Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den normaliserade tabellen för Microsoft Sentinel-processhändelser lagrar händelser med hjälp av det normaliserade schema för processhändelse-ASIM som är associerat med skapande eller avslutning av en process. Sådana händelser rapporteras av operativsystem och säkerhetssystem, till exempel EDR-system (slutpunktsidentifiering och svar).
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/processeventnormalized |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| ActingProcessKommandoradlinje | sträng | Kommandoraden som används för att köra agerarprocessen. |
| YrkandeProcessSkapelseTid | datum och tid | Datum och tid då agerarprocessen startades. |
| ActingProcessFileCompany | sträng | Företaget som skapade bildfilen för skådespelarprocessen. |
| BeskrivningAvProcessfilFörTolkning | sträng | Beskrivningen som är inbäddad i versionsinformationen för den verkande processbildfilen. |
| ActingProcessFileInternalName | sträng | Produktens interna filnamn från versionsinformationen för den aktiva processbildfilen. |
| SpelarProcessfilnamn | sträng | Produktfilens namn från versionsinformationen för den aktuella processbildfilen. |
| AgerandeProcessFilOriginalnamn | sträng | Produktens ursprungliga filnamn från versionsinformationen för den verkande processbildfilen. |
| ActingProcessFilprodukt | sträng | Produktnamnet från versionsinformationen i den aktuella processbildfilen. |
| HandläggningsProcessFilStorlek | lång | Storleken på filen i byte som aktiverade processen. |
| Version för handlingsprocessfil | sträng | Produktversionen från versionsinformationen för den verkande processbildfilen. |
| ActingProcessGuide | sträng | Ett GUID för agerarprocessen. |
| ActingProcessId | sträng | Process-ID för den verkande processen. |
| ActingProcessIMPHASH | sträng | Importhash för alla biblioteks-DLL:er som används av den verkande processen. |
| AggerandeProcessInjiceradAdress | sträng | Minnesadressen där den ansvarsfulla agerar processen lagras. |
| Aktuell Processintegritetsnivå | sträng | Integritetsnivå för verkande process. |
| AgerandeProcessÄrDold | Bool | En indikator på om den agerande processen är i dolt läge. |
| ActingProcessMD5 | sträng | MD5-hashen för den verkande processbildfilen. |
| AgereProcessNamn | sträng | Namnet på skådespelarprocessen. |
| ActingProcessSHA1 | sträng | SHA-1-hashvärdet för den aktiva processbildfilen. |
| ActingProcessSHA256 | sträng | SHA-256-hashen för den verkande processbildfilen. |
| ActingProcessSHA512 | sträng | SHA-512-hashen för den verkande processbildfilen. |
| ActingProcessTokenElevation | sträng | En token som anger förekomsten eller frånvaron av behörighetshöjning för användaråtkomstkontroll (UAC) som tillämpas på den verkande processen. |
| AktörOriginalAnvändareTyp | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| ActorScope | sträng | Omfånget, till exempel Azure AD-klientorganisation, där ActorUserId och ActorUsername definieras. |
| AktörOmrådeId | sträng | Omfångs-ID:t, till exempel Azure AD-klientorganisations-ID, där ActorUserId och ActorUsername definieras. |
| SessionId för aktör | sträng | Det unika ID:t för inloggningssessionen för aktören. |
| ActorUserId | sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. |
| AktörAnvändarIdTyp | sträng | Typen av ID som lagras i fältet ActorUserId. |
| ActorUsername | sträng | Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
| AnvändarnamnstypFörAktör | sträng | Typen av aktörens användarnamn som anges i fältet ActionUsername |
| Användartyp för aktör | sträng | Typen av aktör. |
| YtterligareFält | dynamisk | Ytterligare information, som representeras med hjälp av nyckel- och värdepar som tillhandahålls av källan som inte mappas till ASim. |
| _FaktureradStorlek | äkta / verklig | Poststorleken i byte |
| DvcAction | sträng | För rapportering av säkerhetssystem, den åtgärd som vidtas av systemet. |
| DvcBeskrivning | sträng | En beskrivande text som är associerad med enheten. |
| DvcDomain | sträng | Domänen för enheten som rapporterar händelsen. |
| DvcDomainType | sträng | Typ av DvcDomain. Möjliga värden är "Windows" och "FQDN". |
| DvcFQDN | sträng | Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname | sträng | Värdnamnet för enheten som rapporterar händelsen. |
| DvcId | sträng | Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType | sträng | Typ av DvcId. |
| DvcInterface | sträng | Nätverksgränssnittet som data har avbildats på. |
| DvcIpAddr | sträng | IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr | sträng | MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction | sträng | Den ursprungliga DvcAction som tillhandahålls av den rapporterande enheten. |
| DvcOs | sträng | Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion | sträng | Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope | sträng | Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcScopeId | sträng | Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone | sträng | Nätverket där händelsen inträffade eller som rapporterade händelsen. |
| Antal evenemang | heltal | Antalet händelser som beskrivs av registeret. |
| Händelsens sluttid | datum och tid | Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning. |
| HändelseUrsprungligaResultatDetaljer | sträng | Den ursprungliga resultatinformationen som tillhandahålls av källan. |
| EventOriginalSeverity | sträng | Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. |
| HändelseOriginalSubTyp | sträng | Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. |
| EvenemangOriginalTyp | sträng | Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid | sträng | Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
| Ägaren av Evenemanget | sträng | Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| Evenemangsproduktversion | sträng | Den version av produkten som genererar händelsen. |
| EventrapportUrl | sträng | En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| Händelseresultat | sträng | Resultatet av händelsen, som representeras av något av följande värden: Framgång, Delvis, Misslyckande, NA (Ej tillämpligt). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| Händelseresultatdetaljer | sträng | Orsak eller information för resultatet som rapporteras i fältet EventResult. |
| EventSchemaversion | sträng | Versionen av schemat. |
| EventSeverity | sträng | Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| Händelsestarttid | datum och tid | Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| Händelseundertyp | sträng | Beskriver en indelning av åtgärden som rapporteras i fältet EventType. |
| Händelsetyp | sträng | Beskriver operationen som rapporterats av dataposten |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| Tidpunkt för skapande av överordnad process | datum och tid | Datum och tid då den överordnade processen startades. |
| ParentProcessFileCompany | sträng | Företaget som skapade den övergripande processens bildfil. |
| Beskrivning av överordnad processfil | sträng | Beskrivningen från versionsinformationen för huvudprocessens bildfil. |
| ParentProcessFileProduct | sträng | Produktnamnet från versionsinformationen i den överordnade processbildfilen. |
| ParentProcessFileVersion | sträng | Produktversionen från versionsinformationen för den överordnade processbildfilen. |
| Föräldraprocessguid | sträng | Ett GUID för den överordnade processen. |
| ParentProcessId | sträng | Process-ID för den överordnade processen. |
| ParentProcessIMPHASH | sträng | Importhash för alla biblioteks-DLL:er som används av den överordnade processen. |
| Adressen injicerad i huvudprocessen | sträng | Minnesadressen där den ansvariga huvudprocessen lagras. |
| ParentProcessIntegrityLevel (föräldraprocessens integritetsnivå) | sträng | Integritetsnivå för överordnad process. |
| Föräldraprocessen är dold | Bool | En indikation på om den överordnade processen är i dolt läge. |
| ParentProcessMD5 | sträng | MD5-hashen för den överordnade processbildfilen. |
| Föräldraprocessnamn | sträng | Namnet på den överordnade processen. |
| ParentProcessSHA1 | sträng | SHA-1-hashen för föräldraprocessens bildfil. |
| ParentProcessSHA256 | sträng | SHA-256-hashvärdet för den överordnade processens bildfil. |
| ParentProcessSHA512 | sträng | SHA-512-hashen för den överordnade processbildfilen. |
| ParentProcessTokenförhöjning | sträng | En token som anger förekomsten eller frånvaron av behörighetshöjning för användaråtkomstkontroll (UAC) som tillämpas på den överordnade processen. |
| _Resurs-id | sträng | En unik identifierare för resursen som posten är associerad med |
| Regelnamn | sträng | Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| Regelnummer | heltal | Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem | sträng | Agenttypen som användes för att samla in händelsen. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| _Prenumerations-ID | sträng | En unik identifierare för prenumerationen som posten är ansluten till |
| TargetOriginalUserType | sträng | Användartypen som rapporteras av rapporteringsenheten. |
| TargetProcessCommandLine | sträng | Kommandoraden som används för att köra målprocessen. |
| Målprocessskapelsetid | datum och tid | Datum och tid då målprocessen startades. |
| TargetProcessAktuellKatalog | sträng | Den aktuella katalogen där målprocessen körs. |
| TargetProcessFileCompany | sträng | Företaget som skapade målprocessbildfilen. |
| Målfilsprocessbeskrivning | sträng | Beskrivningen från versionsinformationen för målprocessbildfilen. |
| TargetProcessFileInternalName | sträng | Produktens interna filnamn från versionsinformationen för målprocessbildfilen. |
| TargetProcessFilename | sträng | Produktfilens namn från versionsinformationen för målprocessbildfilen. |
| TargetProcessFilOriginalNamn | sträng | Produktens ursprungliga filnamn från versionsinformationen för målprocessbildfilen. |
| TargetProcessFileProduct | sträng | Produktnamnet från versionsinformationen i målprocessbildfilen. |
| TargetProcessFileSize | lång | Storleken på filen i byte som körde processen som var ansvarig för händelsen. |
| TargetProcessFileVersion | sträng | Produktversionen från versionsinformationen för målprocessbildfilen. |
| TargetProcessGuid | sträng | Ett GUID för målprocessen. |
| TargetProcessId | sträng | Process-ID för målprocessen. |
| TargetProcessIMPHASH | sträng | Importhash för alla biblioteks-DLL:er som används av målprocessen. |
| TargetProcessInjectedAddress (MålprocessInjiceradAdress) | sträng | Minnesadressen där den aktuella målprocessen lagras. |
| TargetProcessIntegrityNivå | sträng | Integritetsnivå för målprocessen. |
| MålprocessenÄrDold | Bool | En indikation på om målprocessen är i dolt läge. |
| TargetProcessMD5 | sträng | MD5-hashen för målprocessbildfilen. |
| TargetProcessName | sträng | Namnet på målprocessen. |
| TargetProcessSHA1 | sträng | SHA-1-hashen för målprocessbildfilen. |
| TargetProcessSHA256 | sträng | SHA-256-hashen för målprocessbildfilen. |
| TargetProcessSHA512 | sträng | SHA-512-hashen för målprocessbildfilen. |
| TargetProcessStatusCode | sträng | Slutkoden som returnerades av målprocessen när denna avslutades. |
| TargetProcessTokenElevation | sträng | En token som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på målprocessen. |
| TargetScope | sträng | Omfånget, till exempel Azure AD-klientorganisationen, där TargetUserId och TargetUsername definieras. |
| MålomfångId | sträng | Omfångs-ID:t, till exempel Azure AD-klient-ID, där TargetUserId och TargetUsername definieras. |
| Målanvändar-ID | sträng | En maskinläsbar, alfanumerisk, unik representation av aktören. |
| MålAnvändarIdTyp | sträng | Typen av ID som lagras i fältet TargetUserId. |
| TargetUsername | sträng | Målaktörens användarnamn, inklusive domänuppgifter när det är tillgängligt. |
| MålAnvändarnamnTyp | sträng | Typen av målskådespelarens användarnamn som anges i fältet TargetUsername |
| Målanvändarsessions-GUID | sträng | Det unika guid för inloggningssessionen för målskådespelaren. |
| Målanvändarsessions-ID | sträng | Det unika ID:t för inloggningssessionen för målskådespelaren. |
| Målbrukartyp | sträng | Typen av målskådespelare. |
| HyresgästId | sträng | ID för Log Analytics-arbetsyta |
| Hotkategori | sträng | Kategorin för det hot eller skadlig kod som identifieras i aktiviteten. |
| ThreatConfidence | heltal | Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField | sträng | Fältet som ett hot identifierades för. |
| TidFörstRapporteradeHotet | datum och tid | Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId | sträng | ID:t för det hot eller den skadliga kod som identifieras i aktiviteten. |
| HotÄrAktivt | Bool | Verifierad ID det identifierade hotet betraktas som ett aktivt hot. |
| TidpunktFörSenasteRapporteradeHotet | datum och tid | Senast IP-adressen eller domänen identifierades som ett hot. |
| Hotnamn | sträng | Namnet på det hot eller den skadliga kod som identifieras i aktiviteten. |
| Hotets Ursprungliga Självförtroende | sträng | Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| HotOriginalRiskNivå | sträng | Risknivån som rapporteras av rapporteringsenheten. |
| Hotrisknivå | heltal | Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| Tidpunkt för generering | datum och tid | Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ | sträng | Namnet på tabellen |