DynamicEventCollection
Table d’événements Windows générique pour les données collectées par l’agent Defender pour point de terminaison
Attributs de table
Attribut | Valeur |
---|---|
Types de ressource | - |
Catégories | Sécurité |
Solutions | AzureSentinelDSRE |
Journal de base | No |
Transformation au moment de l’ingestion | Yes |
Exemples de requêtes | - |
Colonnes
Colonne | Type | Description |
---|---|---|
AccountSid | string | Identificateur de sécurité (SID) du compte. |
AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
AppGuardContainerId | string | Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur. |
_BilledSize | real | Taille de l’enregistrement en octets |
deviceId | string | Identificateur unique de l’appareil dans le service. |
DeviceName | string | Nom de domaine complet (FQDN) de l’appareil. |
EventId | long | Contient l’identificateur d’événement unique. |
InitialingProcessAccountDomain | string | Domaine du compte qui a exécuté le processus responsable de l’événement. |
InitialingProcessAccountName | string | Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
InitialingProcessAccountObjectId | string | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
InitialingProcessAccountSid | string | Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
InitiatingProcessAccountUpn | string | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. Dans Active Directory, un UPN est le nom d’un utilisateur système au format d’adresse e-mail (par exemple : john.doe@domain.com) |
InitialingProcessFolderPath | string | Dossier contenant le processus (fichier image) qui a lancé l’événement. |
InitialingProcessId | long | ID de processus (PID) du processus qui a lancé l’événement. |
InitialingProcessLogonId | long | Identificateur d’une session d’ouverture de session du processus qui a lancé l’événement. Cet identificateur est unique sur la même machine uniquement entre les redémarrages. |
Lancement deProcessMD5 | string | Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
InitiatingProcessParentFileName | string | Nom du processus parent qui a généré le processus responsable de l’événement. |
InitiatingProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
InitialingProcessSHA1 | string | Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
_IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
LocalIP | string | Adresse IP affectée à l’ordinateur local utilisé lors de la communication. |
LocalPort | int | Port TCP sur l’ordinateur local utilisé pendant la communication. |
MachineGroup | string | Groupe d’ordinateurs de la machine. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à la machine. |
ProcessCommandLine | string | Ligne de commande utilisée pour créer le nouveau processus. |
RemoteDeviceName | string | Nom de l’appareil qui a effectué une opération à distance sur l’ordinateur affecté. En fonction de l’événement signalé, ce nom peut être un nom de domaine complet (FQDN), un nom NetBIOS ou un nom d’hôte sans informations de domaine.. |
RemoteIP | string | Adresse IP à laquelle était connecté. |
RemotePort | int | Port TCP sur l’appareil distant auquel était connecté. |
ReportId | long | Identificateur unique de l’événement. |
SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
TenantId | string | ID de l’espace de travail Log Analytics |
TimeGenerated | DATETIME | Date et heure (UTC) auxquelles l’enregistrement a été généré. |
Type | string | Le nom de la table |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez :Soumettre et afficher des commentaires pour