Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица Microsoft Defender для конечных точек (MDE) для общих событий Windows. Поля необработанных событий доступны в столбце AdditionalFields.
Атрибуты таблицы
| Атрибут | значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | AzureSentinelDSRE |
| Базовый журнал | Да |
| Преобразование в момент загрузки | Да |
| Примеры запросов | - |
Колонны
| Колонка | Тип | Описание |
|---|---|---|
| AccountSid (Идентификатор аккаунта) | струна | Идентификатор безопасности (SID) учетной записи. |
| ДополнительныеПоля | динамичный | Дополнительная информация о сущности или событии. |
| ИдентификаторКонтейнераAppGuard | струна | Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции активности браузера. |
| _BilledSize (Размер счета) | реальный | Размер записи в байтах |
| DeviceId | струна | Уникальный идентификатор устройства в сервисе. |
| Имя устройства | струна | Полное доменное имя (FQDN) устройства. |
| EventId | длинный | Содержит уникальный идентификатор события. |
| ДоменАккаунтаИнициирующегоПроцесса | струна | Домен учетной записи, которая запускала процесс, ответственный за событие. |
| Имя процесса создания учетной записи | струна | Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие. |
| Идентификатор объекта учётной записи инициирующего процесса | струна | Идентификатор объекта Azure AD учетной записи пользователя, которая запустила процесс, отвечающий за событие. |
| Идентификатор SID учетной записи процесса инициирования | струна | Идентификатор безопасности (SID) учетной записи, которая запустила процесс, ответственный за событие. |
| ИнициирующийПроцессУчетнаяЗаписьUpn | струна | Имя основного пользователя (UPN) учетной записи, которое запустило процесс, ответственный за событие. В Active Directory UPN — это имя системного пользователя в формате адреса электронной почты (например: [email protected]) |
| Инициирование ProcessFolderPath | струна | Папка, содержащая процесс (файл изображения), который инициировал событие. |
| ИдентификаторПроцессаИнициирования | длинный | Идентификатор процесса (PID) процесса, который инициировал событие. |
| ИдентификаторВходаЗапускающегоПроцесса | длинный | Идентификатор для сеанса входа в систему процесса, который инициировал событие. Этот идентификатор является уникальным на одной и той же машине только между перезапусками. |
| Инициирование ProcessMD5 | струна | MD5-хэш процесса (файла-образа), инициировавшего событие. |
| Имя файла родителя инициирующего процесса | струна | Имя родительского процесса, который запустил процесс, отвечающий за событие. |
| ИнициирующийПроцессРодительскийId | длинный | Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
| Инициализация процесса SHA1 | струна | Хеш SHA-1 процесса (файла изображения), который инициировал событие. |
| _ПодлежитУчету | струна | Указывает, является ли ввод данных платным. Когда _IsBillable равно false, потребление не списывается с вашего счёта в Azure. |
| Локальный IP-адрес | струна | IP-адрес, назначенный локальному компьютеру для использования в ходе коммуникации. |
| Локальный порт | инт | TCP-порт на локальном компьютере, используемом во время обмена данными. |
| MachineGroup | струна | Группа машин устройства. Эта группа используется контролем доступа на основе ролей для определения доступа к машине. |
| ProcessCommandLine | струна | Командная строка, использованная для создания нового процесса. |
| ИмяУдалённогоУстройства | струна | Название устройства, которое выполнило дистанционную операцию на пострадавшей машине. В зависимости от отчётного события это имя может быть полным доменным именем (FQDN), именем NetBIOS или именем хоста без доменной информации. |
| Удаленный IP-адрес | струна | IP-адрес, к которому было осуществлено подключение. |
| RemotePort | инт | TCP-порт на удаленном устройстве, к которому устанавливалось соединение. |
| ReportId | длинный | Уникальный идентификатор для события. |
| SourceSystem | струна | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows, либо прямое подключение, либо Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics. |
| Идентификатор арендатора | струна | Идентификатор пространства работы Log Analytics |
| Время генерации | дата и время | Дата и время записи события агентом MDE в конечной точке. |
| Тип | струна | Название таблицы |