DeviceNetworkEvents
Microsoft Defender pro tabulku síťových událostí zařízení koncových bodů (MDE). Tato tabulka obsahuje informace o síťových připojeních a souvisejících událostech iniciovaných procesy spuštěnými na koncovém bodu.
Atributy tabulky
Atribut | Hodnota |
---|---|
Typy prostředků | - |
Kategorie | Zabezpečení |
Řešení | SecurityInsights |
Základní protokol | No |
Transformace doby příjmu dat | Yes |
Ukázkové dotazy | - |
Sloupce
Sloupec | Typ | Description |
---|---|---|
ActionType | řetězec | Typ aktivity, která aktivovala událost. |
Další pole | dynamic | Další informace o entitě nebo události |
AppGuardContainerId | řetězec | Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivit prohlížeče. |
_BilledSize | real | Velikost záznamu v bajtech |
DeviceId | řetězec | Jedinečný identifikátor zařízení ve službě. |
DeviceName | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
InitiatingProcessAccountDomain | řetězec | Doména účtu, který spustil proces inicializačního procesu. |
InitiatingProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zahájení. |
InitiatingProcessAccountObjectId | řetězec | Azure AD ID objektu uživatelského účtu, který spustil proces inicializování. |
InitiatingProcessAccountSid | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces inicialace. |
InitiatingProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces inicializování. |
InitiatingProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu inicializování. |
InitiatingProcessCreationTime | datetime | Datum a čas zahájení procesu, který událost inicioval. |
InitiatingProcessFileName | řetězec | Název procesu zahájení. |
InitiatingProcessFileSize | long | Velikost souboru (bajtů), který spustil proces zodpovědný za událost. |
InitiatingProcessFolderPath | řetězec | Složka obsahující proces inicializování (soubor obrázku). |
InitiatingProcessId | long | ID procesu (PID) iniciujícího procesu. |
InitiatingProcessIntegrityLevel | řetězec | Úroveň integrity procesu zahájení. Systém Windows přiřazuje procesům úrovně integrity na základě určitých charakteristik, například pokud byly spuštěny ze stahování z internetu. Tyto úrovně integrity ovlivňují oprávnění k prostředkům. |
InitiatingProcessMD5 | řetězec | Hodnota hash MD5 procesu inicializování (soubor obrázku). |
InitiatingProcessParentCreationTime | datetime | Datum a čas, kdy byl zahájen nadřazený proces zodpovědný za událost. |
InitiatingProcessParentFileName | řetězec | Název nadřazeného procesu, který zprovozní proces zahájení. |
InitiatingProcessParentId | long | ID procesu (PID) nadřazeného procesu, který zprovozní proces inicializován. |
InicialingProcessSHA1 | řetězec | Hodnota hash SHA-1 procesu zahájení (soubor obrázku). |
InicialingProcessSHA256 | řetězec | Sha-256 hash inicialing procesu (soubor obrázku). V některých případech nemusí být tento sloupec vyplněný – místo toho použijte sloupec InitiatingProcessSHA1. |
InitiatingProcessTokenElevation | řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění uživatelských Access Control (UAC) použitého na proces inicializování. |
InitiatingProcessVersionInfoCompanyName | řetězec | Název společnosti v informacích o verzi (soubor obrázku) zodpovědný za událost. |
InitiatingProcessVersionInfoFileDescription | řetězec | Popis v informacích o verzi (soubor obrázku) zodpovědný za událost. |
InitiatingProcessVersionInfoInternalFileName | řetězec | Interní název souboru v informacích o verzi (soubor obrázku) zodpovědný za událost. |
InitiatingProcessVersionInfoOriginalFileName | řetězec | Původní název souboru v informacích o verzi (soubor obrázku) zodpovědný za událost. |
InitiatingProcessVersionInfoProductName | řetězec | Název produktu v informacích o verzi (soubor obrázku) zodpovědný za událost. |
InitiatingProcessVersionInfoProductVersion | řetězec | Verze produktu v informacích o verzi (soubor obrázku) zodpovědná za událost. |
_IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
LocalIP | řetězec | IP adresa přiřazená k místnímu počítači používanému během komunikace. |
LocalIPType | řetězec | Typ IP adresy, například Veřejná, Privátní, Reserved, Loopback, Teredo, FourToSixMapping a Všesměrové vysílání. |
LocalPort | int | Port TCP na místním počítači, který se používá při komunikaci. |
MachineGroup | řetězec | Skupina počítačů počítače. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
Protokol | řetězec | Použitý protokol IP, tcp nebo UDP. |
RemoteIP | řetězec | IP adresa, ke které bylo připojeno. |
RemoteIPType | řetězec | Typ IP adresy, například Veřejná, Privátní, Reserved, Loopback, Teredo, FourToSixMapping a Všesměrové vysílání. |
RemotePort | int | Port TCP na vzdáleném zařízení, ke kterému bylo připojeno. |
Vzdálená adresa URL | řetězec | Adresa URL nebo plně kvalifikovaný název domény (FQDN), ke kterému byl připojen. |
Id sestavy | long | Identifikátor události na základě opakujícího se čítače. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci ComputerName a EventTime. |
SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
TimeGenerated | datetime | Datum a čas, kdy byla událost zaznamenána agentem MDE v koncovém bodu. |
Typ | řetězec | Název tabulky |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro