Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта таблица является частью Microsoft Defender для конечных точек с использованием Azure Sentinel. Эта таблица содержит несколько типов событий, включая события, вызванные мерами безопасности, такими как Windows Defender Antivirus и защита от эксплуатации.
Атрибуты таблицы
| атрибут | значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Да |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| ОбластьУчётнойЗаписи | строка | Домен учетной записи. |
| ИмяАккаунта | строка | Имя пользователя учетной записи. |
| AccountSid (Идентификатор аккаунта) | строка | Идентификатор безопасности (SID) учетной записи. |
| ТипДействия | строка | Тип деятельности, вызвавшая событие. |
| ДополнительныеПоля | динамичный | Дополнительная информация о сущности или событии. |
| ИдентификаторКонтейнераAppGuard | строка | Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции активности браузера. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| ИдентификаторСозданногоПроцессаСеанса | долго | Идентификатор сеанса Windows созданного процесса. |
| DeviceId | строка | Уникальный идентификатор устройства в сервисе. |
| Название устройства | строка | Полное доменное имя (FQDN) устройства. |
| Имя файла | строка | Домен учетной записи. |
| IP-адрес происхождения файла | строка | IP-адрес, с которого был загружен файл. |
| URLИсточникаФайла | строка | URL, откуда был загружен файл. |
| Размер файла | долго | Размер файла в байтах. |
| Путь к папке | строка | Домен учетной записи. |
| ДоменУчетнойЗаписиЗапускаемогоПроцесса | строка | Домен учетной записи, под которой был запущен процесс, отвечающий за событие. |
| ИмяУчётнойЗаписиЗапускаемогоПроцесса | строка | Имя пользователя учетной записи, который запускал процесс, ответственный за событие. |
| Идентификатор объекта учётной записи инициирующего процесса | строка | Идентификатор объекта Azure AD учетной записи пользователя, который запустил процесс, ответственный за событие. |
| Запуск ProcessAccountSid | строка | Идентификатор безопасности (SID) учетной записи, под которой был выполнен процесс, ответственный за событие. |
| ИнициирующийПроцессАккаунтУПН | строка | Имя пользователя (UPN) аккаунта, который запустил процесс, ответственный за событие. |
| Командная строка инициирующего процесса | строка | Командная строка, использованная для запуска процесса, который инициировал событие. |
| Время создания запускающего процесса | дата и время | Дата и время запуска процесса, который инициировал событие. |
| ИмяФайлаИнициирующегоПроцесса | строка | Название процесса, инициировавшего событие. |
| РазмерФайлаИнициирующегоПроцесса | долго | Размер в байтах файла, который выполнил процесс, ответственный за событие. |
| Инициирование ProcessFolderPath | строка | Папка, содержащая процесс (файл образа), который инициировал событие. |
| ИдентификаторЗапускающегоПроцесса | долго | Идентификатор процесса (PID) процесса, который инициировал событие. |
| ИнициализацияПроцессаLogonId | долго | Идентификатор сеанса входа в систему процесса, который инициировал событие. Этот идентификатор уникален на одной машине только между перезапусками. |
| Инициирование ProcessMD5 | строка | MD5-хэш процесса (образ файла), который инициировал событие. |
| Время создания родителя инициирующего процесса | дата и время | Дата и время запуска родителя процесса, отвечающего за событие. |
| Имя файла родителя инициирующего процесса | строка | Имя родительского процесса, который породил процесс, ответственный за событие. |
| ИнициирующийПроцессРодительскийId | долго | Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие. |
| ИнициированиеПроцессаУдаленнойСессииИмяУстройства | строка | Название устройства удаленного устройства, с которого инициируемая процессом сессия RDP была начата. |
| ИнициализацияПроцессаУдаленнойСессииIP | строка | IP-адрес удаленного устройства, с которого была инициирована RDP-сессия запускающего процесса. |
| Инициирование сеанса процесса с идентификатором ProcessSessionId | долго | Идентификатор сеанса Windows для инициирующего процесса. |
| ИнициирующийПроцессSHA1 | строка | Хеш SHA-1 процесса (файла изображения), который инициировал событие. |
| ИнициированиеПроцессаSHA256 | строка | Хэш SHA-256 процесса (файла образа), который инициировал событие. Это поле обычно не заполняется - используйте колонку SHA1, если она доступна. |
| ИнициированиеProcessUniqueId | строка | Уникальный идентификатор процесса инициации; Это равно ключу запуска процесса на устройствах Windows. |
| Инициирование ProcessVersionInfoCompanyName | строка | Название компании из информации о версии процесса (файла изображения), ответственного за событие. |
| Инициирование описания файла версии процесса | строка | Описание из информации о версии процесса (исполняемого файла), ответственного за событие. |
| ИнициированиеИнформацияВерсииПроцессаВнутреннееИмяФайла | строка | Внутреннее имя файла из информации о версии процесса (изображение файла), ответственного за событие. |
| ИнициированиеProcessVersionInfoOriginalFileName | строка | Исходное имя файла из сведений о версии процесса (файла образа), ответственного за событие. |
| ЗапускProcessVersionInfoProductName | строка | Название продукта из информации о версии процесса (файла изображения), ответственного за событие. |
| Инициирование процесса VersionInfoProductVersion | строка | Версия продукта из информации о версии процесса (файла изображения), отвечающего за событие. |
| _ПодлежитУчету | строка | Указывает, является ли прием данных платным. Когда _IsBillable имеет значение false, потребление не учитывается в вашем аккаунте Azure. |
| If translation is needed: ИнициируетПроцессУдаленнойСессии | булевая переменная (bool) | Указывает, был ли запущен процесс инициирования в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| IsProcessRemoteSession (если это технический термин, то может оставаться на английском, иначе возможны другие варианты перевода) | булевая переменная (bool) | Указывает, был ли созданный процесс запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| Локальный IP | строка | IP-адрес, назначенный локальной машине, используемой для связи. |
| Локальный порт | инт | TCP порт на локальном компьютере, используемый во время коммуникации. |
| Идентификатор входа | долго | Идентификатор сеанса входа. Этот идентификатор уникален на одной машине только между перезапусками. |
| MachineGroup | строка | Группа машин Эта группа используется ролевым управлением доступом для определения доступа к машине. |
| MD5 | строка | Хеш MD5 файла, к которому было применено записанное действие. |
| ProcessCommandLine | строка | Используемая командная строка для создания нового процесса. |
| ВремяСозданияПроцесса | дата и время | Дата и время создания процесса. |
| ProcessId | долго | Идентификатор процесса (PID) созданного процесса. |
| Имя устройства удалённого сеанса процесса | строка | Название устройства удалённого устройства, с которого была инициирована сессия RDP созданного процесса. |
| ProcessRemoteSessionIP | строка | IP-адрес удаленного устройства, с которого был инициирован сеанс RDP созданного процесса. |
| ProcessTokenElevation | строка | Тип токена, указывающий на наличие или отсутствие повышения привилегий UAC, применённого к вновь созданному процессу. |
| Ключ реестра | строка | Ключ реестра, к которому было применено записанное действие. |
| ДанныеЗначенияРеестра | строка | Данные значения реестра, к которым было применено записанное действие. |
| ИмяПараметраРеестра | строка | Название значения реестра, к которому было применено записанное действие. |
| ИмяУдалённогоУстройства | строка | Название устройства, которое выполнило удалённую операцию на пострадавшей машине. В зависимости от сообщения о событии, это имя может быть полностью квалифицированным доменным именем (FQDN), именем NetBIOS или именем хоста без информации о домене. |
| Удаленный IP-адрес | строка | IP-адрес, к которому осуществлялось подключение. |
| RemotePort | инт | TCP порт на удаленном устройстве, к которому выполнялось подключение. |
| RemoteUrl | строка | URL или полное доменное имя (FQDN), к которому выполнялось подключение. |
| ReportId | долго | Идентификатор события, основанный на повторяющемся счетчике. Чтобы определить уникальные события, этот столбец должен использоваться вместе со столбцами ComputerName и EventTime. |
| SHA1 | строка | SHA-1 хэш файла, к которому было применено записанное действие. |
| SHA256 | строка | SHA-256 файла, к которому было применено зафиксированное действие. |
| SourceSystem | строка | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows, как с прямым подключением, так и с Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics. |
| Идентификатор арендатора | строка | ID рабочей области Log Analytics |
| Время генерации | дата и время | Дата и время, когда событие было зарегистрировано агентом MDE на конечной точке. |
| Тип | строка | Название таблицы |