DynamicEventCollection
Uç Nokta için Defender aracısı tarafından toplanan veriler için genel bir Windows olayları tablosu
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | - |
| Kategoriler | Güvenlik |
| Çözümler | AzureSentinelDSRE |
| Temel günlük | No |
| Veri alımı-zaman dönüşümü | Yes |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| AccountSid | string | Hesabın güvenlik tanımlayıcısı (SID). |
| EkAlanlar | dynamic | Varlık veya olay hakkında ek bilgiler. |
| AppGuardContainerId | string | tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DeviceId | string | Hizmetteki cihazın benzersiz tanımlayıcısı. |
| DeviceName | string | Cihazın tam etki alanı adı (FQDN). |
| EventId | long | Benzersiz olay tanımlayıcısını içerir. |
| InitiatingProcessAccountDomain | string | Olaydan sorumlu işlemi çalıştıran hesabın etki alanı. |
| InitiatingProcessAccountName | string | Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı adı. |
| InitiatingProcessAccountObjectId | string | olaydan sorumlu işlemi çalıştıran kullanıcı hesabının nesne kimliğini Azure AD. |
| InitiatingProcessAccountSid | string | Olaydan sorumlu işlemi çalıştıran hesabın Güvenlik Tanımlayıcısı (SID). |
| InitiatingProcessAccountUpn | string | Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı asıl adı (UPN). Active Directory'de UPN, bir sistem kullanıcısının e-posta adresi biçimindeki adıdır (örneğin: john.doe@domain.com) |
| InitiatingProcessFolderPath | string | Olayı başlatan işlemi (görüntü dosyası) içeren klasör. |
| InitiatingProcessId | long | Olayı başlatan işlemin İşlem Kimliği (PID). |
| InitiatingProcessLogonId | long | Olayı başlatan işlemin oturum açma oturumunun tanımlayıcısı. Bu tanımlayıcı aynı makinede yalnızca yeniden başlatmalar arasında benzersizdir. |
| InitiatingProcessMD5 | string | Olayı başlatan işlemin (görüntü dosyası) MD5 karması. |
| InitiatingProcessParentFileName | string | Olaydan sorumlu işlemi oluşturan üst işlemin adı. |
| InitiatingProcessParentId | long | Olaydan sorumlu işlemi oluşturan üst işlemin İşlem Kimliği (PID). |
| InitiatingProcessSHA1 | string | Olayı başlatan işlemin (görüntü dosyası) SHA-1 karması. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| LocalIP | string | İletişim sırasında kullanılan yerel makineye atanan IP adresi. |
| Yerel Bağlantı Noktası | int | İletişim sırasında kullanılan yerel makinede TCP bağlantı noktası. |
| MachineGroup | string | Makinenin makine grubu. Bu grup, makineye erişimi belirlemek için rol tabanlı erişim denetimi tarafından kullanılır. |
| İşlemKomand Çizgisi | string | Yeni işlemi oluşturmak için kullanılan komut satırı. |
| RemoteDeviceName | string | Etkilenen makinede uzak işlem gerçekleştiren cihazın adı. Bildirilen olaya bağlı olarak, bu ad tam etki alanı adı (FQDN), NetBIOS adı veya etki alanı bilgisi olmayan bir ana bilgisayar adı olabilir.. |
| RemoteIP | string | Bağlanılmakta olan IP adresi. |
| RemotePort | int | Bağlanmakta olan uzak cihazdaki TCP bağlantı noktası. |
| ReportId | long | Olayın benzersiz tanımlayıcısı. |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| TimeGenerated | datetime | Kaydın oluşturulduğu tarih ve saat (UTC). |
| Tür | string | Tablonun adı |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin