DynamicEventCollection
Tabella degli eventi di Windows generica per i dati raccolti dall'agente di Defender per endpoint
Attributi di tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | AzureSentinelDSRE |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
AccountSid | string | Identificatore di sicurezza (SID) dell'account. |
Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
AppGuardContainerId | string | Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
_BilledSize | real | Dimensioni del record in byte |
DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
DeviceName | string | Nome di dominio completo (FQDN) del dispositivo. |
EventId | long | Contiene l'identificatore di evento univoco. |
AvvioprocessAccountDomain | string | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioProcessAccountName | string | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessAccountObjectId | string | ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
AvvioprocessAccountSid | string | ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
StartingProcessAccountUpn | string | Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. In Active Directory, un UPN è il nome di un utente di sistema in un formato di indirizzo di posta elettronica (ad esempio: john.doe@domain.com) |
AvvioProcessFolderPath | string | Cartella contenente il processo (file di immagine) che ha avviato l'evento. |
AvvioProcessId | long | ID processo (PID) del processo che ha avviato l'evento. |
StartingProcessLogonId | long | Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
AvvioprocessMD5 | string | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
AvvioProcessParentFileName | string | Nome del processo padre che ha generato il processo responsabile dell'evento. |
AvvioprocessParentId | long | ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
AvvioprocessSHA1 | string | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
LocalIP | string | Indirizzo IP assegnato al computer locale usato durante la comunicazione. |
Porta locale | INT | Porta TCP nel computer locale usato durante la comunicazione. |
MachineGroup | string | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
ProcessCommandLine | string | Riga di comando usata per creare il nuovo processo. |
RemoteDeviceName | string | Nome del dispositivo che ha eseguito un'operazione remota nel computer interessato. A seconda dell'evento segnalato, questo nome potrebbe essere un nome di dominio completo (FQDN), un nome NetBIOS o un nome host senza informazioni di dominio. |
RemoteIP | string | Indirizzo IP a cui è stato connesso. |
Porta remota | INT | Porta TCP nel dispositivo remoto a cui è stata eseguita la connessione. |
ReportId | long | Identificatore univoco dell'evento. |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
TenantId | string | ID area di lavoro Log Analytics |
TimeGenerated | Datetime | Data e ora (UTC) quando il record è stato generato. |
Type | string | Nome della tabella |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per