ASimProcessEventLogs
A Microsoft Sentinel folyamatesemények normalizált táblája a folyamat létrehozásához vagy leállításához társított folyamatesemény ASIM normalizált sémájával tárolja az eseményeket. Ezeket az eseményeket az operációs rendszerek és a biztonsági rendszerek, például az EDR (végpontészlelés és válasz) rendszerek jelentik.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | microsoft.securityinsights/processeventnormalized |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | No |
Betöltési idő átalakítás | Yes |
Mintalekérdezések | - |
Oszlopok
Oszlop | Típus | Description |
---|---|---|
ActingProcessCommandLine | sztring | Az eljáró folyamat futtatásához használt parancssor. |
ActingProcessCreationTime | dátum/idő | A színjátszási folyamat elindításának dátuma és időpontja. |
ActingProcessFileCompany | sztring | A eljáró folyamat képfájlját létrehozó vállalat. |
ActingProcessFileDescription | sztring | Az eljáró folyamat képfájljának verzióinformációiba ágyazott leírás. |
ActingProcessFileInternalName | sztring | A termék belső fájlneve az eljáró folyamat lemezképfájljának verzióinformációiból. |
ActingProcessFilename | sztring | A termékfájl neve az eljáró folyamat képfájljának verzióinformációiból. |
ActingProcessFileOriginalName | sztring | A termék eredeti fájlneve a működő folyamat képfájljának verzióinformációiból. |
ActingProcessFileProduct | sztring | Az eljáró folyamat képfájljában található verzióinformációkból származó terméknév. |
ActingProcessFileSize | hosszú | A műveletet futtató fájl mérete bájtban. |
ActingProcessFileVersion | sztring | Az eljáró folyamat képfájljának verzióinformációiból származó termékverzió. |
ActingProcessGuid | sztring | A színészi folyamat GUID azonosítója. |
ActingProcessId | sztring | Az eljáró folyamat folyamatazonosítója. |
ActingProcessIMPHASH | sztring | A függvényfolyamat által használt összes kódtár DLL-jének importálási kivonata. |
ActingProcessInjectedAddress | sztring | Az a memóriacím, amelyben a felelős működés folyamata tárolódik. |
ActingProcessIntegrityLevel | sztring | Integritási szint a színészi folyamathoz. |
ActingProcessIsHidden | logikai | Annak jelzése, hogy a művelet rejtett módban van-e. |
ActingProcessMD5 | sztring | A eljáró folyamat képfájljának MD5 kivonata. |
ActingProcessName | sztring | A színészi folyamat neve. |
ActingProcessSHA1 | sztring | A eljáró folyamat képfájljának SHA-1 kivonata. |
ActingProcessSHA256 | sztring | A eljáró folyamat képfájljának SHA-256 kivonata. |
ActingProcessSHA512 | sztring | A eljáró folyamat képfájljának SHA-512 kivonata. |
ActingProcessTokenElevation | sztring | Egy jogkivonat, amely a felhasználói Access Control (UAC) jogosultságszint-emelt szintnek az eljáró folyamatra való jelenlétét vagy hiányát jelzi. |
ActorOriginalUserType | sztring | A felhasználó típusa a jelentéskészítő eszköz által jelentett módon. |
ActorScope | sztring | A hatókör, például Azure AD bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. |
ActorScopeId | sztring | A hatókör azonosítója, például Azure AD bérlőazonosító, amelyben az ActorUserId és az ActorUsername definiálva van. |
ActorSessionId | sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. |
ActorUserId | sztring | Az aktor gépi olvasható, alfanumerikus, egyedi ábrázolása. |
ActorUserIdType | sztring | Az ActorUserId mezőben tárolt azonosító típusa. |
ActorUsername | sztring | Az Aktor felhasználóneve, beleértve a tartományadatokat, ha elérhetők. |
ActorUsernameType | sztring | Az Aktor ActionUsername mezőjében megadott felhasználónév típusa |
ActorUserType | sztring | Az Aktor típusa. |
AdditionalFields | dinamikus | További információk, amelyeket a forrás által biztosított kulcs- és értékpárok jelölnek, amelyek nem képeznek le ASim-hez. |
_BilledSize | valós szám | A rekord mérete bájtban |
DvcAction | sztring | A jelentéskészítési biztonsági rendszerek esetében a rendszer által végrehajtott művelet. |
DvcDescription | sztring | Az eszközhöz társított leíró szöveg. |
DvcDomain | sztring | Az eseményt jelentő eszköz tartománya. |
DvcDomainType | sztring | A DvcDomain típusa. A lehetséges értékek közé tartozik a "Windows" és az "FQDN". |
DvcFQDN | sztring | Annak az eszköznek az állomásneve, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcHostname | sztring | Az eseményt jelentő eszköz állomásneve. |
DvcId | sztring | Annak az eszköznek az egyedi azonosítója, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcIdType | sztring | A DvcId típusa. |
DvcInterface | sztring | Az a hálózati adapter, amelyen az adatok rögzítve lettnek. |
DvcIpAddr | sztring | Az eseményt jelentő eszköz IP-címe. |
DvcMacAddr | sztring | Annak az eszköznek a MAC-címe, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcOriginalAction | sztring | A jelentéskészítő eszköz által biztosított eredeti DvcAction. |
DvCO-k | sztring | Azon az eszközön futó operációs rendszer, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcOsVersion | sztring | Az operációs rendszer verziója azon az eszközön, amelyen az esemény történt, vagy amely az eseményt jelentette. |
DvcScope | sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. A DvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
DvcScopeId | sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. A DvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképazva. |
DvcZone | sztring | Az a hálózat, amelyen az esemény történt, vagy amely az eseményt jelentette. |
EventCount | int | A rekord által leírt események száma. |
EventEndTime | dátum/idő | Az esemény befejezésének időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az utolsó esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventMessage | sztring | Általános üzenet vagy leírás. |
EventOriginalResultDetails | sztring | A forrás által megadott eredeti eredményadatok. |
EventOriginalSeverity | sztring | A jelentéskészítő eszköz által megadott eredeti súlyosság. |
EventOriginalSubType | sztring | Az eredeti esemény altípusa vagy azonosítója, ha a forrás megadja. |
EventOriginalType | sztring | Az eredeti eseménytípus vagy -azonosító, ha a forrás megadja. |
EventOriginalUid | sztring | Az eredeti rekord egyedi azonosítója, ha a forrás megadja. |
EventOwner | sztring | Az esemény tulajdonosa, amely általában az a részleg vagy leányvállalat, amelyben létrehozták. |
EventProduct | sztring | Az eseményt létrehozó termék. |
EventProductVersion | sztring | Az eseményt létrehozó termék verziója. |
EventReportUrl | sztring | Egy erőforrás eseményében megadott URL-cím, amely további információkat nyújt az eseményről. |
EventResult | sztring | Az esemény kimenete, amelyet a következő értékek egyike jelöl: Success, Partial, Failure, NA (Not Applicable). Előfordulhat, hogy az értéket nem adhatja meg közvetlenül a források, ebben az esetben más eseménymezőkből származik, például az EventResultDetails mezőből. |
EventResultDetails | sztring | Az EventResult mezőben jelentett eredmény oka vagy részletei. |
EventSchemaVersion | sztring | A séma verziója. |
EventSeverity | sztring | Az esemény súlyossága. Az érvényes értékek a következők: Tájékoztató, Alacsony, Közepes vagy Magas. |
EventStartTime | dátum/idő | Az esemény indításának időpontja. Ha a forrás támogatja az összesítést, és a rekord több eseményt jelöl, az első esemény létrehozásának időpontja. Ha a forrásrekord nem adja meg, ez a mező a TimeGenerated mezőt aliasosítja. |
EventSubType | sztring | Az EventType mezőben jelentett művelet felosztását ismerteti. |
EventType | sztring | A rekord által jelentett műveletet ismerteti |
EventVendor | sztring | Az eseményt létrehozó termék szállítója. |
_IsBillable | sztring | Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés false történik, a számlázás nem történik meg az Azure-fiókban |
ParentProcessCreationTime | dátum/idő | A szülőfolyamat indításának dátuma és időpontja. |
ParentProcessFileCompany | sztring | A szülőfolyamat képfájlját létrehozó vállalat. |
ParentProcessFileDescription | sztring | A szülőfolyamat képfájljának verzióinformációinak leírása. |
ParentProcessFileProduct | sztring | A termék neve a szülőfolyamat képfájljának verzióinformációiból. |
ParentProcessFileVersion | sztring | A termék verziója a szülőfolyamat képfájljának verzióinformációiból. |
ParentProcessGuid | sztring | A szülőfolyamat GUID azonosítója. |
ParentProcessId | sztring | A szülőfolyamat folyamatazonosítója. |
ParentProcessIMPHASH | sztring | A szülőfolyamat által használt összes kódtár DLL-fájljának importálási kivonata. |
ParentProcessInjectedAddress | sztring | Az a memóriacím, amelyben a felelős szülőfolyamatot tárolja. |
ParentProcessIntegrityLevel | sztring | A szülőfolyamat integritási szintje. |
ParentProcessIsHidden | logikai | Annak jelzése, hogy a szülőfolyamat rejtett módban van-e. |
ParentProcessMD5 | sztring | A szülőfolyamat képfájljának MD5-kivonata. |
ParentProcessName | sztring | A szülőfolyamat neve. |
ParentProcessSHA1 | sztring | A szülőfolyamat képfájljának SHA-1 kivonata. |
ParentProcessSHA256 | sztring | A szülőfolyamat képfájljának SHA-256 kivonata. |
ParentProcessSHA512 | sztring | A szülőfolyamat képfájljának SHA-512 kivonata. |
ParentProcessTokenElevation | sztring | A fölérendelt folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelt szintű jogosultságok meglétét vagy hiányát jelző jogkivonat. |
_ResourceId | sztring | Annak az erőforrásnak az egyedi azonosítója, amelyhez a rekord társítva van |
RuleName | sztring | A szabály neve vagy azonosítója a vizsgálati eredmények alapján. |
RuleNumber | int | A vizsgálati eredményekhez társított szabály száma. |
SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
_SubscriptionId | sztring | Annak az előfizetésnek az egyedi azonosítója, amelyhez a rekord társítva van |
TargetOriginalUserType | sztring | A jelentéskészítő eszköz által jelentett felhasználótípus. |
TargetProcessCommandLine | sztring | A célfolyamat futtatásához használt parancssor. |
TargetProcessCreationTime | dátum/idő | A célfolyamat indításának dátuma és időpontja. |
TargetProcessCurrentDirectory | sztring | Az aktuális könyvtár, amelyben a célfolyamat végrehajtásra kerül. |
TargetProcessFileCompany | sztring | A célfolyamat lemezképfájlját létrehozó vállalat. |
TargetProcessFileDescription | sztring | A célfolyamat lemezképfájljának verzióinformációinak leírása. |
TargetProcessFileInternalName | sztring | A termék belső fájlneve a célfolyamat lemezképfájljának verzióinformációiból. |
TargetProcessFilename | sztring | A termékfájl neve a célfolyamat lemezképfájljának verzióinformációiból. |
TargetProcessFileOriginalName | sztring | A termék eredeti fájlneve a célfolyamat lemezképfájljának verzióinformációiból. |
TargetProcessFileProduct | sztring | A termék neve a célfolyamat lemezképfájljának verzióinformációiból. |
TargetProcessFileSize | hosszú | Az eseményért felelős folyamatot futtató fájl mérete bájtban. |
TargetProcessFileVersion | sztring | A termék verziója a célfolyamat lemezképfájljának verzióinformációiból. |
TargetProcessGuid | sztring | A célfolyamat GUID azonosítója. |
TargetProcessId | sztring | A célfolyamat folyamatazonosítója. |
TargetProcessIMPHASH | sztring | A célfolyamat által használt összes kódtár DLL-fájljának importálási kivonata. |
TargetProcessInjectedAddress | sztring | Az a memóriacím, amelyben a felelős célfolyamatot tárolja. |
TargetProcessIntegrityLevel | sztring | A célfolyamat integritási szintje. |
TargetProcessIsHidden | logikai | Annak jelzése, hogy a célfolyamat rejtett módban van-e. |
TargetProcessMD5 | sztring | A célfolyamat lemezképfájljának MD5-kivonata. |
TargetProcessName | sztring | A célfolyamat neve. |
TargetProcessSHA1 | sztring | A célfolyamat képfájljának SHA-1 kivonata. |
TargetProcessSHA256 | sztring | A célfolyamat képfájljának SHA-256 kivonata. |
TargetProcessSHA512 | sztring | A célfolyamat képfájljának SHA-512 kivonata. |
TargetProcessStatusCode | sztring | A célfolyamat által visszaadott kilépési kód, amikor le van állítva. |
TargetProcessTokenElevation | sztring | A célfolyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelést jelző jogkivonat. |
TargetScope | sztring | A hatókör, például Azure AD bérlő, amelyben a TargetUserId és a TargetUsername definiálva van. |
TargetScopeId | sztring | A hatókör azonosítója, például Azure AD bérlőazonosító, amelyben a TargetUserId és a TargetUsername definiálva van. |
TargetUserId | sztring | Az aktor gépi olvasható, alfanumerikus, egyedi ábrázolása. |
TargetUserIdType | sztring | A TargetUserId mezőben tárolt azonosító típusa. |
TargetUsername | sztring | A cél aktor felhasználóneve, beleértve a tartományadatokat, ha elérhetők. |
TargetUsernameType | sztring | A TargetUsername mezőben megadott Cél aktor felhasználónevének típusa |
TargetUserSessionGuid | sztring | A Cél aktor bejelentkezési munkamenetének egyedi guidja. |
TargetUserSessionId | sztring | A Cél aktor bejelentkezési munkamenetének egyedi azonosítója. |
TargetUserType | sztring | A Cél aktor típusa. |
TenantId | sztring | A Log Analytics-munkaterület azonosítója |
ThreatCategory | sztring | A tevékenységben azonosított fenyegetés vagy kártevő kategóriája. |
ThreatConfidence | int | Az azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
ThreatField | sztring | Az a mező, amelyhez fenyegetést azonosítottak. |
ThreatFirstReportedTime | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
ThreatId | sztring | A tevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
ThreatIsActive | logikai | Az azonosított fenyegetés valódi azonosítója aktív fenyegetésnek minősül. |
ThreatLastReportedTime | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
ThreatName | sztring | A tevékenységben azonosított fenyegetés vagy kártevő neve. |
ThreatOriginalConfidence | sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje, amelyet a jelentéskészítő eszköz jelentett. |
ThreatOriginalRiskLevel | sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
ThreatRiskLevel | int | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. |
TimeGenerated | dátum/idő | Az esemény létrehozásának időpontját tükröző időbélyeg (UTC). |
Típus | sztring | A tábla neve |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: