Partage via


DeviceEvents

S’applique à :

  • Microsoft Defender XDR
  • Microsoft Defender pour point de terminaison

La table ou DeviceEvents événements d’appareil divers dans le schéma de repérage avancé contient des informations sur différents types d’événements, y compris les événements déclenchés par des contrôles de sécurité, tels que Microsoft Defender Antivirus et la protection contre les attaques. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
DeviceId string Identificateur unique de l’appareil dans le service
DeviceName string Nom de domaine complet (FQDN) de l’appareil
ActionType string Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail .
FileName string Nom du fichier auquel l’action enregistrée a été appliquée
FolderPath string Dossier contenant le fichier auquel l’action enregistrée a été appliquée
SHA1 string SHA-1 du fichier auquel l’action enregistrée a été appliquée
SHA256 string SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible.
MD5 string Hachage MD5 du fichier auquel l’action enregistrée a été appliquée
FileSize long Taille du fichier en octets
AccountDomain string Domaine du compte
AccountName string Nom d’utilisateur du compte ; si l’appareil est inscrit dans Microsoft Entra ID, le nom d’utilisateur Entra ID du compte peut s’afficher à la place
AccountSid string Identificateur de sécurité (SID) du compte
RemoteUrl string URL ou nom de domaine complet (FQDN) à laquelle/auquel la connexion était en cours
RemoteDeviceName string Nom de l’appareil qui a effectué une opération à distance sur l’appareil affecté. Selon l’événement signalé, ce nom peut être un nom de domaine complet (FQDN), un nom NetBIOS ou un nom d’hôte sans informations de domaine.
ProcessId long ID de processus (PID) du processus nouvellement créé
ProcessCommandLine string Ligne de commande utilisée pour créer le nouveau processus
ProcessCreationTime datetime Date et heure de création du processus
ProcessTokenElevation string Indique le type d’élévation de jeton appliqué au processus nouvellement créé. Valeurs possibles : TokenElevationTypeLimited (restricted), TokenElevationTypeDefault (standard) et TokenElevationTypeFull (avec élévation de privilèges)
LogonId long Identificateur d’une session d’ouverture de session. Cet identificateur est unique sur le même appareil uniquement entre les redémarrages.
RegistryKey string Clé de Registre à laquelle l’action enregistrée a été appliquée
RegistryValueName string Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée
RegistryValueData string Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée
RemoteIP string Adresse IP à laquelle la connexion était en cours
RemotePort int Port TCP sur l’appareil distant auquel était connecté
LocalIP string Adresse IP attribuée à l’appareil local utilisé pendant la communication
LocalPort int Port TCP sur l’appareil local utilisé pendant la communication
FileOriginUrl string URL à partir de laquelle le fichier a été téléchargé
FileOriginIP string Adresse IP à partir de laquelle le fichier a été téléchargé
InitiatingProcessSHA1 string SHA-1 du processus (fichier image) qui a lancé l’événement
InitiatingProcessSHA256 string SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible.
InitiatingProcessMD5 string Hachage MD5 du processus (fichier image) qui a lancé l’événement
InitiatingProcessFileName string Nom du fichier de processus qui a lancé l’événement ; s’il n’est pas disponible, le nom du processus à l’origine de l’événement peut être affiché à la place
InitiatingProcessFileSize long Taille du fichier qui a exécuté le processus responsable de l’événement
InitiatingProcessFolderPath string Dossier contenant le processus (fichier image) qui a lancé l’événement
InitiatingProcessId long ID de processus (PID) du processus qui a lancé l’événement
InitiatingProcessCommandLine string Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement
InitiatingProcessCreationTime datetime Date et heure de démarrage du processus qui a lancé l’événement
InitiatingProcessAccountDomain string Domaine du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountName string Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement ; si l’appareil est inscrit dans Microsoft Entra ID, le nom d’utilisateur de l’ID Entra du compte qui a exécuté le processus responsable de l’événement peut s’afficher à la place
InitiatingProcessAccountSid string Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountUpn string Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement ; si l’appareil est inscrit dans Microsoft Entra ID, l’UPN de l’ID Entra du compte qui a exécuté le processus responsable de l’événement peut s’afficher à la place
InitiatingProcessAccountObjectId string Microsoft Entra’ID d’objet du compte d’utilisateur qui a exécuté le processus responsable de l’événement
InitiatingProcessVersionInfoCompanyName string Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoProductName string Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoProductVersion string Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoInternalFileName string Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoOriginalFileName string Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoFileDescription string Description des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessParentId long ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement
InitiatingProcessParentFileName string Nom ou chemin complet du processus parent qui a généré le processus responsable de l’événement
InitiatingProcessParentCreationTime datetime Date et heure de démarrage du parent du processus responsable de l’événement
InitiatingProcessLogonId long Identificateur d’une session d’ouverture de session du processus qui a lancé l’événement. Cet identificateur est unique sur le même appareil uniquement entre les redémarrages.
ReportId long Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp.
AppGuardContainerId string Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur
AdditionalFields string Informations supplémentaires sur l’événement au format tableau JSON
InitiatingProcessSessionId long ID de session Windows du processus initial
IsInitiatingProcessRemoteSession bool Indique si le processus de lancement a été exécuté sous une session RDP (remote Desktop Protocol) (true) ou localement (false)
InitiatingProcessRemoteSessionDeviceName string Nom de l’appareil distant à partir duquel la session RDP du processus initial a été lancée
InitiatingProcessRemoteSessionIP string Adresse IP de l’appareil distant à partir duquel la session RDP du processus initial a été lancée
CreatedProcessSessionId long ID de session Windows du processus créé
IsProcessRemoteSession bool Indique si le processus créé a été exécuté sous une session RDP (remote Desktop Protocol) (true) ou localement (false)
ProcessRemoteSessionDeviceName string Nom de l’appareil distant à partir duquel la session RDP du processus créé a été lancée
ProcessRemoteSessionIP string Adresse IP de l’appareil distant à partir duquel la session RDP du processus créé a été lancée

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.