DeviceEvents
Tato tabulka je součástí Microsoft Defender pro koncové body se službou Azure Sentinel. Tato tabulka obsahuje několik typů událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je Windows Defender Antivirová ochrana a ochrana před zneužitím.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| AccountDomain | řetězec | Doména účtu. |
| AccountName | řetězec | Uživatelské jméno účtu. |
| Id účtu | řetězec | Identifikátor zabezpečení (SID) účtu. |
| ActionType | řetězec | Typ aktivity, která aktivovala událost. |
| Další pole | dynamic | Další informace o entitě nebo události |
| AppGuardContainerId | řetězec | Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivit prohlížeče. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DeviceId | řetězec | Jedinečný identifikátor zařízení ve službě. |
| DeviceName | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
| FileName | řetězec | Doména účtu. |
| FileOriginIP | řetězec | IP adresa, ze které byl soubor stažen. |
| SouborOriginUrl | řetězec | Adresa URL, ze které byl soubor stažen. |
| Velikost | long | Velikost souboru v bajtech. |
| Cesta ke složce | řetězec | Doména účtu. |
| InitiatingProcessAccountDomain | řetězec | Doména účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountObjectId | řetězec | Azure AD ID objektu uživatelského účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountSid | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu, který událost inicioval. |
| InitiatingProcessCreationTime | datetime | Datum a čas zahájení procesu, který událost inicioval. |
| InitiatingProcessFileName | řetězec | Název procesu, který událost inicioval. |
| InitiatingProcessFileSize | long | Velikost v bajtech souboru, který spustil proces zodpovědný za událost. |
| InitiatingProcessFolderPath | řetězec | Složka obsahující proces (soubor obrázku), který událost inicioval. |
| InitiatingProcessId | long | ID procesu (PID) procesu, který událost inicioval. |
| InitiatingProcessLogonId | long | Identifikátor přihlašovací relace procesu, který událost inicioval. Tento identifikátor je jedinečný na stejném počítači pouze mezi restartováními. |
| InitiatingProcessMD5 | řetězec | Hodnota hash MD5 procesu (soubor obrázku), který událost inicioval. |
| InitiatingProcessParentCreationTime | datetime | Datum a čas, kdy byl spuštěn nadřazený proces zodpovědný za událost. |
| InitiatingProcessParentFileName | řetězec | Název nadřazeného procesu, ze kterého vznikl proces zodpovědný za událost. |
| InitiatingProcessParentId | long | ID procesu (PID) nadřazeného procesu, který vytvořila proces zodpovědný za událost. |
| InitiatingProcessSHA1 | řetězec | Sha-1 hash procesu (soubor obrázku), který událost inicioval. |
| InicializováníProcessSHA256 | řetězec | SHA-256 hash procesu (soubor obrázku), který inicioval událost. Toto pole se obvykle nevyplní – pokud je k dispozici, použijte sloupec SHA1. |
| InitiatingProcessVersionInfoCompanyName | řetězec | Název společnosti z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
| InitiatingProcessVersionInfoFileDescription | řetězec | Popis z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
| InitiatingProcessVersionInfoInternalFileName | řetězec | Název interního souboru z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
| InitiatingProcessVersionInfoOriginalFileName | řetězec | Původní název souboru z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
| InitiatingProcessVersionInfoProductName | řetězec | Název produktu z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
| InitiatingProcessVersionInfoProductVersion | řetězec | Verze produktu z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
| LocalIP | řetězec | IP adresa přiřazená k místnímu počítači používanému během komunikace. |
| LocalPort | int | Port TCP na místním počítači, který se používá při komunikaci. |
| Id přihlášení | long | Identifikátor přihlašovací relace. Tento identifikátor je jedinečný na stejném počítači pouze mezi restartováními. |
| MachineGroup | řetězec | Skupina počítačů počítače. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
| MD5 | řetězec | Hodnota hash MD5 souboru, u kterého byla zaznamenaná akce použita. |
| ProcessCommandLine | řetězec | Příkazový řádek použitý k vytvoření nového procesu. |
| ProcessCreationTime | datetime | Datum a čas vytvoření procesu |
| Processid | long | ID procesu (PID) nově vytvořeného procesu. |
| ProcessTokenElevation | řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění uživatelského Access Control (UAC) použitého u nově vytvořeného procesu. |
| Registrykey | řetězec | Klíč registru, na který se zaznamenaná akce použila. |
| RegistryValueData | řetězec | Data hodnoty registru, na kterou byla zaznamenaná akce použita. |
| Název_hodnoty_registru | řetězec | Název hodnoty registru, na kterou byla zaznamenaná akce použita. |
| RemoteDeviceName | řetězec | Název zařízení, které na ovlivněném počítači provedlo vzdálenou operaci. V závislosti na hlášené události může být tento název plně kvalifikovaný název domény (FQDN), název NetBIOS nebo název hostitele bez informací o doméně. |
| RemoteIP | řetězec | IP adresa, ke které bylo připojeno. |
| RemotePort | int | Port TCP na vzdáleném zařízení, ke kterému bylo připojeno. |
| Vzdálená adresa URL | řetězec | Adresa URL nebo plně kvalifikovaný název domény (FQDN), ke kterému byl připojen. |
| Id sestavy | long | Identifikátor události na základě opakujícího se čítače. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci ComputerName a EventTime. |
| SHA1 | řetězec | Hodnota hash SHA-1 souboru, u kterého byla zaznamenaná akce použita. |
| SHA256 | řetězec | SHA-256 souboru, na který byla zaznamenána akce. |
| SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Datum a čas, kdy byla událost zaznamenána agentem MDE na koncovém bodu. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro