DeviceEvents
Diese Tabelle ist Teil von Microsoft Defender für Endpunkte mit Azure Sentinel. Diese Tabelle enthält mehrere Ereignistypen, einschließlich Ereignisse, die von Sicherheitssteuerelementen wie Windows Defender Antivirus und Exploitschutz ausgelöst werden.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation der Erfassungszeit | Yes |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AccountDomain | Zeichenfolge | Domäne des Kontos. |
AccountName | Zeichenfolge | Benutzername des Kontos. |
AccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos. |
ActionType | Zeichenfolge | Typ der Aktivität, die das Ereignis ausgelöst hat. |
AdditionalFields | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
AppGuardContainerId | Zeichenfolge | Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird. |
_BilledSize | real | Die Datensatzgröße in Bytes |
deviceId | Zeichenfolge | Eindeutiger Bezeichner für das Gerät im Dienst. |
DeviceName | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts. |
Dateiname | Zeichenfolge | Domäne des Kontos. |
FileOriginIP | Zeichenfolge | IP-Adresse, aus der die Datei heruntergeladen wurde. |
FileOriginUrl | Zeichenfolge | URL, aus der die Datei heruntergeladen wurde. |
FileSize | long | Die Länge der Datei in Bytes. |
FolderPath | Zeichenfolge | Domäne des Kontos. |
InitiierenprocessAccountDomain | Zeichenfolge | Domäne des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
InitiierenProcessAccountName | Zeichenfolge | Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
Initiieren vonProcessAccountObjectId | Zeichenfolge | Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
Initiieren vonProcessAccountSid | Zeichenfolge | Security Identifier (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
InitiierenprocessAccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
Initiieren vonProcessCommandLine | Zeichenfolge | Befehlszeile zum Ausführen des Prozesses, der das Ereignis initiiert hat. |
InitialingProcessCreationTime | datetime | Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
InitiierenProcessFileName | Zeichenfolge | Name des Prozesses, der das Ereignis initiiert hat. |
InitiierenProcessFileSize | long | Größe in Bytes der Datei, die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
InitiierenProcessFolderPath | Zeichenfolge | Ordner, der den Prozess (Imagedatei) enthält, der das Ereignis initiiert hat. |
InitiierenProcessId | long | Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
InitiatingProcessLogonId | long | Bezeichner für eine Anmeldesitzung des Prozesses, der das Ereignis initiiert hat. Dieser Bezeichner ist nur zwischen Neustarts auf demselben Computer eindeutig. |
InitiierenProcessMD5 | Zeichenfolge | MD5-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. |
InitiierenprocessParentCreationTime | datetime | Datum und Uhrzeit, zu dem das übergeordnete Element des für das Ereignis verantwortlichen Prozesses gestartet wurde. |
InitiierenProcessParentFileName | Zeichenfolge | Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess ausgelöst hat. |
Initiieren vonProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess ausgelöst hat. |
Initiieren vonProcessSHA1 | Zeichenfolge | SHA-1-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. |
InitiierenProcessSHA256 | Zeichenfolge | SHA-256-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. Dieses Feld wird normalerweise nicht aufgefüllt. Verwenden Sie die SHA1-Spalte, wenn verfügbar. |
InitiierenProcessVersionInfoCompanyName | Zeichenfolge | Firmenname aus den Versionsinformationen des prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
Initiieren vonProcessVersionInfoFileDescription | Zeichenfolge | Beschreibung aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
InitiierenProcessVersionInfoInternalFileName | Zeichenfolge | Interner Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
InitiierenProcessVersionInfoOriginalFileName | Zeichenfolge | Ursprünglicher Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
InitiierenprocessVersionInfoProductName | Zeichenfolge | Produktname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
InitiierenProcessVersionInfoProductVersion | Zeichenfolge | Produktversion aus den Versionsinformationen des prozesses (Imagedatei), die für das Ereignis verantwortlich sind. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
LocalIP | Zeichenfolge | IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird. |
LocalPort | INT | TCP-Port auf dem lokalen Computer, der während der Kommunikation verwendet wird. |
LogonId | long | Bezeichner für eine Anmeldesitzung. Dieser Bezeichner ist nur zwischen Neustarts auf demselben Computer eindeutig. |
MachineGroup | Zeichenfolge | Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
MD5 | Zeichenfolge | MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
ProcessCommandLine | Zeichenfolge | Befehlszeile, die zum Erstellen des neuen Prozesses verwendet wird. |
ProcessCreationTime | datetime | Datum und Uhrzeit der Erstellung des Prozesses. |
ProcessId | long | Prozess-ID (PID) des neu erstellten Prozesses. |
ProcessTokenElevation | Zeichenfolge | Tokentyp, der das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (UAC) angibt, die auf den neu erstellten Prozess angewendet werden. |
RegistryKey | Zeichenfolge | Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde. |
RegistryValueData | Zeichenfolge | Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
RegistryValueName | Zeichenfolge | Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
RemoteDeviceName | Zeichenfolge | Name des Geräts, das einen Remotevorgang auf dem betroffenen Computer ausgeführt hat. Abhängig vom gemeldeten Ereignis kann es sich bei diesem Namen um einen vollqualifizierten Domänennamen (FQDN), einen NetBIOS-Namen oder einen Hostnamen ohne Domäneninformationen handeln. |
RemoteIP | Zeichenfolge | IP-Adresse, mit der eine Verbindung hergestellt wurde. |
RemotePort | INT | TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde. |
RemoteUrl | Zeichenfolge | URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde. |
ReportId | long | Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
SHA1 | Zeichenfolge | SHA-1-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
SHA256 | Zeichenfolge | SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Datum und Uhrzeit, zu der das Ereignis vom MDE-Agent auf dem Endpunkt aufgezeichnet wurde. |
type | Zeichenfolge | Der Name der Tabelle. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für