ASimProcessEventLogs
I den normaliserade tabellen för Microsoft Sentinel-processhändelser lagras händelser med hjälp av det normaliserade asim-schemat för processhändelsen som är associerat med skapande eller avslutning av en process. Sådana händelser rapporteras av operativsystem och säkerhetssystem, till exempel EDR-system (Slutpunktsidentifiering och svar).
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | microsoft.securityinsights/processeventnormalized |
Kategorier | Säkerhet |
Lösningar | SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | - |
Kolumner
Kolumn | Typ | Description |
---|---|---|
ActingProcessCommandLine | sträng | Kommandoraden som används för att köra agerarprocessen. |
ActingProcessCreationTime | datetime | Datum och tid då agerarprocessen startades. |
ActingProcessFileCompany | sträng | Det företag som skapade den tillförordnade processbildfilen. |
ActingProcessFileDescription | sträng | Beskrivningen som är inbäddad i versionsinformationen för den verkande processbildfilen. |
ActingProcessFileInternalName | sträng | Produktens interna filnamn från versionsinformationen för den tillförordnade processbildfilen. |
ActingProcessFilename | sträng | Produktfilnamnet från versionsinformationen för den tillförordnade processbildfilen. |
ActingProcessFileOriginalName | sträng | Produktens ursprungliga filnamn från versionsinformationen för den tillförordnade processbildfilen. |
ActingProcessFileProduct | sträng | Produktnamnet från versionsinformationen i den verkande processbildfilen. |
ActingProcessFileSize | long | Storleken på filen i byte som körde den tillförordnade processen. |
ActingProcessFileVersion | sträng | Produktversionen från versionsinformationen för den verkande processbildfilen. |
ActingProcessGuid | sträng | Ett GUID för agerarprocessen. |
ActingProcessId | sträng | Process-ID för den agerar processen. |
ActingProcessIMPHASH | sträng | Import-hash för alla biblioteks-DLL:er som används av den verkande processen. |
ActingProcessInjectedAddress | sträng | Minnesadressen där den ansvarsfulla agerar processen lagras. |
ActingProcessIntegrityLevel | sträng | Integritetsnivå för agerar process. |
ActingProcessIsHidden | boolesk | En indikation på om den verkande processen är i dolt läge. |
ActingProcessMD5 | sträng | MD5-hashen för den verkande processbildfilen. |
ActingProcessName | sträng | Namnet på den tillförordnade processen. |
ActingProcessSHA1 | sträng | SHA-1-hashen för den verkande processbildfilen. |
ActingProcessSHA256 | sträng | SHA-256-hashen för den verkande processbildfilen. |
ActingProcessSHA512 | sträng | SHA-512-hashen för den verkande processbildfilen. |
ActingProcessTokenElevation | sträng | En token som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den tillförordnade processen. |
ActorOriginalUserType | sträng | Användartypen som rapporteras av rapporteringsenheten. |
ActorScope | sträng | Omfånget, till exempel Azure AD klientorganisation, där ActorUserId och ActorUsername definieras. |
ActorScopeId | sträng | Omfångs-ID, till exempel Azure AD klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
ActorSessionId | sträng | Det unika ID:t för aktörens inloggningssession. |
ActorUserId | sträng | En maskinläsbar, alfanumerisk och unik representation av aktören. |
ActorUserIdType | sträng | Typen av ID som lagras i fältet ActorUserId. |
ActorUsername | sträng | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
ActorUsernameType | sträng | Typen av aktörens användarnamn som anges i fältet ActionUsername |
ActorUserType | sträng | Typen av aktör. |
AdditionalFields | dynamisk | Ytterligare information som representeras med nyckel- och värdepar som tillhandahålls av källan och som inte mappas till ASim. |
_BilledSize | real | Poststorleken i byte |
DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtagits av systemet. |
DvcDescription | sträng | En beskrivande text som är associerad med enheten. |
DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
DvcDomainType | sträng | Typ av DvcDomain. Möjliga värden är "Windows" och "FQDN". |
DvcFQDN | sträng | Värdnamnet för enheten där händelsen inträffade eller som rapporterade händelsen. |
DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
DvcId | sträng | Unikt ID för enheten där händelsen inträffade eller som rapporterade händelsen. |
DvcIdType | sträng | Typ av DvcId. |
DvcInterface | sträng | Nätverksgränssnittet där data hämtades. |
DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
DvcMacAddr | sträng | MAC-adressen för enheten där händelsen inträffade eller som rapporterade händelsen. |
DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
DvcOsVersion | sträng | Versionen av operativsystemet på enheten där händelsen inträffade eller som rapporterade händelsen. |
DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID på Azure och till ett konto-ID på AWS. |
DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
EventCount | int | Antalet händelser som beskrivs av posten. |
EventEndTime | datetime | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte anges av källposten kan det här fältet ange fältet TimeGenerated som alias. |
EventMessage | sträng | Ett allmänt meddelande eller en beskrivning. |
EventOriginalResultDetails | sträng | Den ursprungliga resultatinformationen från källan. |
EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
EventOriginalSubType | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. |
EventOriginalType | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
EventOwner | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
EventProduct | sträng | Produkten som genererar händelsen. |
EventProductVersion | sträng | Den version av produkten som genererar händelsen. |
EventReportUrl | sträng | En URL som anges i händelsen för en resurs som innehåller mer information om händelsen. |
EventResult | sträng | Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte anges direkt av källorna, i så fall härleds det från andra händelsefält, till exempel fältet EventResultDetails. |
EventResultDetails | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
EventSchemaVersion | sträng | Versionen av schemat. |
EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
EventStartTime | datetime | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte anges av källposten kan det här fältet ange fältet TimeGenerated som alias. |
EventSubType | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
Eventtype | sträng | Beskriver åtgärden som rapporterats av posten |
EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
ParentProcessCreationTime | datetime | Datum och tid då den överordnade processen startades. |
ParentProcessFileCompany | sträng | Det företag som skapade den överordnade processbildfilen. |
ParentProcessFileDescription | sträng | Beskrivningen från versionsinformationen för den överordnade processbildfilen. |
ParentProcessFileProduct | sträng | Produktnamnet från versionsinformationen i den överordnade processbildfilen. |
ParentProcessFileVersion | sträng | Produktversionen från versionsinformationen för den överordnade processbildfilen. |
ParentProcessGuid | sträng | Ett GUID för den överordnade processen. |
ParentProcessId | sträng | Process-ID för den överordnade processen. |
ParentProcessIMPHASH | sträng | Import-hash för alla biblioteks-DLL:er som används av den överordnade processen. |
ParentProcessInjectedAddress | sträng | Minnesadressen där den ansvariga överordnade processen lagras. |
ParentProcessIntegrityLevel | sträng | Integritetsnivå för överordnad process. |
ParentProcessIsHidden | boolesk | En indikation på om den överordnade processen är i dolt läge. |
ParentProcessMD5 | sträng | MD5-hashen för den överordnade processbildfilen. |
ParentProcessName | sträng | Namnet på den överordnade processen. |
ParentProcessSHA1 | sträng | SHA-1-hashen för den överordnade processbildfilen. |
ParentProcessSHA256 | sträng | SHA-256-hashen för den överordnade processbildfilen. |
ParentProcessSHA512 | sträng | SHA-512-hashen för den överordnade processbildfilen. |
ParentProcessTokenElevation | sträng | En token som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den överordnade processen. |
_ResourceId | sträng | En unik identifierare för resursen som posten är associerad med |
RuleName | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultaten. |
RuleNumber | int | Numret på regeln som är associerad med inspektionsresultatet. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
_SubscriptionId | sträng | En unik identifierare för prenumerationen som posten är associerad med |
TargetOriginalUserType | sträng | Användartypen som rapporteras av rapporteringsenheten. |
TargetProcessCommandLine | sträng | Kommandoraden som används för att köra målprocessen. |
TargetProcessCreationTime | datetime | Datum och tid då målprocessen startades. |
TargetProcessCurrentDirectory | sträng | Den aktuella katalogen där målprocessen körs. |
TargetProcessFileCompany | sträng | Det företag som skapade målprocessbildfilen. |
TargetProcessFileDescription | sträng | Beskrivningen från versionsinformationen för målprocessbildfilen. |
TargetProcessFileInternalName | sträng | Produktens interna filnamn från versionsinformationen för målprocessbildfilen. |
TargetProcessFilename | sträng | Produktfilnamnet från versionsinformationen för målprocessbildfilen. |
TargetProcessFileOriginalName | sträng | Produktens ursprungliga filnamn från versionsinformationen för målprocessbildfilen. |
TargetProcessFileProduct | sträng | Produktnamnet från versionsinformationen i målprocessbildfilen. |
TargetProcessFileSize | long | Storleken på filen i byte som körde processen som ansvarar för händelsen. |
TargetProcessFileVersion | sträng | Produktversionen från versionsinformationen för målprocessbildfilen. |
TargetProcessGuid | sträng | Ett GUID för målprocessen. |
TargetProcessId | sträng | Process-ID för målprocessen. |
TargetProcessIMPHASH | sträng | Import-hash för alla biblioteks-DLL:er som används av målprocessen. |
TargetProcessInjectedAddress | sträng | Minnesadressen där den ansvarsfulla målprocessen lagras. |
TargetProcessIntegrityLevel | sträng | Integritetsnivå för målprocess. |
TargetProcessIsHidden | boolesk | En indikation på om målprocessen är i dolt läge. |
TargetProcessMD5 | sträng | MD5-hashen för målprocessbildfilen. |
TargetProcessName | sträng | Namnet på målprocessen. |
TargetProcessSHA1 | sträng | SHA-1-hashen för målprocessbildfilen. |
TargetProcessSHA256 | sträng | SHA-256-hashen för målprocessbildfilen. |
TargetProcessSHA512 | sträng | SHA-512-hashen för målprocessbildfilen. |
TargetProcessStatusCode | sträng | Slutkoden som returnerades av målprocessen när den avslutades. |
TargetProcessTokenElevation | sträng | En token som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på målprocessen. |
TargetScope | sträng | Omfånget, till exempel Azure AD klientorganisation, där TargetUserId och TargetUsername definieras. |
TargetScopeId | sträng | Omfångs-ID, till exempel Azure AD klientorganisations-ID, där TargetUserId och TargetUsername definieras. |
TargetUserId | sträng | En maskinläsbar, alfanumerisk och unik representation av aktören. |
TargetUserIdType | sträng | Typen av ID som lagras i fältet TargetUserId. |
TargetUsername | sträng | Målaktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
TargetUsernameType | sträng | Typen av målaktörens användarnamn som anges i fältet TargetUsername |
TargetUserSessionGuid | sträng | Det unika GUID:et för inloggningssessionen för målskådespelaren. |
TargetUserSessionId | sträng | Det unika ID:t för inloggningssessionen för målskådespelaren. |
TargetUserType | sträng | Typen av målskådespelare. |
TenantId | sträng | Log Analytics-arbetsytans ID |
ThreatCategory | sträng | Kategorin för det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatConfidence | int | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
ThreatField | sträng | Fältet för vilket ett hot identifierades. |
ThreatFirstReportedTime | datetime | Första gången IP-adressen eller domänen identifierades som ett hot. |
ThreatId | sträng | ID för det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatIsActive | boolesk | Sant ID som det identifierade hotet anses vara ett aktivt hot. |
ThreatLastReportedTime | datetime | Senaste gången IP-adressen eller domänen identifierades som ett hot. |
ThreatName | sträng | Namnet på det hot eller den skadliga kod som identifieras i aktiviteten. |
ThreatOriginalConfidence | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapportering. |
ThreatOriginalRiskLevel | sträng | Risknivån som rapporteras av rapporteringsenheten. |
ThreatRiskLevel | int | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
TimeGenerated | datetime | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
Typ | sträng | Namnet på tabellen |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för