DeviceEvents
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión
Los diversos eventos de dispositivo o DeviceEvents la tabla del esquema de búsqueda avanzada contienen información sobre varios tipos de eventos, incluidos los eventos desencadenados por controles de seguridad, como Microsoft Defender Antivirus y protección contra vulnerabilidades de seguridad. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Sugerencia
Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
DeviceId |
string |
Identificador único del dispositivo en el servicio |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
ActionType |
string |
Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información. |
FileName |
string |
Nombre del archivo donde se aplicó la acción registrada |
FolderPath |
string |
Carpeta que contiene el archivo al que se aplicó la acción registrada |
SHA1 |
string |
SHA-1 del archivo donde fue aplicada la acción registrada |
SHA256 |
string |
SHA-256 del archivo donde se aplicó la acción registrada. Este campo no suele estar rellenado; use la columna SHA1 cuando se encuentre disponible. |
MD5 |
string |
Hash MD5 del archivo al que se aplicó la acción registrada |
FileSize |
long |
Tamaño del archivo en bytes |
AccountDomain |
string |
Dominio de la cuenta |
AccountName |
string |
Nombre de usuario de la cuenta; si el dispositivo está registrado en Microsoft Entra ID, es posible que en su lugar se muestre el nombre de usuario de id. de entra de la cuenta. |
AccountSid |
string |
Identificador de seguridad (SID) de la cuenta |
RemoteUrl |
string |
La dirección URL o el nombre de dominio completo (FQDN, según sus siglas en inglés) en el cual se ha estado conectado. |
RemoteDeviceName |
string |
Nombre del dispositivo que realizó una operación remota en el dispositivo afectado. Según el evento que se notifica, este nombre podría ser un nombre de dominio completo (FQDN), un nombre NetBIOS o un nombre de host sin información de dominio. |
ProcessId |
long |
Identificador de proceso (PID) del proceso recién creado |
ProcessCommandLine |
string |
Línea de comandos usada para crear el nuevo proceso |
ProcessCreationTime |
datetime |
Fecha y hora en que se creó el proceso |
ProcessTokenElevation |
string |
Indica el tipo de elevación de token aplicada al proceso recién creado. Valores posibles: TokenElevationTypeLimited (restringido), TokenElevationTypeDefault (estándar) y TokenElevationTypeFull (con privilegios elevados) |
LogonId |
long |
Identificador de una sesión de inicio de sesión. Este identificador es único en el mismo dispositivo solo entre reinicios. |
RegistryKey |
string |
Clave del Registro a la que se aplicó la acción registrada |
RegistryValueName |
string |
Nombre del valor del Registro al que se aplicó la acción registrada |
RegistryValueData |
string |
Datos del valor del Registro al que se aplicó la acción registrada |
RemoteIP |
string |
Dirección IP a la que se ha conectado |
RemotePort |
int |
Puerto TCP en el dispositivo remoto al que se estaba conectando |
LocalIP |
string |
Dirección IP asignada al dispositivo local usado durante la comunicación |
LocalPort |
int |
Puerto TCP en el dispositivo local usado durante la comunicación |
FileOriginUrl |
string |
Dirección URL desde la que se descargó el archivo |
FileOriginIP |
string |
Dirección IP desde la que se descargó el archivo |
InitiatingProcessSHA1 |
string |
SHA-1 del proceso (archivo de imagen) que inició el evento |
InitiatingProcessSHA256 |
string |
SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo no suele estar rellenado; use la columna SHA1 cuando se encuentre disponible. |
InitiatingProcessMD5 |
string |
Hash MD5 del proceso (archivo de imagen) que inició el evento |
InitiatingProcessFileName |
string |
Nombre del archivo de proceso que inició el evento; si no está disponible, el nombre del proceso que inició el evento podría mostrarse en su lugar. |
InitiatingProcessFileSize |
long |
Tamaño del archivo que ejecutó el proceso responsable del evento |
InitiatingProcessFolderPath |
string |
Carpeta que contiene el proceso (archivo de imagen) que inició el evento |
InitiatingProcessId |
long |
Identificador de proceso (PID) del proceso que inició el evento |
InitiatingProcessCommandLine |
string |
Línea de comandos usada para ejecutar el proceso que inició el evento |
InitiatingProcessCreationTime |
datetime |
Fecha y hora en que se inició el proceso que inició el evento |
InitiatingProcessAccountDomain |
string |
Dominio de la cuenta que ejecutó el proceso responsable del evento |
InitiatingProcessAccountName |
string |
Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento; si el dispositivo está registrado en Microsoft Entra ID, es posible que en su lugar se muestre el nombre de usuario de id. de entra de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountSid |
string |
Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento |
InitiatingProcessAccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento; si el dispositivo está registrado en Microsoft Entra ID, es posible que se muestre el UPN de id. de entra de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra identificador de objeto de la cuenta de usuario que ejecutó el proceso responsable del evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nombre de la empresa de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoProductName |
string |
Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versión del producto a partir de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descripción de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessParentId |
long |
Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento |
InitiatingProcessParentFileName |
string |
Nombre o ruta de acceso completa del proceso primario que generó el proceso responsable del evento |
InitiatingProcessParentCreationTime |
datetime |
Fecha y hora en que se inició el elemento primario del proceso responsable del evento |
InitiatingProcessLogonId |
long |
Identificador de una sesión de inicio de sesión del proceso que inició el evento. Este identificador es único en el mismo dispositivo solo entre reinicios. |
ReportId |
long |
Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp. |
AppGuardContainerId |
string |
Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador |
AdditionalFields |
string |
Información adicional sobre el evento en formato de matriz JSON |
InitiatingProcessSessionId |
long |
Identificador de sesión de Windows del proceso de inicio |
IsInitiatingProcessRemoteSession |
bool |
Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nombre del dispositivo remoto desde el que se inició la sesión rdp del proceso de inicio |
InitiatingProcessRemoteSessionIP |
string |
Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso de inicio |
CreatedProcessSessionId |
long |
Identificador de sesión de Windows del proceso creado |
IsProcessRemoteSession |
bool |
Indica si el proceso creado se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false) |
ProcessRemoteSessionDeviceName |
string |
Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso creado |
ProcessRemoteSessionIP |
string |
Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso creado |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.