DynamicEventCollection
Tabella degli eventi di Windows generica per i dati raccolti dall'agente di Defender per endpoint
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | AzureSentinelDSRE |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AccountSid | string | Identificatore di sicurezza (SID) dell'account. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId | string | Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize | real | Dimensioni del record in byte |
| DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
| DeviceName | string | Nome di dominio completo (FQDN) del dispositivo. |
| EventId | long | Contiene l'identificatore di evento univoco. |
| AvvioprocessAccountDomain | string | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioProcessAccountName | string | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountObjectId | string | ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountSid | string | ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| StartingProcessAccountUpn | string | Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. In Active Directory, un UPN è il nome di un utente di sistema in un formato di indirizzo di posta elettronica (ad esempio: john.doe@domain.com) |
| AvvioProcessFolderPath | string | Cartella contenente il processo (file di immagine) che ha avviato l'evento. |
| AvvioProcessId | long | ID processo (PID) del processo che ha avviato l'evento. |
| StartingProcessLogonId | long | Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| AvvioprocessMD5 | string | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| AvvioProcessParentFileName | string | Nome del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessParentId | long | ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessSHA1 | string | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| LocalIP | string | Indirizzo IP assegnato al computer locale usato durante la comunicazione. |
| Porta locale | INT | Porta TCP nel computer locale usato durante la comunicazione. |
| MachineGroup | string | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| ProcessCommandLine | string | Riga di comando usata per creare il nuovo processo. |
| RemoteDeviceName | string | Nome del dispositivo che ha eseguito un'operazione remota nel computer interessato. A seconda dell'evento segnalato, questo nome potrebbe essere un nome di dominio completo (FQDN), un nome NetBIOS o un nome host senza informazioni di dominio. |
| RemoteIP | string | Indirizzo IP a cui è stato connesso. |
| Porta remota | INT | Porta TCP nel dispositivo remoto a cui è stata eseguita la connessione. |
| ReportId | long | Identificatore univoco dell'evento. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Data e ora (UTC) quando il record è stato generato. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per