DeviceEvents
ينطبق على:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
تحتوي أحداث الجهاز المتنوعة أو DeviceEvents الجدول في مخطط التتبع المتقدم على معلومات حول أنواع الأحداث المختلفة، بما في ذلك الأحداث التي يتم تشغيلها بواسطة عناصر التحكم في الأمان، مثل Microsoft Defender مكافحة الفيروسات والحماية من الهجمات. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
تلميح
للحصول على معلومات مفصلة حول أنواع الأحداث (ActionTypeالقيم) التي يدعمها جدول، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
DeviceId |
string |
معرف فريد للجهاز في الخدمة |
DeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث. راجع مرجع مخطط المدخل للحصول على التفاصيل. |
FileName |
string |
اسم الملف الذي تم تطبيق الإجراء المسجل عليه |
FolderPath |
string |
مجلد يحتوي على الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA1 |
string |
SHA-1 من الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA256 |
string |
SHA-256 من الملف الذي تم تطبيق الإجراء المسجل عليه. عادة ما لا يتم ملء هذا الحقل — استخدم عمود SHA1 عند توفره. |
MD5 |
string |
تجزئة MD5 للملف الذي تم تطبيق الإجراء المسجل عليه |
FileSize |
long |
حجم الملف بالبايت |
AccountDomain |
string |
مجال الحساب |
AccountName |
string |
اسم المستخدم للحساب؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم مستخدم معرف Entra للحساب بدلا من ذلك |
AccountSid |
string |
معرف الأمان (SID) للحساب |
RemoteUrl |
string |
عنوان URL أو اسم المجال المؤهل بالكامل (FQDN) الذي كان متصلا به |
RemoteDeviceName |
string |
اسم الجهاز الذي أجرى عملية عن بعد على الجهاز المتأثر. اعتمادا على الحدث الذي يتم الإبلاغ عنه، قد يكون هذا الاسم اسم مجال مؤهل بالكامل (FQDN) أو اسم NetBIOS أو اسم مضيف بدون معلومات المجال. |
ProcessId |
long |
معرف العملية (PID) للعملية التي تم إنشاؤها حديثا |
ProcessCommandLine |
string |
سطر الأوامر المستخدم لإنشاء العملية الجديدة |
ProcessCreationTime |
datetime |
تاريخ ووقت إنشاء العملية |
ProcessTokenElevation |
string |
يشير إلى نوع رفع الرمز المميز المطبق على العملية التي تم إنشاؤها حديثا. القيم المحتملة: TokenElevationTypeLimited (مقيد)، TokenElevationTypeDefault (قياسي)، و TokenElevationTypeFull (مرتفع) |
LogonId |
long |
معرف جلسة تسجيل الدخول. هذا المعرف فريد على نفس الجهاز فقط بين عمليات إعادة التشغيل. |
RegistryKey |
string |
مفتاح التسجيل الذي تم تطبيق الإجراء المسجل عليه |
RegistryValueName |
string |
اسم قيمة التسجيل التي تم تطبيق الإجراء المسجل عليها |
RegistryValueData |
string |
بيانات قيمة التسجيل التي تم تطبيق الإجراء المسجل عليها |
RemoteIP |
string |
عنوان IP الذي كان متصلا به |
RemotePort |
int |
منفذ TCP على الجهاز البعيد الذي كان متصلا به |
LocalIP |
string |
عنوان IP المعين للجهاز المحلي المستخدم أثناء الاتصال |
LocalPort |
int |
منفذ TCP على الجهاز المحلي المستخدم أثناء الاتصال |
FileOriginUrl |
string |
عنوان URL حيث تم تنزيل الملف منه |
FileOriginIP |
string |
عنوان IP حيث تم تنزيل الملف منه |
InitiatingProcessSHA1 |
string |
SHA-1 للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessSHA256 |
string |
SHA-256 للعملية (ملف الصورة) التي بدأت الحدث. عادة ما لا يتم ملء هذا الحقل — استخدم عمود SHA1 عند توفره. |
InitiatingProcessMD5 |
string |
تجزئة MD5 للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessFileName |
string |
اسم ملف العملية الذي بدأ الحدث؛ إذا لم يكن متوفرا، فقد يظهر اسم العملية التي بدأت الحدث بدلا من ذلك |
InitiatingProcessFileSize |
long |
حجم الملف الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessFolderPath |
string |
مجلد يحتوي على العملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessId |
long |
معرف العملية (PID) للعملية التي بدأت الحدث |
InitiatingProcessCommandLine |
string |
سطر الأوامر المستخدم لتشغيل العملية التي بدأت الحدث |
InitiatingProcessCreationTime |
datetime |
تاريخ ووقت بدء العملية التي بدأت الحدث |
InitiatingProcessAccountDomain |
string |
مجال الحساب الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessAccountName |
string |
اسم المستخدم للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم مستخدم معرف Entra للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث بدلا من ذلك |
InitiatingProcessAccountSid |
string |
معرف الأمان (SID) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessAccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم المستخدم الأساسي لمعرف Entra للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث بدلا من ذلك |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra معرف الكائن لحساب المستخدم الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessVersionInfoCompanyName |
string |
اسم الشركة من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoProductName |
string |
اسم المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoProductVersion |
string |
إصدار المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoInternalFileName |
string |
اسم الملف الداخلي من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث |
InitiatingProcessVersionInfoOriginalFileName |
string |
اسم الملف الأصلي من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoFileDescription |
string |
وصف من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث |
InitiatingProcessParentId |
long |
معرف العملية (PID) للعملية الأصل التي ولدت العملية المسؤولة عن الحدث |
InitiatingProcessParentFileName |
string |
الاسم أو المسار الكامل للعملية الأصل التي ولدت العملية المسؤولة عن الحدث |
InitiatingProcessParentCreationTime |
datetime |
تاريخ ووقت بدء تشغيل أصل العملية المسؤولة عن الحدث |
InitiatingProcessLogonId |
long |
معرف جلسة تسجيل الدخول للعملية التي بدأت الحدث. هذا المعرف فريد على نفس الجهاز فقط بين عمليات إعادة التشغيل. |
ReportId |
long |
معرف الحدث استنادا إلى عداد مكرر. لتحديد الأحداث الفريدة، يجب استخدام هذا العمود بالاقتران مع عمودي DeviceName و Timestamp. |
AppGuardContainerId |
string |
معرف الحاوية الظاهرية المستخدمة من قبل حماية التطبيقات لعزل نشاط المستعرض |
AdditionalFields |
string |
معلومات إضافية حول الحدث بتنسيق صفيف JSON |
InitiatingProcessSessionId |
long |
معرف جلسة Windows لعملية البدء |
IsInitiatingProcessRemoteSession |
bool |
يشير إلى ما إذا كان قد تم تشغيل عملية البدء ضمن جلسة عمل بروتوكول سطح المكتب البعيد (RDP) (صحيح) أو محليا (خطأ) |
InitiatingProcessRemoteSessionDeviceName |
string |
اسم الجهاز للجهاز البعيد الذي تم بدء جلسة RDP الخاصة بعملية البدء منه |
InitiatingProcessRemoteSessionIP |
string |
عنوان IP للجهاز البعيد الذي تم بدء جلسة RDP لعملية البدء منه |
CreatedProcessSessionId |
long |
معرف جلسة عمل Windows للعملية التي تم إنشاؤها |
IsProcessRemoteSession |
bool |
يشير إلى ما إذا كان قد تم تشغيل العملية التي تم إنشاؤها ضمن جلسة عمل بروتوكول سطح المكتب البعيد (RDP) (صحيح) أو محليا (خطأ) |
ProcessRemoteSessionDeviceName |
string |
اسم الجهاز للجهاز البعيد الذي تم بدء جلسة RDP للعملية التي تم إنشاؤها منها |
ProcessRemoteSessionIP |
string |
عنوان IP للجهاز البعيد الذي تم بدء جلسة RDP للعملية التي تم إنشاؤها منها |
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.