Événement
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantDeviceNetworkInfo
table d’événements réseau d’appareils Microsoft Defender pour point de terminaison s (MDE). Ce tableau contient des informations sur les connexions réseau et les événements associés initiés par les processus s’exécutant sur le point de terminaison.
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | - |
| Colonne | Type | Description |
|---|---|---|
| ActionType | string | Type d’activité qui a déclenché l’événement. |
| AdditionalFields | dynamic | Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId | string | Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| DeviceId | string | Identificateur unique de l’appareil dans le service. |
| DeviceName | string | Nom de domaine complet (FQDN) de l’appareil. |
| Lancement deProcessAccountDomain | string | Domaine du compte qui a exécuté le processus de lancement. |
| Lancement deProcessAccountName | string | Nom d’utilisateur du compte qui a exécuté le processus de lancement. |
| Lancement deProcessAccountObjectId | string | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus de lancement. |
| Lancement deProcessAccountSid | string | Identificateur de sécurité (SID) du compte qui a exécuté le processus de lancement. |
| Lancement deProcessAccountUpn | string | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus de lancement. |
| Lancement deProcessCommandLine | string | Ligne de commande utilisée pour exécuter le processus de lancement. |
| Lancement deProcessCreationTime | DATETIME | Date et heure de démarrage du processus qui a lancé l’événement. |
| Lancement deProcessFileName | string | Nom du processus de lancement. |
| Lancement deProcessFileSize | long | Taille du fichier (octets) qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessFolderPath | string | Dossier contenant le processus de lancement (fichier image). |
| Lancement deProcessId | long | ID de processus (PID) du processus de lancement. |
| Lancement deProcessIntegrityLevel | string | Niveau d’intégrité du processus de lancement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources.. |
| Lancement deProcessMD5 | string | Hachage MD5 du processus de lancement (fichier image). |
| Lancement deProcessParentCreationTime | DATETIME | Date et heure de démarrage du parent du processus responsable de l’événement. |
| Lancement deProcessParentFileName | string | Nom du processus parent qui a généré le processus de lancement. |
| Lancement deProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus de lancement. |
| Lancement deProcessRemoteSessionDeviceName | string | Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| Lancement deProcessRemoteSessionIP | string | Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| Lancement deProcessSessionId | long | ID de session Windows du processus de lancement. |
| Lancement deProcessSHA1 | string | Hachage SHA-1 du processus de lancement (fichier image). |
| Lancement deProcessSHA256 | string | Hachage SHA-256 du processus de lancement (fichier image). Dans certains cas, cette colonne peut ne pas être remplie. Utilisez plutôt la colonne InitiatingProcessSHA1. |
| Lancement deProcessTokenElevation | string | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus de lancement. |
| Lancement deProcessVersionInfoCompanyName | string | Nom de la société dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoFileDescription | string | Description dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoInternalFileName | string | Nom de fichier interne dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoOriginalFileName | string | Nom de fichier d’origine dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoProductName | string | Nom du produit dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoProductVersion | string | Version du produit dans les informations de version (fichier image) responsable de l’événement. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsInitiatingProcessRemoteSession | bool | Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
| LocalIP | string | Adresse IP affectée à l’ordinateur local utilisé pendant la communication. |
| LocalIPType | string | Type d’adresse IP, par exemple Public, Privé, Réservé, Loopback, Teredo, FourToSixMapping et Diffusion. |
| LocalPort | int | Port TCP sur l’ordinateur local utilisé pendant la communication. |
| MachineGroup | string | Groupe d’ordinateurs de l’ordinateur. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
| Protocol | string | Protocole IP utilisé, qu’il s’agisse de TCP ou UDP. |
| RemoteIP | string | Adresse IP à laquelle il était connecté. |
| RemoteIPType | string | Type d’adresse IP, par exemple Public, Privé, Réservé, Loopback, Teredo, FourToSixMapping et Diffusion. |
| RemotePort | int | Port TCP sur l’appareil distant auquel il était connecté. |
| RemoteUrl | string | URL ou nom de domaine complet (FQDN) connecté. |
| ReportId | long | Identificateur d’événement basé sur un compteur répétitif. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| SourceSystem | string | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Type | string | Le nom de la table |
Ressources supplémentaires
Formation
Module
Enquêter sur les appareils dans Microsoft Defender pour point de terminaison - Training
Enquêter sur les appareils dans Microsoft Defender pour point de terminaison
Certification
Microsoft 365 Certified : Endpoint Administrator Associate - Certifications
Planifier et exécuter une stratégie de déploiement de points de terminaison, en utilisant les éléments essentiels de la gestion moderne, les approches de cogestion et l’intégration de Microsoft Intune.