ASim过程事件日志

Microsoft Sentinel 进程事件规范化表使用与进程创建或终止关联的进程事件 ASIM 规范化架构存储事件。 此类事件由操作系统和安全系统报告,例如 EDR(终结点检测和响应)系统。

表属性

特征
资源类型 microsoft.securityinsights/processeventnormalized
类别 安全性
解决方案 SecurityInsights
基本日志
引入时转换
示例查询 -

类型 说明
执行进程命令行 字符串 用于运行操作进程的命令行。
“ActingProcessCreationTime” 日期/时间 操作进程的开始日期和时间。
“ActingProcessFileCompany” 字符串 创建了操作进程映像文件的公司。
“ActingProcessFileDescription” 字符串 嵌入在操作进程映像文件的版本信息中的说明。
“ActingProcessFileInternalName” 字符串 操作进程映像文件的版本信息中的产品内部文件名。
正在运行的进程文件名 字符串 来自操作进程映像文件的版本信息的产品文件名。
“ActingProcessFileOriginalName” 字符串 操作进程映像文件的版本信息中的产品原始文件名。
“ActingProcessFileProduct” 字符串 操作进程映像文件中的版本信息中的产品名称。
“ActingProcessFileSize” 长整型 运行操作进程的文件大小(以字节为单位)。
“ActingProcessFileVersion” 字符串 操作进程映像文件的版本信息中的产品版本。
“ActingProcessGuid” 字符串 操作进程的 GUID。
执行过程编号 字符串 操作进程的进程 ID。
“ActingProcessIMPHASH” 字符串 操作进程使用的所有库 DLL 的导入哈希。
“ActingProcessInjectedAddress” 字符串 在其中存储负责的操作进程的内存地址。
“ActingProcessIntegrityLevel” 字符串 操作进程的完整性级别。
“ActingProcessIsHidden” 布尔 指示操作进程是否处于隐藏模式。
“ActingProcessMD5” 字符串 操作进程映像文件的 MD5 哈希。
“ActingProcessName” 字符串 操作进程的名称。
“ActingProcessSHA1” 字符串 操作进程映像文件的 SHA-1 哈希。
“ActingProcessSHA256” 字符串 操作进程映像文件的 SHA-256 哈希。
“ActingProcessSHA512” 字符串 操作进程映像文件的 SHA-512 哈希。
“ActingProcessTokenElevation” 字符串 指示是否存在应用于操作进程的用户访问控制 (UAC) 特权提升的令牌。
ActorOriginalUserType 字符串 报告设备报告的用户类型。
ActorScope 字符串 定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。
ActorScopeId 字符串 在其中定义了 ActorUserId 和 ActorUsername 的范围 ID(例如 Azure AD 租户 ID)。
“ActorSessionId” 字符串 参与者登录会话的唯一 ID。
ActorUserId 字符串 参与者的计算机可读的唯一字母数字表示形式。
演员用户ID类型 字符串 ActorUserId 字段中存储的 ID 的类型。
演员用户名 字符串 参与者的用户名,包括域信息(如果可用)。
演员用户名类型 (ActorUsernameType) 字符串 ActionUsername 字段中指定的参与者的用户名的类型
演员用户类型 字符串 参与者的类型。
附加字段 动态 附加信息,使用源提供的不映射到 ASim 的键和值对表示。
_BilledSize(账单大小) 真实 记录大小(字节)
DvcAction 字符串 对于报告安全系统,为系统执行的操作。
DvcDescription 字符串 与设备关联的描述性文本。
DvcDomain 字符串 报告事件的设备的域。
DvcDomainType 字符串 DvcDomain 的类型。 可能的值包括“Windows”和“FQDN”。
DvcFQDN 字符串 发生了事件或报告了事件的设备的主机名。
DvcHostname 字符串 报告事件的设备的主机名。
“DvcId” 字符串 发生了事件或报告了事件的设备的唯一 ID。
DvcIdType 字符串 DvcId 的类型。
DvcInterface 字符串 捕获数据的网络接口。
DvcIpAddr 字符串 报告事件的设备的 IP 地址。
DvcMacAddr 字符串 发生了事件或报告了事件的设备的 MAC 地址。
DvcOriginalAction 字符串 报告设备提供的原始 DvcAction。
DvcOs 字符串 发生了事件或报告了事件的设备上运行的操作系统。
DvcOsVersion 字符串 发生了事件或报告了事件的设备上的操作系统版本。
DvcScope 字符串 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
DvcScopeId 字符串 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
DvcZone 字符串 发生了事件或报告了事件的网络。
事件计数 整数 (int) 记录描述的事件数。
事件结束时间 日期/时间 事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
事件信息 字符串 常规消息或说明。
事件原始结果详情 字符串 源提供的原始结果详细信息。
EventOriginalSeverity 字符串 报告设备提供的原始严重性。
事件原始子类型 字符串 原始事件子类型或 ID(如果已由源提供)。
“EventOriginalType” 字符串 原始事件类型或 ID(如果已由源提供)。
EventOriginalUid 字符串 原始记录的唯一 ID(如果已由源提供)。
活动主办方 字符串 事件的所有者,通常是生成事件的部门或子公司。
EventProduct 字符串 生成事件的产品。
事件产品版本 字符串 生成事件的产品的版本。
事件报告链接 字符串 在资源的事件中提供的 URL,提供有关该事件的更多信息。
事件结果 字符串 事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。
事件结果详情 字符串 EventResult 字段中报告的结果的原因或详细信息。
事件模式版本 字符串 架构的版本。
EventSeverity 字符串 事件的严重性。 有效值为:信息、低、中或高。
事件开始时间 日期/时间 事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
事件子类型 字符串 描述 EventType 字段中报告的操作的细分。
事件类型 字符串 描述记录报告的操作
EventVendor 字符串 生成事件的产品的供应商。
_是否计费 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
“ParentProcessCreationTime” 日期/时间 父进程的开始日期和时间。
“ParentProcessFileCompany” 字符串 创建父进程映像文件的公司。
“ParentProcessFileDescription” 字符串 父进程映像文件的版本信息中的描述。
“ParentProcessFileProduct” 字符串 父进程映像文件中版本信息中的产品名称。
“ParentProcessFileVersion” 字符串 父进程映像文件中版本信息中的产品版本。
“ParentProcessGuid” 字符串 父进程的 GUID。
父进程ID 字符串 父进程的进程 ID。
“ParentProcessIMPHASH” 字符串 父进程使用的所有库 DLL 的导入哈希。
“ParentProcessInjectedAddress” 字符串 在其中存储负责的父进程的内存地址。
“ParentProcessIntegrityLevel” 字符串 父进程的完整性级别。
“ParentProcessIsHidden” 布尔 指示父进程是否处于隐藏模式。
“ParentProcessMD5” 字符串 父进程映像文件的 MD5 哈希。
父进程名称 字符串 父进程的名称。
“ParentProcessSHA1” 字符串 父进程映像文件的 SHA-1 哈希。
“ParentProcessSHA256” 字符串 父进程映像文件的 SHA-256 哈希。
“ParentProcessSHA512” 字符串 父进程映像文件的 SHA-512 哈希。
“ParentProcessTokenElevation” 字符串 指示是否存在应用于父进程的用户访问控制 (UAC) 特权提升的令牌。
_资源ID 字符串 与记录关联的资源的唯一标识符
规则名称 字符串 与检查结果关联的规则的名称或 ID。
规则编号 整数 (int) 与检查结果关联的规则的数量。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
_SubscriptionId(订阅编号) 字符串 与记录关联的订阅的唯一标识符
目标原始用户类型 字符串 报告设备报告的用户类型。
TargetProcessCommandLine 字符串 用于运行目标进程的命令行。
“TargetProcessCreationTime” 日期/时间 目标进程启动的日期和时间。
TargetProcessCurrentDirectory 字符串 在其中执行目标进程的当前目录。
“TargetProcessFileCompany” 字符串 创建目标进程映像文件的公司。
“TargetProcessFileDescription” 字符串 目标进程映像文件的版本信息中的描述。
“TargetProcessFileInternalName” 字符串 来自目标进程映像文件的版本信息的产品内部文件名。
目标进程文件名 字符串 来自目标进程映像文件的版本信息的产品文件名。
“TargetProcessFileOriginalName” 字符串 来自目标进程映像文件的版本信息的产品原始文件名。
“TargetProcessFileProduct” 字符串 目标进程映像文件中版本信息中的产品名称。
“TargetProcessFileSize” 长整型 运行负责事件的进程的文件的大小(以字节为单位)。
“TargetProcessFileVersion” 字符串 目标进程映像文件的版本信息中的产品版本。
“TargetProcessGuid” 字符串 目标进程的 GUID。
“TargetProcessId” 字符串 目标进程的进程 ID。
“TargetProcessIMPHASH” 字符串 目标进程使用的所有库 DLL 的导入哈希。
“TargetProcessInjectedAddress” 字符串 在其中存储负责的目标进程的内存地址。
“TargetProcessIntegrityLevel” 字符串 目标进程的完整性级别。
“TargetProcessIsHidden” 布尔 指示目标进程是否处于隐藏模式。
“TargetProcessMD5” 字符串 目标进程映像文件的 MD5 哈希。
“TargetProcessName” 字符串 目标进程的名称。
“TargetProcessSHA1” 字符串 目标进程映像文件的 SHA-1 哈希。
“TargetProcessSHA256” 字符串 目标进程映像文件的 SHA-256 哈希。
TargetProcessSHA512 字符串 目标进程映像文件的 SHA-512 哈希。
TargetProcessStatusCode 字符串 目标进程在终止时返回的退出代码。
“TargetProcessTokenElevation” 字符串 令牌,指示是否存在应用于目标进程的用户访问控制 (UAC) 特权提升。
目标范围 字符串 定义 TargetUserId 和 TargetUsername 的范围,例如 Azure AD 租户。
TargetScopeId 字符串 在其中定义了 TargetUserId 和 TargetUsername 的范围 ID(例如 Azure AD 租户 ID)。
目标用户ID 字符串 参与者的计算机可读的唯一字母数字表示形式。
“TargetUserIdType” 字符串 TargetUserId 字段中存储的 ID 的类型。
目标用户名 字符串 目标参与者的用户名,包括域信息(如果可用)。
目标用户名类型 字符串 TargetUsername 字段中指定的目标参与者的用户名的类型
TargetUserSessionGuid 字符串 目标参与者登录会话的唯一 GUID。
“TargetUserSessionId” 字符串 目标参与者登录会话的唯一 ID。
目标用户类型 字符串 目标参与者的类型。
租户ID 字符串 Log Analytics 工作区 ID
威胁类别 字符串 在活动中识别到的威胁或恶意软件的类别。
威胁可信度 整数 (int) 已识别威胁的可信度,规范化为 0 到 100 之间的值。
威胁领域 (ThreatField) 字符串 已识别出威胁的字段。
威胁首次报告时间 日期/时间 IP 地址或域首次被识别为威胁的时间。
威胁编号 (ThreatId) 字符串 在活动中识别到的威胁或恶意软件的 ID。
威胁处于活跃状态 布尔 已识别威胁被视为活动威胁的真实 ID。
威胁上次报告时间 日期/时间 上次将 IP 地址或域识别为威胁的时间。
威胁名称 字符串 在活动中识别到的威胁或恶意软件的名称。
威胁原始信心 字符串 报告设备报告的已识别威胁的原始可信度。
威胁原始风险等级 字符串 报告设备报告的风险级别。
威胁风险级别 整数 (int) 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。
TimeGenerated 日期/时间 时间戳 (UTC),反映生成事件的时间。
类型 字符串 表的名称