DeviceEvents
Huomautus
Haluatko kokea Microsoft 365 Defender? Lue lisätietoja siitä, miten voit arvioida ja kokeilla Microsoft 365 Defender.
Koskee seuraavia:
- Microsoft 365 Defender
- Microsoft Defender for Endpoint
Kehittyneen metsästysrakenteen sekalaiset laitetapahtumat tai DeviceEvents taulukko sisältävät tietoja eri tapahtumatyypeistä, mukaan lukien suojaustoimintojen käynnistämät tapahtumat, kuten Microsoft Defender virustentorjunta ja hyökkäyssuojaus. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft 365 Defender käytettävissä olevaa sisäistä rakenneviittausta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
DeviceId |
string |
Palvelun koneen yksilöllinen tunnus |
DeviceName |
string |
Tietokoneen täydellinen toimialuenimi (FQDN) |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittauksen kohdassa |
FileName |
string |
Sen tiedoston nimi, jossa tallennettua toimintoa käytettiin |
FolderPath |
string |
Kansio, joka sisältää tiedoston, jossa tallennettua toimintoa käytettiin |
SHA1 |
string |
Sen tiedoston SHA-1, jossa tallennettua toimintoa sovellettiin |
SHA256 |
string |
Sen tiedoston SHA-256, jossa tallennettua toimintoa sovellettiin. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä. |
MD5 |
string |
Sen tiedoston MD5-hajautusarvo, johon tallennettu toiminto suoritettiin |
FileSize |
long |
Tiedoston koko tavuina |
AccountDomain |
string |
Tilin toimialue |
AccountName |
string |
Tilin käyttäjänimi |
AccountSid |
string |
Tilin suojaustunnus (SID) |
RemoteUrl |
string |
URL-osoite tai täydellinen toimialuenimi (FQDN), johon oli yhdistetty |
RemoteDeviceName |
string |
Sen tietokoneen nimi, joka suoritti etätoiminnon kyseisessä koneessa. Raportoitavasta tapahtumasta riippuen tämä nimi voi olla täydellinen toimialuenimi (FQDN), NetBIOS-nimi tai isäntänimi ilman toimialueen tietoja |
ProcessId |
int |
Juuri luodun prosessin prosessitunnus (PID) |
ProcessCommandLine |
string |
Uuden prosessin luomiseen käytettävä komentorivi |
ProcessCreationTime |
datetime |
Prosessin luontipäivämäärä ja -kellonaika |
ProcessTokenElevation |
string |
Tunnustyyppi, joka ilmaisee juuri luodussa prosessissa käytetyn Käyttäjän Käyttöoikeuksien hallinta (UAC) -oikeuksien korotuksen olemassaolon tai puuttumisen |
LogonId |
string |
Kirjautumisistunnon tunnus. Tämä tunnus on yksilöllinen samassa tietokoneessa vain uudelleenkäynnistysten välillä |
RegistryKey |
string |
Rekisteriavain, johon tallennettu toiminto suoritettiin |
RegistryValueName |
string |
Sen rekisteriarvon nimi, johon tallennettu toiminto on otettu käyttöön |
RegistryValueData |
string |
Sen rekisteriarvon tiedot, johon tallennettu toiminto suoritettiin |
RemoteIP |
string |
IP-osoite, johon yhdistettiin |
RemotePort |
int |
TCP-portti etälaitteessa, johon oli muodostettu yhteys |
LocalIP |
string |
Tiedonsiirron aikana käytetylle paikalliselle konelle määritetty IP-osoite |
LocalPort |
int |
TCP-portti paikallisessa koneessa, jota käytetään viestinnän aikana |
FileOriginUrl |
string |
URL-osoite, josta tiedosto ladattiin |
FileOriginIP |
string |
IP-osoite, josta tiedosto ladattiin |
InitiatingProcessSHA1 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-1 |
InitiatingProcessSHA256 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-256. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä. |
InitiatingProcessMD5 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) MD5-hajautusarvo |
InitiatingProcessFileName |
string |
Tapahtuman aloittaneen prosessin nimi |
InitiatingProcessFileSize |
long |
Tapahtumasta vastuussa olevan prosessin suorittaneen tiedoston koko |
InitiatingProcessFolderPath |
string |
Kansio, joka sisältää tapahtuman aloittaneen prosessin (kuvatiedoston). |
InitiatingProcessId |
int |
Tapahtuman aloittaneen prosessin prosessitunnus (PID) |
InitiatingProcessCommandLine |
string |
Komentorivi, jota käytetään tapahtuman aloittaneen prosessin suorittamiseen |
InitiatingProcessCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuman käynnistänyt prosessi käynnistettiin |
InitiatingProcessAccountDomain |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin toimialue |
InitiatingProcessAccountName |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin käyttäjänimi |
InitiatingProcessAccountSid |
string |
Tapahtumasta vastuussa olevan tilin suojaustunnus (SID) |
InitiatingProcessAccountUpn |
string |
Tapahtumasta vastuussa olevan tilin täydellinen käyttäjätunnus (UPN) |
InitiatingProcessAccountObjectId |
string |
Azure AD sen käyttäjätilin objektitunnuksen, joka suoritti tapahtumasta vastuussa olevan prosessin |
InitiatingProcessVersionInfoCompanyName |
string |
Yrityksen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductName |
string |
Tuotteen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductVersion |
string |
Tuoteversio tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoInternalFileName |
string |
Sisäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Alkuperäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoFileDescription |
string |
Tapahtumasta vastaavan prosessin (kuvatiedoston) versiotietojen kuvaus |
InitiatingProcessParentId |
int |
Tapahtumasta vastuussa olevan prosessin luoneen pääprosessin prosessitunnus (PID) |
InitiatingProcessParentFileName |
string |
Tapahtumasta vastuussa olevan prosessin synnyttäneen pääprosessin nimi |
InitiatingProcessParentCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtumasta vastaavan prosessin pääelementtiä on aloitettu |
InitiatingProcessLogonId |
string |
Tapahtuman aloittaneen prosessin kirjautumisistunnon tunnus. Tämä tunnus on yksilöllinen samassa tietokoneessa vain uudelleenkäynnistysten välillä |
ReportId |
long |
Toistuvaan laskuriin perustuva tapahtumatunnus. Yksilöllisten tapahtumien tunnistamiseksi tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa |
AppGuardContainerId |
string |
Tunnus virtualisoidulle säilölle, jota Sovellussuoja käyttää selaimen toiminnan eristämiseen |
AdditionalFields |
string |
Lisätietoja tapahtumasta JSON-matriisimuodossa |