DynamicEventCollection
En allmän windows-händelsetabell för data som samlas in av Defender för Endpoint-agenten
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | AzureSentinelDSRE |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
| AdditionalFields | dynamisk | Ytterligare information om entiteten eller händelsen. |
| AppGuardContainerId | sträng | Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet. |
| _BilledSize | real | Poststorleken i byte |
| DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
| DeviceName | sträng | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| EventID | long | Innehåller den unika händelseidentifieraren. |
| InitieraProcessAccountDomain | sträng | Domän för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountName | sträng | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountObjectId | sträng | Azure AD objekt-ID för användarkontot som körde processen som ansvarar för händelsen. |
| InitieraProcessAccountSid | sträng | Säkerhetsidentifierare (SID) för kontot som körde processen som ansvarar för händelsen. |
| InitieraProcessAccountUpn | sträng | Användarens huvudnamn (UPN) för kontot som körde processen som ansvarar för händelsen. I Active Directory är ett UPN namnet på en systemanvändare i e-postadressformat (till exempel: john.doe@domain.com) |
| InitieraProcessFolderPath | sträng | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| InitieraProcessId | long | Process-ID (PID) för processen som initierade händelsen. |
| InitieraProcessLogonId | long | Identifierare för en inloggningssession för processen som initierade händelsen. Den här identifieraren är unik på samma dator endast mellan omstarter. |
| InitieraProcessMD5 | sträng | MD5-hash för processen (bildfilen) som initierade händelsen. |
| InitieraProcessParentFileName | sträng | Namnet på den överordnade processen som skapade processen som ansvarar för händelsen. |
| InitieraProcessParentId | long | Process-ID (PID) för den överordnade processen som skapade processen som ansvarar för händelsen. |
| InitieraProcessSHA1 | sträng | SHA-1-hash för processen (bildfilen) som initierade händelsen. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| LocalIP | sträng | IP-adress tilldelad till den lokala datorn som används under kommunikationen. |
| LocalPort | int | TCP-port på den lokala datorn som används under kommunikationen. |
| MachineGroup | sträng | Datorns datorgrupp. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
| ProcessCommandLine | sträng | Kommandorad som används för att skapa den nya processen. |
| RemoteDeviceName | sträng | Namnet på enheten som utförde en fjärråtgärd på den berörda datorn. Beroende på vilken händelse som rapporteras kan det här namnet vara ett fullständigt kvalificerat domännamn (FQDN), ett NetBIOS-namn eller ett värdnamn utan domäninformation.. |
| RemoteIP | sträng | IP-adress som var ansluten till. |
| RemotePort | int | TCP-port på fjärrenheten som var ansluten till. |
| ReportId | long | Unik identifierare för händelsen. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Datum och tid (UTC) när posten genererades. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för