DeviceNetworkEvents
ينطبق على:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceNetworkEvents يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول اتصالات الشبكة والأحداث ذات الصلة. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
تلميح
للحصول على معلومات مفصلة حول أنواع الأحداث (ActionTypeالقيم) التي يدعمها جدول، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
DeviceId |
string |
معرف فريد للجهاز في الخدمة |
DeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث. راجع مرجع مخطط المدخل للحصول على التفاصيل. |
RemoteIP |
string |
عنوان IP الذي كان متصلا به |
RemotePort |
int |
منفذ TCP على الجهاز البعيد الذي كان متصلا به |
RemoteUrl |
string |
عنوان URL أو اسم المجال المؤهل بالكامل (FQDN) الذي كان متصلا به |
LocalIP |
string |
عنوان IP المصدر، أو عنوان IP الذي جاء منه الاتصال |
LocalPort |
int |
منفذ TCP على الجهاز المحلي المستخدم أثناء الاتصال |
Protocol |
string |
البروتوكول المستخدم أثناء الاتصال |
LocalIPType |
string |
نوع عنوان IP، على سبيل المثال عام، خاص، محجوز، تكرار حلقي، Teredo، FourToSixMapping، وبث |
RemoteIPType |
string |
نوع عنوان IP، على سبيل المثال عام، خاص، محجوز، تكرار حلقي، Teredo، FourToSixMapping، وبث |
InitiatingProcessSHA1 |
string |
SHA-1 للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessSHA256 |
string |
SHA-256 للعملية (ملف الصورة) التي بدأت الحدث. عادة ما لا يتم ملء هذا الحقل — استخدم عمود SHA1 عند توفره. |
InitiatingProcessMD5 |
string |
تجزئة MD5 للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessFileName |
string |
اسم العملية التي بدأت الحدث |
InitiatingProcessFileSize |
long |
حجم الملف الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessVersionInfoCompanyName |
string |
اسم الشركة من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoProductName |
string |
اسم المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoProductVersion |
string |
إصدار المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoInternalFileName |
string |
اسم الملف الداخلي من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث |
InitiatingProcessVersionInfoOriginalFileName |
string |
اسم الملف الأصلي من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoFileDescription |
string |
وصف من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث |
InitiatingProcessId |
long |
معرف العملية (PID) للعملية التي بدأت الحدث |
InitiatingProcessCommandLine |
string |
سطر الأوامر المستخدم لتشغيل العملية التي بدأت الحدث |
InitiatingProcessCreationTime |
datetime |
تاريخ ووقت بدء العملية التي بدأت الحدث |
InitiatingProcessFolderPath |
string |
مجلد يحتوي على العملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessParentFileName |
string |
اسم العملية الأصل التي ولدت العملية المسؤولة عن الحدث |
InitiatingProcessParentId |
long |
معرف العملية (PID) للعملية الأصل التي ولدت العملية المسؤولة عن الحدث |
InitiatingProcessParentCreationTime |
datetime |
تاريخ ووقت بدء تشغيل أصل العملية المسؤولة عن الحدث |
InitiatingProcessAccountDomain |
string |
مجال الحساب الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessAccountName |
string |
اسم المستخدم للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم مستخدم معرف Entra للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث بدلا من ذلك |
InitiatingProcessAccountSid |
string |
معرف الأمان (SID) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessAccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم المستخدم الأساسي لمعرف Entra للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث بدلا من ذلك |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra معرف الكائن لحساب المستخدم الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessIntegrityLevel |
string |
مستوى تكامل العملية التي بدأت الحدث. يعين Windows مستويات تكامل للعمليات استنادا إلى خصائص معينة، مثل ما إذا تم تشغيلها من تنزيل الإنترنت. تؤثر مستويات التكامل هذه على أذونات الموارد. |
InitiatingProcessTokenElevation |
string |
نوع الرمز المميز الذي يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية التي بدأت الحدث |
ReportId |
long |
معرف الحدث استنادا إلى عداد مكرر. لتحديد الأحداث الفريدة، يجب استخدام هذا العمود بالاقتران مع عمودي DeviceName و Timestamp. |
AppGuardContainerId |
string |
معرف الحاوية الظاهرية المستخدمة من قبل حماية التطبيقات لعزل نشاط المستعرض |
AdditionalFields |
string |
معلومات إضافية حول الحدث بتنسيق صفيف JSON |
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ