Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Defender för Endpoint skriptkörningshändelsetabell (MDE) för scenariot med anpassad insamling. Den här tabellen innehåller information om skriptkörning och relaterad processinformation för allt som uttryckligen begärs av kunden för insamling.
Attributer för tabeller
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Intagstidsförvandling | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Åtgärdstyp | snöre | Typ av aktivitet som utlöste händelsen. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| DeviceId | snöre | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | snöre | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| Initiering av ProcesskontoDomän | snöre | Domän för det konto som körde processen som var ansvarig för händelsen. |
| Initierande Processkontonamn | snöre | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| Initiera processkontoobjekts-ID | snöre | Azure AD-objekt-ID för det användarkonto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountSID | snöre | Säkerhetsidentifierare (SID) för det konto som körde processen som var ansvarig för händelsen. |
| Initiera ProcesskontoUpn | snöre | Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcesskommandorad | snöre | Kommandoraden som användes för att köra processen som initierade händelsen. |
| InitieringsprocessensSkapandetid | tidpunkt | Datum och tid då processen som initierade händelsen startades. |
| Initiationsprocessfilnamn | snöre | Namnet på processen som initierade händelsen. |
| Initierande Processfilstorlek | lång | Storleken på den process (bildfil) som initierade händelsen. |
| InitieraProcessensMappsökväg | snöre | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| PåbörjarProcessId | lång | Process-ID (PID) för processen som initierade händelsen. |
| InitieringProcessMD5 | snöre | MD5-hash av processen (bildfilen) som initierade händelsen. |
| Initieringsprocessförälderskapandetiid | tidpunkt | Datum och tid då den överordnade processen som är ansvarig för händelsen startades. |
| Initiera Process Förälder Filnamn | snöre | Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitieringsprocessensFörälderId | lång | Process-ID (PID) för den förälderprocess som skapade den process som är ansvarig för händelsen. |
| Initiera Process SHA1 | snöre | SHA-1-hash av processen (bildfilen) som initierade händelsen. |
| InitierarProcessSHA256 | snöre | SHA-256-hash för processen (bildfilen) som initierade händelsen. Detta fält är vanligtvis inte ifyllt - använd kolumnen SHA1 när den är tillgänglig. |
| InitierandeProcessSignaturStatus | snöre | Information om signaturstatusen för processen (bildfilen) som initierade händelsen. |
| InitieraProcessSignerType | snöre | Typ av filsignerare för processen (bildfil) som initierade händelsen. |
| InitieringProcessVersionInfoFöretagsnamn | snöre | Företagsnamn från versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| InitieringProcessVersionInfoFilbeskrivning | snöre | Beskrivning från versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| InitieraProcessVersionInfoInternFilnamn | snöre | Internt filnamn från versionsinformationen för den process (bildfil) som ansvarar för händelsen. |
| InitieringProcessVersionInfoOriginalFilnamn | snöre | Ursprungligt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| Initiera Processversioninfo Produktnamn | snöre | Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| Versionsinformation för initieringsprocessens produktversion | snöre | Produktversion enligt versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| ReportId | lång | Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
| RegelSenasteÄndringstid | tidpunkt | Datum och tid då regeln som samlade in händelsen senast ändrades. |
| Regelnamn | snöre | Namnet på regeln som samlade in händelsen |
| ScriptContent | snöre | Innehållet i det körda skriptet. |
| ScriptContentSHA256 | snöre | SHA256 över skriptinnehållet. |
| Källsystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| Tidpunkt för generering | tidpunkt | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Tidsstämpel | tidpunkt | Datum och tid då registerposten genererades. |
| Typ | snöre | Tabellens namn |