DynamicEventCollection
Uma tabela de eventos genéricos do Windows para dados recolhidos pelo agente do Defender para Endpoint
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | - |
Categorias | Segurança |
Soluções | AzureSentinelDSRE |
Registo básico | No |
Transformação em tempo de ingestão | Yes |
Consultas de Exemplo | - |
Colunas
Coluna | Tipo | Description |
---|---|---|
AccountSid | string | Identificador de segurança (SID) da conta. |
Campos Adicionais | dynamic | Informações adicionais sobre a entidade ou evento. |
AppGuardContainerId | string | Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser. |
_BilledSize | real | O tamanho do registo em bytes |
DeviceId | string | Identificador exclusivo do dispositivo no serviço. |
DeviceName | string | Nome de domínio completamente qualificado (FQDN) do dispositivo. |
EventId | long | Contém o identificador de evento exclusivo. |
InitiatingProcessAccountDomain | string | Domínio da conta que executou o processo responsável pelo evento. |
InitiatingProcessAccountName | string | Nome de utilizador da conta que executou o processo responsável pelo evento. |
InitiatingProcessAccountObjectId | string | Azure AD ID de objeto da conta de utilizador que executou o processo responsável pelo evento. |
InitiatingProcessAccountSid | string | Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento. |
InitiatingProcessAccountUpn | string | Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento. No Active Directory, um UPN é o nome de um utilizador de sistema num formato de endereço de e-mail (por exemplo: john.doe@domain.com) |
InitiatingProcessFolderPath | string | Pasta que contém o processo (ficheiro de imagem) que iniciou o evento. |
InitiatingProcessId | long | ID do processo (PID) do processo que iniciou o evento. |
InitiatingProcessLogonId | long | Identificador para uma sessão de início de sessão do processo que iniciou o evento. Este identificador é exclusivo no mesmo computador apenas entre reinícios. |
InitiatingProcessMD5 | string | Hash MD5 do processo (ficheiro de imagem) que iniciou o evento. |
InitiatingProcessParentFileName | string | Nome do processo principal que gerou o processo responsável pelo evento. |
InitiatingProcessParentId | long | ID do processo (PID) do processo principal que gerou o processo responsável pelo evento. |
InitiatingProcessSHA1 | string | Hash SHA-1 do processo (ficheiro de imagem) que iniciou o evento. |
_IsBillable | string | Especifica se a ingestão de dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
LocalIP | string | Endereço IP atribuído ao computador local utilizado durante a comunicação. |
LocalPort | int | Porta TCP no computador local utilizado durante a comunicação. |
MachineGroup | string | Grupo de máquinas do computador. Este grupo é utilizado pelo controlo de acesso baseado em funções para determinar o acesso ao computador. |
ProcessCommandLine | string | Linha de comandos utilizada para criar o novo processo. |
RemoteDeviceName | string | Nome do dispositivo que efetuou uma operação remota no computador afetado. Dependendo do evento que está a ser comunicado, este nome pode ser um nome de domínio completamente qualificado (FQDN), um nome NetBIOS ou um nome de anfitrião sem informações de domínio.. |
RemoteIP | string | Endereço IP ao qual estava a ser ligado. |
RemotePort | int | Porta TCP no dispositivo remoto ao qual estava a ser ligado. |
ReportId | long | Identificador exclusivo do evento. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
TenantId | string | O ID da área de trabalho do Log Analytics |
TimeGenerated | datetime | Data e hora (UTC) em que o registo foi gerado. |
Tipo | string | O nome da tabela |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários