ASimProcessEventLogs
Os eventos normalizados do processo do Microsoft Sentinel armazenam eventos com o esquema normalizado ASIM do Evento de Processo associado à criação ou terminação de um processo. Estes eventos são comunicados por sistemas operativos e sistemas de segurança, como sistemas EDR (Deteção e Resposta de Ponto Final).
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | microsoft.securityinsights/processeventnormalized |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Registo básico | No |
| Transformação em tempo de ingestão | Yes |
| Consultas de Exemplo | - |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| ActingProcessCommandLine | string | A linha de comandos utilizada para executar o processo de ação. |
| ActingProcessCreationTime | datetime | A data e hora em que o processo de representação foi iniciado. |
| ActingProcessFileCompany | string | A empresa que criou o ficheiro de imagem do processo de atuação. |
| ActingProcessFileDescription | string | A descrição incorporada nas informações de versão do ficheiro de imagem do processo de atuação. |
| ActingProcessFileInternalName | string | O nome de ficheiro interno do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. |
| ActingProcessFilename | string | O nome do ficheiro de produto das informações de versão do ficheiro de imagem do processo de atuação. |
| ActingProcessFileOriginalName | string | O nome de ficheiro original do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. |
| ActingProcessFileProduct | string | O nome do produto das informações da versão no ficheiro de imagem do processo de atuação. |
| ActingProcessFileSize | long | O tamanho do ficheiro em bytes que executaram o processo de atuação. |
| ActingProcessFileVersion | string | A versão do produto a partir das informações de versão do ficheiro de imagem do processo de atuação. |
| ActingProcessGuid | string | Um GUID do processo de atuação. |
| ActingProcessId | string | O ID do processo de ação. |
| ActingProcessIMPHASH | string | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo de atuação. |
| ActingProcessInjectedAddress | string | O endereço de memória no qual o processo de ação responsável é armazenado. |
| ActingProcessIntegrityLevel | string | Nível de Integridade para processo de ação. |
| ActingProcessIsHidden | bool | Uma indicação de se o processo de ação está no modo oculto. |
| ActingProcessMD5 | string | O hash MD5 do ficheiro de imagem do processo de atuação. |
| ActingProcessName | string | O nome do processo de representação. |
| ActingProcessSHA1 | string | O hash SHA-1 do ficheiro de imagem do processo de atuação. |
| ActingProcessSHA256 | string | O hash SHA-256 do ficheiro de imagem do processo de atuação. |
| ActingProcessSHA512 | string | O hash SHA-512 do ficheiro de imagem do processo de atuação. |
| ActingProcessTokenElevation | string | Um token que indica a presença ou ausência da elevação de privilégios Controlo de Acesso de Utilizador (UAC) aplicada ao processo de ação. |
| ActorOriginalUserType | string | O tipo de utilizador conforme comunicado pelo dispositivo de relatórios. |
| ActorScope | string | O âmbito, como Azure AD inquilino, no qual ActorUserId e ActorUsername são definidos. |
| ActorScopeId | string | O ID de âmbito, como Azure AD ID de inquilino, no qual ActorUserId e ActorUsername são definidos. |
| ActorSessionId | string | O ID exclusivo da sessão de início de sessão do Ator. |
| ActorUserId | string | Uma representação única, alfanumérica e legível por computador do ator. |
| ActorUserIdType | string | O tipo do ID armazenado no campo ActorUserId. |
| ActorUsername | string | O nome de utilizador do Ator, incluindo informações de domínio quando disponível. |
| ActorUsernameType | string | O tipo do nome de utilizador do Ator especificado no campo ActionUsername |
| ActorUserType | string | O tipo de Actor. |
| Campos Adicionais | dynamic | Informações adicionais, representadas através de pares chave e valor fornecidos pela origem que não mapeiam para o ASim. |
| _BilledSize | real | O tamanho do registo em bytes |
| DvcAction | string | Para comunicar sistemas de segurança, a ação tomada pelo sistema. |
| DvcDescription | string | Um texto descritivo associado ao dispositivo. |
| DvcDomain | string | O domínio do dispositivo que reporta o evento. |
| DvcDomainType | string | O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
| DvcFQDN | string | O nome do anfitrião do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcHostname | string | O nome do anfitrião do dispositivo que reporta o evento. |
| DvcId | string | O ID exclusivo do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcIdType | string | O tipo de DvcId. |
| DvcInterface | string | A interface de rede na qual os dados foram capturados. |
| DvcIpAddr | string | O Endereço IP do dispositivo que reporta o evento. |
| DvcMacAddr | string | O endereço MAC do dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcOriginalAction | string | O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| DvcOs | string | O sistema operativo em execução no dispositivo no qual ocorreu o evento ou que comunicou o evento. |
| DvcOsVersion | string | A versão do sistema operativo no dispositivo em que ocorreu o evento ou que comunicou o evento. |
| DvcScope | string | O âmbito da plataforma na cloud ao qual o dispositivo pertence. DvcScope mapeie para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DvcScopeId | string | O ID de âmbito da plataforma na cloud ao qual o dispositivo pertence. DvcScopeId mapeia para um ID de subscrição no Azure e para um ID de conta no AWS. |
| DvcZone | string | A rede na qual ocorreu o evento ou que comunicou o evento. |
| EventCount | int | O número de eventos descritos pelo registo. |
| EventEndTime | datetime | A hora em que o evento terminou. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
| EventMessage | string | Uma mensagem ou descrição geral. |
| EventOriginalResultDetails | string | Os detalhes do resultado original fornecidos pela origem. |
| EventOriginalSeverity | string | A gravidade original, conforme fornecido pelo dispositivo de relatório. |
| EventOriginalSubType | string | O subtipo ou ID do evento original, se fornecido pela origem. |
| EventOriginalType | string | O tipo ou ID de evento original, se for fornecido pela origem. |
| EventOriginalUid | string | Um ID exclusivo do registo original, se fornecido pela origem. |
| EventOwner | string | O proprietário do evento, que é normalmente o departamento ou subsidiária em que foi gerado. |
| EventProduct | string | O produto que está a gerar o evento. |
| EventProductVersion | string | A versão do produto que está a gerar o evento. |
| EventReportUrl | string | Um URL fornecido no evento para um recurso que fornece mais informações sobre o evento. |
| EventResult | string | O resultado do evento, representado por um dos seguintes valores: Êxito, Parcial, Falha, NA (Não Aplicável). O valor pode não ser fornecido diretamente pelas origens, caso em que é derivado de outros campos de eventos, por exemplo, o campo EventResultDetails. |
| EventResultDetails | string | Motivo ou detalhes do resultado comunicado no campo EventResult. |
| EventSchemaVersion | string | A versão do esquema. |
| EventSeverity | string | A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime | datetime | A hora em que o evento foi iniciado. Se a origem suportar a agregação e o registo representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registo de origem, este campo alia o campo TimeGenerated. |
| EventSubType | string | Descreve uma subdivisão da operação reportada no campo EventType. |
| EventType | string | Descreve a operação comunicada pelo registo |
| EventVendor | string | O fornecedor do produto que está a gerar o evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| ParentProcessCreationTime | datetime | A data e hora em que o processo principal foi iniciado. |
| ParentProcessFileCompany | string | A empresa que criou o ficheiro de imagem do processo principal. |
| ParentProcessFileDescription | string | A descrição das informações de versão do ficheiro de imagem do processo principal. |
| ParentProcessFileProduct | string | O nome do produto das informações de versão no ficheiro de imagem do processo principal. |
| ParentProcessFileVersion | string | A versão do produto a partir das informações de versão do ficheiro de imagem do processo principal. |
| ParentProcessGuid | string | Um GUID do processo principal. |
| ParentProcessId | string | O ID do processo principal. |
| ParentProcessIMPHASH | string | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo principal. |
| ParentProcessInjectedAddress | string | O endereço de memória no qual o processo principal responsável é armazenado. |
| ParentProcessIntegrityLevel | string | Nível de Integridade para o processo principal. |
| ParentProcessIsHidden | bool | Uma indicação de se o processo principal está no modo oculto. |
| ParentProcessMD5 | string | O hash MD5 do ficheiro de imagem do processo principal. |
| ParentProcessName | string | O nome do processo principal. |
| ParentProcessSHA1 | string | O hash SHA-1 do ficheiro de imagem do processo principal. |
| ParentProcessSHA256 | string | O hash SHA-256 do ficheiro de imagem do processo principal. |
| ParentProcessSHA512 | string | O hash SHA-512 do ficheiro de imagem do processo principal. |
| ParentProcessTokenElevation | string | Um token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso do Utilizador (UAC) aplicada ao processo principal. |
| _ResourceId | string | Um identificador exclusivo para o recurso ao qual o registo está associado |
| RuleName | string | O nome ou ID da regra associado aos resultados da inspeção. |
| RuleNumber | int | O número da regra associada aos resultados da inspeção. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| _SubscriptionId | string | Um identificador exclusivo para a subscrição à qual o registo está associado |
| TargetOriginalUserType | string | O tipo de utilizador, conforme comunicado pelo dispositivo de relatórios. |
| TargetProcessCommandLine | string | A linha de comandos utilizada para executar o processo de destino. |
| TargetProcessCreationTime | datetime | A data e hora em que o processo de destino foi iniciado. |
| TargetProcessCurrentDirectory | string | O diretório atual no qual o processo de destino é executado. |
| TargetProcessFileCompany | string | A empresa que criou o ficheiro de imagem do processo de destino. |
| TargetProcessFileDescription | string | A descrição das informações de versão do ficheiro de imagem do processo de destino. |
| TargetProcessFileInternalName | string | O nome de ficheiro interno do produto a partir das informações de versão do ficheiro de imagem do processo de destino. |
| TargetProcessFilename | string | O nome do ficheiro de produto das informações de versão do ficheiro de imagem do processo de destino. |
| TargetProcessFileOriginalName | string | O nome de ficheiro original do produto a partir das informações de versão do ficheiro de imagem do processo de destino. |
| TargetProcessFileProduct | string | O nome do produto das informações da versão no ficheiro de imagem do processo de destino. |
| TargetProcessFileSize | long | Tamanho do ficheiro em bytes que executaram o processo responsável pelo evento. |
| TargetProcessFileVersion | string | A versão do produto a partir das informações de versão do ficheiro de imagem do processo de destino. |
| TargetProcessGuid | string | Um GUID do processo de destino. |
| TargetProcessId | string | O ID do processo do processo de destino. |
| TargetProcessIMPHASH | string | O Hash de Importação de todas as DLLs da biblioteca que são utilizadas pelo processo de destino. |
| TargetProcessInjectedAddress | string | O endereço de memória no qual o processo de destino responsável é armazenado. |
| TargetProcessIntegrityLevel | string | Nível de Integridade para o processo de destino. |
| TargetProcessIsHidden | bool | Uma indicação de se o processo de destino está no modo oculto. |
| TargetProcessMD5 | string | O hash MD5 do ficheiro de imagem do processo de destino. |
| TargetProcessName | string | O nome do processo de destino. |
| TargetProcessSHA1 | string | O hash SHA-1 do ficheiro de imagem do processo de destino. |
| TargetProcessSHA256 | string | O hash SHA-256 do ficheiro de imagem do processo de destino. |
| TargetProcessSHA512 | string | O hash SHA-512 do ficheiro de imagem do processo de destino. |
| TargetProcessStatusCode | string | O código de saída devolvido pelo processo de destino quando terminado. |
| TargetProcessTokenElevation | string | Um token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso de Utilizador (UAC) aplicada ao processo de destino. |
| TargetScope | string | O âmbito, como Azure AD inquilino, no qual TargetUserId e TargetUsername são definidos. |
| TargetScopeId | string | O ID de âmbito, como Azure AD ID do inquilino, no qual TargetUserId e TargetUsername são definidos. |
| TargetUserId | string | Uma representação única, alfanumérica e legível pelo computador do ator. |
| TargetUserIdType | string | O tipo de ID armazenado no campo TargetUserId. |
| TargetUsername | string | O nome de utilizador do ator de destino, incluindo informações de domínio quando disponível. |
| TargetUsernameType | string | O tipo de nome de utilizador do ator de destino especificado no campo TargetUsername |
| TargetUserSessionGuid | string | O guid exclusivo da sessão de início de sessão do ator target. |
| TargetUserSessionId | string | O ID exclusivo da sessão de início de sessão do ator target. |
| TargetUserType | string | O tipo do actor target. |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| ThreatCategory | string | A categoria da ameaça ou software maligno identificado na atividade. |
| ThreatConfidence | int | O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| ThreatField | string | O campo para o qual foi identificada uma ameaça. |
| ThreatFirstReportedTime | datetime | A primeira vez que o endereço IP ou o domínio foram identificados como uma ameaça. |
| ThreatId | string | O ID da ameaça ou malware identificado na atividade. |
| ThreatIsActive | bool | ID verdadeiro a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime | datetime | A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| ThreatName | string | O nome da ameaça ou malware identificado na atividade. |
| ThreatOriginalConfidence | string | O nível de confiança original da ameaça identificada, conforme comunicado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel | string | O nível de risco, conforme comunicado pelo dispositivo de relatórios. |
| ThreatRiskLevel | int | O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
| TimeGenerated | datetime | O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| Tipo | string | O nome da tabela |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários