DeviceEvents
Platí pro:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Různé události zařízení nebo DeviceEvents tabulka ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o různých typech událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je Microsoft Defender Antivirová ochrana a ochrana před zneužitím. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Tip
Podrobné informace o typech událostí (ActionTypehodnotách) podporovaných tabulkou získáte pomocí předdefinovaných odkazů na schéma, které jsou dostupné v Microsoft Defender XDR.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
DeviceId |
string |
Jedinečný identifikátor zařízení ve službě |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení |
ActionType |
string |
Typ aktivity, která aktivovala událost. Podrobnosti najdete v referenčních informacích o schématu na portálu . |
FileName |
string |
Název souboru, na který se zaznamenaná akce použila |
FolderPath |
string |
Složka obsahující soubor, u kterého byla zaznamenána akce použita |
SHA1 |
string |
SHA-1 souboru, u kterého byla zaznamenaná akce použita |
SHA256 |
string |
SHA-256 souboru, na který byla zaznamenaná akce použita. Toto pole se obvykle nevyplní – pokud je k dispozici, použijte sloupec SHA1. |
MD5 |
string |
Hodnota hash MD5 souboru, u kterého byla zaznamenaná akce použita |
FileSize |
long |
Velikost souboru v bajtech |
AccountDomain |
string |
Doména účtu |
AccountName |
string |
Uživatelské jméno účtu; Pokud je zařízení zaregistrované v Microsoft Entra ID, může se místo toho zobrazit uživatelské jméno účtu Entra ID. |
AccountSid |
string |
Identifikátor zabezpečení (SID) účtu |
RemoteUrl |
string |
Adresa URL nebo plně kvalifikovaný název domény (FQDN), ke kterému byl připojen |
RemoteDeviceName |
string |
Název zařízení, které na dotčeném zařízení provedlo vzdálenou operaci V závislosti na hlášené události může být tímto názvem plně kvalifikovaný název domény (FQDN), název netBIOS nebo název hostitele bez informací o doméně. |
ProcessId |
long |
ID procesu (PID) nově vytvořeného procesu |
ProcessCommandLine |
string |
Příkazový řádek použitý k vytvoření nového procesu |
ProcessCreationTime |
datetime |
Datum a čas vytvoření procesu |
ProcessTokenElevation |
string |
Označuje typ zvýšení oprávnění tokenu použitého u nově vytvořeného procesu. Možné hodnoty: TokenElevationTypeLimited (s omezeným přístupem), TokenElevationTypeDefault (standard) a TokenElevationTypeFull (se zvýšenými oprávněními) |
LogonId |
long |
Identifikátor přihlašovací relace. Tento identifikátor je jedinečný na stejném zařízení pouze mezi restartováními. |
RegistryKey |
string |
Klíč registru, na který se zaznamenaná akce použila |
RegistryValueName |
string |
Název hodnoty registru, na kterou se zaznamenaná akce použila |
RegistryValueData |
string |
Data hodnoty registru, na kterou byla zaznamenaná akce použita |
RemoteIP |
string |
IP adresa, ke které bylo připojeno |
RemotePort |
int |
Port TCP na vzdáleném zařízení, ke kterému bylo připojeno |
LocalIP |
string |
IP adresa přiřazená k místnímu zařízení používanému při komunikaci |
LocalPort |
int |
Port TCP na místním zařízení používaném během komunikace |
FileOriginUrl |
string |
Adresa URL, ze které byl soubor stažen |
FileOriginIP |
string |
IP adresa, ze které se soubor stáhl |
InitiatingProcessSHA1 |
string |
SHA-1 procesu (souboru obrázku), který událost inicioval |
InitiatingProcessSHA256 |
string |
SHA-256 procesu (souboru obrázku), který událost inicioval. Toto pole se obvykle nevyplní – pokud je k dispozici, použijte sloupec SHA1. |
InitiatingProcessMD5 |
string |
Hodnota hash MD5 procesu (souboru obrázku), který událost inicioval |
InitiatingProcessFileName |
string |
Název souboru procesu, který událost inicioval; Pokud není k dispozici, může se místo toho zobrazit název procesu, který událost inicioval. |
InitiatingProcessFileSize |
long |
Velikost souboru, který spustil proces zodpovědný za událost |
InitiatingProcessFolderPath |
string |
Složka obsahující proces (soubor obrázku), který událost inicioval |
InitiatingProcessId |
long |
ID procesu (PID) procesu, který událost inicioval |
InitiatingProcessCommandLine |
string |
Příkazový řádek použitý ke spuštění procesu, který událost inicioval |
InitiatingProcessCreationTime |
datetime |
Datum a čas spuštění procesu, který událost inicioval |
InitiatingProcessAccountDomain |
string |
Doména účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountName |
string |
Uživatelské jméno účtu, který spustil proces zodpovědný za událost; Pokud je zařízení zaregistrované v Microsoft Entra ID, může se místo toho zobrazit uživatelské jméno Entra ID účtu, který spustil proces zodpovědný za danou událost. |
InitiatingProcessAccountSid |
string |
Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountUpn |
string |
Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost; Pokud je zařízení zaregistrované v Microsoft Entra ID, může se místo toho zobrazit hlavní název uživatele (UPN) Entra ID účtu, který spustil proces zodpovědný za danou událost. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID objektu uživatelského účtu, který spustil proces zodpovědný za událost |
InitiatingProcessVersionInfoCompanyName |
string |
Název společnosti z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoProductName |
string |
Název produktu z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoProductVersion |
string |
Verze produktu z informací o verzi procesu (soubor obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoInternalFileName |
string |
Název interního souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoOriginalFileName |
string |
Původní název souboru z informací o verzi procesu (soubor obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoFileDescription |
string |
Popis z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessParentId |
long |
ID procesu (PID) nadřazeného procesu, ze kterého vznikl proces zodpovědný za událost |
InitiatingProcessParentFileName |
string |
Název nebo úplná cesta nadřazeného procesu, ze kterého vznikl proces zodpovědný za událost |
InitiatingProcessParentCreationTime |
datetime |
Datum a čas spuštění nadřazeného procesu zodpovědného za událost |
InitiatingProcessLogonId |
long |
Identifikátor přihlašovací relace procesu, který událost inicioval. Tento identifikátor je jedinečný na stejném zařízení pouze mezi restartováními. |
ReportId |
long |
Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci DeviceName a Timestamp. |
AppGuardContainerId |
string |
Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivity prohlížeče |
AdditionalFields |
string |
Další informace o události ve formátu pole JSON |
InitiatingProcessSessionId |
long |
ID relace windows procesu inicializování |
IsInitiatingProcessRemoteSession |
bool |
Označuje, jestli byl proces inicializován v relaci protokolu RDP (Remote Desktop Protocol) (true) nebo místně (false). |
InitiatingProcessRemoteSessionDeviceName |
string |
Název zařízení vzdáleného zařízení, ze kterého byla iniciována relace RDP inicializovaného procesu |
InitiatingProcessRemoteSessionIP |
string |
IP adresa vzdáleného zařízení, ze kterého byla spuštěna relace RDP inicializovaného procesu |
CreatedProcessSessionId |
long |
ID relace windows vytvořeného procesu |
IsProcessRemoteSession |
bool |
Označuje, jestli se vytvořený proces spustil v relaci protokolu RDP (Remote Desktop Protocol) (true) nebo místně (false). |
ProcessRemoteSessionDeviceName |
string |
Název zařízení vzdáleného zařízení, ze kterého byla zahájena relace protokolu RDP vytvořeného procesu |
ProcessRemoteSessionIP |
string |
IP adresa vzdáleného zařízení, ze kterého byla spuštěna relace protokolu RDP vytvořeného procesu |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.