Domäneninformationen sein. |
| RemoteIP | Zeichenfolge | IP-Adresse, mit der eine Verbindung hergestellt wurde. |
| RemotePort | INT | TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde. |
| ReportId | long | Eindeutiger Bezeichner für das Ereignis. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Datum und Uhrzeit (UTC), zu dem der Datensatz generiert wurde. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für