你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
针对自定义集合应用场景的 Microsoft Defender for Endpoints (MDE) 脚本执行事件表。 此表包含有关脚本执行情况和相关进程的详细信息,以便获取客户明确要求收集的数据。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | 日志管理 |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| 操作类型 | 字符串 | 触发事件的活动类型。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| DeviceId | 字符串 | 设备在服务中的唯一标识符。 |
| 设备名称 | 字符串 | 设备的完全限定的域名 (FQDN)。 |
| InitiatingProcessAccountDomain | 字符串 | 运行对事件负责的进程的账户域。 |
| 启动进程账户名称 | 字符串 | 运行负责事件的进程的账户的用户名。 |
| InitiatingProcessAccountObjectId (初始化进程账户对象ID) | 字符串 | 运行负责事件的进程的用户帐户的 Azure AD 对象 ID。 |
| InitiatingProcessAccountSid | 字符串 | 运行负责事件的进程的帐户的安全标识符 (SID)。 |
| InitiatingProcessAccountUpn | 字符串 | 运行生成事件的进程的账户的用户主体名称 (UPN)。 |
| 启动进程命令行 | 字符串 | 用于运行启动事件的进程的命令行。 |
| 启动进程创建时间 | 日期/时间 | 启动事件的进程的启动日期和时间。 |
| 启动进程文件名 (InitiatingProcessFileName) | 字符串 | 启动事件的进程的名称。 |
| 启动进程文件大小 | 长整型 | 启动事件的进程(图像文件)的大小。 |
| 启动进程文件夹路径 | 字符串 | 包含启动事件的进程(映像文件)的文件夹。 |
| 启动进程标识 | 长整型 | 启动事件的进程的 PID(进程 ID)。 |
| InitiatingProcessMD5 | 字符串 | 启动事件的进程(映像文件)的 MD5 哈希。 |
| InitiatingProcessParentCreationTime | 日期/时间 | 事件相关的进程的父进程启动的日期和时间。 |
| 发起进程父文件名 | 字符串 | 生成负责事件的进程的父进程的名称。 |
| 启动进程父ID | 长整型 | 生成事件相关进程的父进程的进程 ID (PID)。 |
| InitiatingProcessSHA1 | 字符串 | 启动事件的进程(映像文件)的 SHA-1 哈希。 |
| InitiatingProcessSHA256 | 字符串 | 生成事件的进程(镜像文件)的 SHA-256 哈希值。 通常不会填充此字段 - 在可用时使用 SHA1 列。 |
| InitiatingProcessSignatureStatus | 字符串 | 有关启动事件的进程(映像文件)的签名状态的信息。 |
| InitiatingProcessSignerType | 字符串 | 启动事件的进程(映像文件)的文件签名者的类型。 |
| InitiatingProcessVersionInfoCompanyName | 字符串 | 负责事件的进程(映像文件)的版本信息中的公司名称。 |
| 启动进程版本信息文件描述 | 字符串 | 事件相关进程(映像文件)版本信息中的描述。 |
| InitiatingProcessVersionInfoInternalFileName | 字符串 | 负责事件的进程(映像文件)的版本信息中的内部文件名。 |
| 启动进程版本信息原始文件名 | 字符串 | 事件相关的进程(图像文件)版本信息中的原始文件名。 |
| InitiatingProcessVersionInfoProductName | 字符串 | 负责事件的进程(映像文件)的版本信息中的产品名称。 |
| InitiatingProcessVersionInfoProductVersion | 字符串 | 事件相关进程(映像文件)版本信息中的产品版本。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| ReportId | 长整型 | 基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
| 规则最后修改时间 | 日期/时间 | 上次修改收集事件的规则的日期和时间。 |
| 规则名称 | 字符串 | 收集事件的规则的名称 |
| ScriptContent | 字符串 | 执行脚本的内容。 |
| ScriptContentSHA256 | 字符串 | 对脚本内容进行 SHA256 哈希计算。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | MDE 代理在终端设备上记录事件的日期和时间。 |
| 时间戳 | 日期/时间 | 生成记录的日期和时间。 |
| 类型 | 字符串 | 表的名称 |