Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här tabellen är en del av Microsoft Defender för Endpoint med Azure Sentinel. Den här tabellen innehåller inloggningar och andra autentiseringshändelser.
Tabell-attribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Inmatningstidsförvandling | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Kontodomän | sträng | Domän för kontot. |
| Kontonamn | sträng | Användarnamn för kontot. |
| AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
| Åtgärdstyp | sträng | Typ av aktivitet som utlöste händelsen. |
| YtterligareFält | dynamisk | Ytterligare information om entiteten eller händelsen. |
| Behållar-ID för AppGuard | sträng | Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet. |
| _FaktureradStorlek | verklig | Poststorleken i byte |
| DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | sträng | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| Felorsak | sträng | Information som förklarar varför den inspelade åtgärden misslyckades. |
| InitierarProcesskontoDomän | sträng | Domän för det konto som körde processen som var ansvarig för händelsen. |
| InitierarProcessKontonamn | sträng | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| InitieringProcesskontoObjektId | sträng | Azure AD-objekt-ID för användarkontot som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountSid | sträng | Säkerhetsidentifierare (SID) för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcesskontoUpn | sträng | Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. |
| Initiera processkommandorad | sträng | Kommandorad som används för att köra processen som initierade händelsen. |
| Initiering av processkapningstid | datum och tid | Datum och tid då processen som initierade händelsen startades. |
| InitieraProcessFilnamn | sträng | Namnet på den process som initierade händelsen. |
| InitieringsprocessFilstorlek | lång | Storlek i byte av den process (bildfil) som initierade händelsen. |
| InitieraProcessFolderPath | sträng | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| InitieraProcessId | lång | Process-ID (PID) för den process som initierade händelsen. |
| Initieringsprocessens Integritetsnivå | sträng | Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser. |
| InitieringProcessMD5 | sträng | MD5-hash för processen (bildfilen) som initierade händelsen. |
| Initieringsprocessförälderskapandetiid | datum och tid | Datum och tid då den överordnade processen som är ansvarig för händelsen startades. |
| Initiera Process Förälder Filnamn | sträng | Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitieringsProcessFörälderId | lång | Process-ID (PID) för den överordnade processen som skapade processen som ansvarar för händelsen. |
| InitieraProcessFjärrsessionEnhetsnamn | sträng | Enhetsnamnet på den fjärrenhet som RDP-sessionen initierades från. |
| InitieraProcessRemoteSessionIP | sträng | IP-adressen för den fjärrenhet som RDP-sessionen initierades från. |
| InitieraProcessSessionId | lång | Windows-sessions-ID för den inledande processen. |
| Initiera Process SHA1 | sträng | SHA-1-hash för processen (bildfilen) som initierade händelsen. |
| InitieraProcessenSHA256 | sträng | SHA-256-hash för processen (bildfilen) som initierade händelsen. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när det är tillgängligt. |
| InitieraProcessTokenFörhöjning | sträng | Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den process som initierade händelsen. |
| InitieraProcessUniqueId | sträng | Unik identifierare för den inledande processen. detta är lika med processstartnyckeln i Windows-enheter. |
| InitieraProcessVersionsInfoFöretagsnamn | sträng | Företagsnamn från versionsinformationen för den process (bildfil) som ansvarar för händelsen. |
| InitieraProcessVersionsInfoFilBeskrivning | sträng | Beskrivning från versionsinformationen för den process (bildfil) som ansvarar för händelsen. |
| InitieraProcessVersionInfoInternFilnamn | sträng | Internt filnamn från versionsinformationen för den process (bildfil) som ansvarar för händelsen. |
| InitieringProcessVersionInfoOriginalFilnamn | sträng | Ursprungligt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| Initiera processversioninfo produktnamn | sträng | Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoProductVersion | sträng | Produktversionen enligt versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte inmatning på ditt Azure-konto |
| InitierarProcessFjärrsession | Bool | Anger om initieringsprocessen kördes under en RDP-session (Remote Desktop Protocol) (true) eller lokalt (false). |
| IsLocalAdmin | Bool | Boolesk indikator på om användaren är lokal administratör på datorn. |
| Inloggnings-ID | lång | Identifierare för en inloggningssession. Den här identifieraren är unik på samma dator endast mellan omstarter. |
| Inloggningstyp | sträng | Typ av inloggningssession, särskilt interaktiv, fjärrinteraktiv (RDP), nätverk, batch och tjänst. |
| MachineGroup (på engelska) | sträng | Maskingruppen för maskinen. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
| Protokoll | sträng | Protokoll som används under kommunikationen. |
| Fjärrenhetsnamn | sträng | Namnet på den enhet som utförde en fjärråtgärd på den berörda datorn. Beroende på vilken händelse som rapporteras kan det här namnet vara ett fullständigt domännamn (FQDN), ett NetBIOS-namn eller ett värdnamn utan domäninformation. |
| Fjärr-IP | sträng | IP-adress som var ansluten till. |
| Typ av fjärranslutnings-IP | sträng | Typ av IP-adress, till exempel Offentlig, Privat, Reserverad, Loopback, Teredo, FourToSixMapping och Broadcast. |
| RemotePort | Int | TCP-port på den fjärrenhet som var ansluten till. |
| ReportId | lång | Händelseidentifierare baserat på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna ComputerName och EventTime. |
| SourceSystem | sträng | Typen av agent som samlade in händelsen. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| HyresgästId | sträng | ID för Log Analytics-arbetsyta |
| Tidpunkt för generering | datum och tid | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Typ | sträng | Namnet på tabellen |