DeviceNetworkEvents
Microsoft Defender para la tabla de eventos de red de dispositivos de punto de conexión (MDE). Esta tabla contiene información sobre las conexiones de red y los eventos relacionados iniciados por los procesos que se ejecutan en el punto de conexión.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| ActionType | string | Tipo de actividad que desencadenó el evento. |
| AdditionalFields | dinámico | Información adicional sobre la entidad o el evento. |
| AppGuardContainerId | string | Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
| _BilledSize | real | Tamaño del registro en bytes |
| deviceId | string | Identificador único del dispositivo en el servicio. |
| DeviceName | string | Nombre de dominio completo (FQDN) del dispositivo. |
| IniciandoProcessAccountDomain | string | Dominio de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessAccountName | string | Nombre de usuario de la cuenta que ejecutó el proceso de inicio. |
| IniciandoProcessAccountObjectId | string | Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso de inicio. |
| IniciandoProcessAccountSid | string | Identificador de seguridad (SID) de la cuenta que ejecutó el proceso de inicio. |
| IniciandoProcessAccountUpn | string | Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso de inicio. |
| IniciandoProcessCommandLine | string | Línea de comandos usada para ejecutar el proceso de inicio. |
| InitiatingProcessCreationTime | datetime | Fecha y hora en que se inició el proceso que inició el evento. |
| IniciandoProcessFileName | string | Nombre del proceso de inicio. |
| InitiatingProcessFileSize | long | Tamaño del archivo (bytes) que ejecutó el proceso responsable del evento. |
| InitiatingProcessFolderPath | string | Carpeta que contiene el proceso de inicio (archivo de imagen). |
| IniciandoProcessId | long | Id. de proceso (PID) del proceso de inicio. |
| IniciandoProcessIntegrityLevel | string | Nivel de integridad del proceso iniciado. Windows asigna niveles de integridad a procesos basados en determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos de los recursos. |
| IniciandoProcessMD5 | string | Hash MD5 del proceso de inicio (archivo de imagen). |
| IniciandoProcessParentCreationTime | datetime | Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
| IniciandoProcessParentFileName | string | Nombre del proceso primario que generó el proceso de inicio. |
| IniciandoProcessParentId | long | Identificador de proceso (PID) del proceso primario que generó el proceso de inicio. |
| IniciandoProcessSHA1 | string | Hash SHA-1 del proceso de inicio (archivo de imagen). |
| IniciandoProcessSHA256 | string | Hash SHA-256 del proceso de inicio (archivo de imagen). En algunos casos, es posible que esta columna no se rellene; use la columna InitiatingProcessSHA1 en su lugar. |
| IniciandoProcessTokenElevation | string | Tipo de token que indica la presencia o ausencia de elevación de privilegios de Usuario Access Control (UAC) aplicada al proceso de inicio. |
| InitiatingProcessVersionInfoCompanyName | string | El nombre de la empresa en la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoFileDescription | string | Descripción de la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoInternalFileName | string | El nombre de archivo interno en la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nombre de archivo original en la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductName | string | El nombre del producto en la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductVersion | string | La versión del producto en la información de versión (archivo de imagen) responsable del evento. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| LocalIP | string | Dirección IP asignada al equipo local utilizado durante la comunicación. |
| LocalIPType | string | Tipo de dirección IP, por ejemplo, Pública, Privada, Reservada, Bucle invertido, Teredo, FourToSixMapping y Broadcast. |
| LocalPort | int | Puerto TCP en el equipo local usado durante la comunicación. |
| MachineGroup | string | Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
| Protocolo | string | Protocolo IP usado, ya sea TCP o UDP. |
| RemoteIP | string | Dirección IP a la que se estaba conectando. |
| RemoteIPType | string | Tipo de dirección IP, por ejemplo, Pública, Privada, Reservada, Bucle invertido, Teredo, FourToSixMapping y Broadcast. |
| RemotePort | int | Puerto TCP en el dispositivo remoto al que se estaba conectando. |
| Remoteurl | string | Dirección URL o nombre de dominio completo (FQDN) al que se estaba conectando. |
| ReportId | long | Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
| Tipo | string | Nombre de la tabla. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de