DeviceNetworkEvents
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Kehittyneen DeviceNetworkEventsmetsästysrakenteen taulukko sisältää tietoja verkkoyhteyksistä ja liittyvistä tapahtumista. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
DeviceId |
string |
Palvelun laitteen yksilöllinen tunniste |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittaus -kohdassa . |
RemoteIP |
string |
IP-osoite, johon yhdistettiin |
RemotePort |
int |
TCP-portti etälaitteessa, johon oli muodostettu yhteys |
RemoteUrl |
string |
URL-osoite tai täydellinen toimialuenimi (FQDN), johon oli yhdistetty |
LocalIP |
string |
lähde-IP tai IP-osoite, josta tietoliikenne on peräisin |
LocalPort |
int |
TCP-portti paikallisessa laitteessa, jota käytetään viestinnän aikana |
Protocol |
string |
Tiedonsiirron aikana käytettävä protokolla |
LocalIPType |
string |
IP-osoitteen tyyppi, esimerkiksi Julkinen, Yksityinen, Varattu, Silmukka, Teredo, FourToSixMapping ja Yleislähetys |
RemoteIPType |
string |
IP-osoitteen tyyppi, esimerkiksi Julkinen, Yksityinen, Varattu, Silmukka, Teredo, FourToSixMapping ja Yleislähetys |
InitiatingProcessSHA1 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-1 |
InitiatingProcessSHA256 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-256. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä. |
InitiatingProcessMD5 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) MD5-hajautusarvo |
InitiatingProcessFileName |
string |
Tapahtuman aloittaneen prosessitiedoston nimi. jos se ei ole käytettävissä, tapahtuman aloittaneen prosessin nimi saatetaan näyttää sen sijaan |
InitiatingProcessFileSize |
long |
Tapahtumasta vastuussa olevan prosessin suorittaneen tiedoston koko |
InitiatingProcessVersionInfoCompanyName |
string |
Yrityksen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductName |
string |
Tuotteen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductVersion |
string |
Tuoteversio tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto). |
InitiatingProcessVersionInfoInternalFileName |
string |
Sisäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Alkuperäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoFileDescription |
string |
Tapahtumasta vastaavan prosessin (kuvatiedoston) versiotietojen kuvaus |
InitiatingProcessId |
long |
Tapahtuman aloittaneen prosessin prosessitunnus (PID) |
InitiatingProcessCommandLine |
string |
Komentorivi, jota käytetään tapahtuman aloittaneen prosessin suorittamiseen |
InitiatingProcessCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuman käynnistänyt prosessi käynnistettiin |
InitiatingProcessFolderPath |
string |
Kansio, joka sisältää tapahtuman aloittaneen prosessin (kuvatiedoston). |
InitiatingProcessParentFileName |
string |
Tapahtumasta vastuussa olevan prosessin synnyttäneen pääprosessin nimi |
InitiatingProcessParentId |
long |
Tapahtumasta vastuussa olevan prosessin luoneen pääprosessin prosessitunnus (PID) |
InitiatingProcessParentCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtumasta vastaavan prosessin pääelementtiä on aloitettu |
InitiatingProcessAccountDomain |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin toimialue |
InitiatingProcessAccountName |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin käyttäjänimi. jos laite on rekisteröity Microsoft Entra ID, tapahtumasta vastuussa olevan tilin Entra ID -käyttäjänimi saatetaan näyttää sen sijaan |
InitiatingProcessAccountSid |
string |
Tapahtumasta vastuussa olevan tilin suojaustunnus (SID) |
InitiatingProcessAccountUpn |
string |
Tapahtumasta vastuussa olevan tilin täydellinen käyttäjätunnus (UPN). jos laite on rekisteröity Microsoft Entra ID, tapahtumasta vastuussa olevan tilin Entra ID UPN saatetaan näyttää sen sijaan |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra sen käyttäjätilin objektitunnuksen, joka suoritti tapahtumasta vastaavan prosessin |
InitiatingProcessIntegrityLevel |
string |
Tapahtuman aloittaneen prosessin eheystaso. Windows määrittää prosesseille eheystasot tiettyjen ominaisuuksien perusteella, esimerkiksi jos ne käynnistettiin Internet-latauksesta. Nämä eheystasot vaikuttavat resurssien käyttöoikeuksiin. |
InitiatingProcessTokenElevation |
string |
Tunnustyyppi, joka ilmaisee tapahtuman aloittaneessa prosessissa käytetyn Käyttäjän Käyttöoikeuksien hallinta (UAC) -oikeuksien korotuksen olemassaolon tai puuttumisen |
ReportId |
long |
Toistuvaan laskuriin perustuva tapahtumatunnus. Jos haluat tunnistaa yksilölliset tapahtumat, tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa. |
AppGuardContainerId |
string |
Tunnus virtualisoidulle säilölle, jota Sovellussuoja käyttää selaimen toiminnan eristämiseen |
AdditionalFields |
string |
Lisätietoja tapahtumasta JSON-matriisimuodossa |
InitiatingProcessSessionId |
long |
Käynnistysprosessin Windows-istuntotunnus |
IsInitiatingProcessRemoteSession |
bool |
Ilmaisee, suoritettiinko aloitusprosessi RDP-etäistunnossa (tosi) vai paikallisesti (epätosi) |
InitiatingProcessRemoteSessionDeviceName |
string |
Sen etälaitteen nimi, josta aloitusprosessin RDP-istunto aloitettiin |
InitiatingProcessRemoteSessionIP |
string |
Sen etälaitteen IP-osoite, josta aloitusprosessin RDP-istunto aloitettiin |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.