DynamicEventCollection
Универсальная таблица событий Windows для данных, собранных агентом Defender для конечной точки
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | - |
Категории | Безопасность |
Решения | AzureSentinelDSRE |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | - |
Столбцы
Столбец | Type | Описание |
---|---|---|
AccountSid | строка | Идентификатор безопасности (SID) учетной записи. |
AdditionalFields | Динамический | Дополнительные сведения о сущности или событии. |
AppGuardContainerId | строка | Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
_BilledSize | real | Размер записи в байтах |
DeviceId | строка | Уникальный идентификатор устройства в службе. |
DeviceName | строка | Полное доменное имя (FQDN) устройства. |
EventId | long | Содержит уникальный идентификатор события. |
InitiatingProcessAccountDomain | строка | Домен учетной записи, которая запустила процесс, отвечающий за событие. |
InitiatingProcessAccountName | строка | Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие. |
InitiatingProcessAccountObjectId | строка | Azure AD идентификатор объекта учетной записи пользователя, которая запустила процесс, отвечающий за событие. |
InitiatingProcessAccountSid | строка | Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие. |
InitiatingProcessAccountUpn | строка | Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие. В Active Directory имя участника-пользователя — это имя системного пользователя в формате адреса электронной почты (например, john.doe@domain.com). |
InitiatingProcessFolderPath | строка | Папка, содержащая процесс (файл образа), который инициировал событие. |
InitiatingProcessId | long | Идентификатор процесса (PID) процесса, который инициировал событие. |
InitiatingProcessLogonId | long | Идентификатор сеанса входа в процесс, который инициировал событие. Этот идентификатор уникален на том же компьютере только между перезапусками. |
InitiatingProcessMD5 | строка | MD5-хэш процесса (файла образа), который инициировал событие. |
InitiatingProcessParentFileName | строка | Имя родительского процесса, который породил процесс, ответственный за событие. |
InitiatingProcessParentId | long | Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
InitiatingProcessSHA1 | строка | Хэш SHA-1 процесса (файла изображения), который инициировал событие. |
_IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
LocalIP | строка | IP-адрес, назначенный локальному компьютеру, используемому во время обмена данными. |
Локальный порт | INT | TCP-порт на локальном компьютере, используемый во время обмена данными. |
MachineGroup | строка | Группа компьютеров компьютера. Эта группа используется при управлении доступом на основе ролей для определения доступа к компьютеру. |
ProcessCommandLine | строка | Командная строка, используемая для создания нового процесса. |
RemoteDeviceName | строка | Имя устройства, выполняющего удаленную операцию на затронутом компьютере. В зависимости от сообщаемого события это имя может быть полным доменным именем (FQDN), netBIOS-именем или именем узла без сведений о домене. |
RemoteIP | строка | IP-адрес, к которому было подключено подключение. |
Удаленный порт | INT | TCP-порт на удаленном устройстве, к которому было подключено. |
ReportId | long | Уникальный идентификатор события. |
SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
TenantId | строка | Идентификатор рабочей области Log Analytics |
TimeGenerated | DATETIME | Дата и время (UTC) создания записи. |
Тип | строка | Имя таблицы. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по