DeviceNetworkInfo
Microsoft Defender pour la table des événements réseau d’appareils MDE (Endpoints). Ce tableau contient des informations sur les connexions réseau et les événements associés lancés par les processus en cours d’exécution sur le point de terminaison.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| ActionType | string | Type d’activité qui a déclenché l’événement. |
| AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId | string | Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| deviceId | string | Identificateur unique de l’appareil dans le service. |
| DeviceName | string | Nom de domaine complet (FQDN) de l’appareil. |
| InitialingProcessAccountDomain | string | Domaine du compte qui a exécuté le processus de lancement. |
| InitialingProcessAccountName | string | Nom d’utilisateur du compte qui a exécuté le processus de lancement. |
| InitialingProcessAccountObjectId | string | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus de lancement. |
| InitialingProcessAccountSid | string | Identificateur de sécurité (SID) du compte qui a exécuté le processus de lancement. |
| InitiatingProcessAccountUpn | string | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus de lancement. |
| InitialingProcessCommandLine | string | Ligne de commande utilisée pour exécuter le processus de lancement. |
| InitiatingProcessCreationTime | DATETIME | Date et heure de démarrage du processus qui a lancé l’événement. |
| InitialingProcessFileName | string | Nom du processus de lancement. |
| InitialingProcessFileSize | long | Taille du fichier (octets) qui a exécuté le processus responsable de l’événement. |
| InitialingProcessFolderPath | string | Dossier contenant le processus de lancement (fichier image). |
| InitialingProcessId | long | ID de processus (PID) du processus initial. |
| InitiatingProcessIntegrityLevel | string | Niveau d’intégrité du processus initial. Windows attribue des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement sur Internet. Ces niveaux d’intégrité influencent les autorisations d’accès aux ressources. |
| Lancement deProcessMD5 | string | Hachage MD5 du processus de lancement (fichier image). |
| InitiatingProcessParentCreationTime | DATETIME | Date et heure de démarrage du parent du processus responsable de l’événement. |
| InitiatingProcessParentFileName | string | Nom du processus parent qui a généré le processus initial. |
| InitiatingProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus initial. |
| InitialingProcessSHA1 | string | Hachage SHA-1 du processus de lancement (fichier image). |
| Lancement deProcessSHA256 | string | Hachage SHA-256 du processus de lancement (fichier image). Dans certains cas, cette colonne peut ne pas être remplie. Utilisez plutôt la colonne InitiatingProcessSHA1. |
| Lancement deProcessTokenElevation | string | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges Access Control utilisateur (UAC) appliquée au processus de lancement. |
| InitialingProcessVersionInfoCompanyName | string | Nom de la société dans les informations de version (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoFileDescription | string | Description dans les informations de version (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoInternalFileName | string | Nom de fichier interne dans les informations de version (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nom du fichier d’origine dans les informations de version (fichier image) responsable de l’événement. |
| InitialingProcessVersionInfoProductName | string | Nom du produit dans les informations de version (fichier image) responsable de l’événement. |
| Lancement deProcessVersionInfoProductVersion | string | Version du produit dans les informations de version (fichier image) responsable de l’événement. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| LocalIP | string | Adresse IP affectée à l’ordinateur local utilisé lors de la communication. |
| LocalIPType | string | Type d’adresse IP, par exemple Public, Private, Reserved, Loopback, Teredo, FourToSixMapping et Broadcast. |
| LocalPort | int | Port TCP sur l’ordinateur local utilisé pendant la communication. |
| MachineGroup | string | Groupe d’ordinateurs de la machine. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à la machine. |
| Protocol | string | Protocole IP utilisé, qu’il s’agisse de TCP ou d’UDP. |
| RemoteIP | string | Adresse IP à laquelle était connecté. |
| RemoteIPType | string | Type d’adresse IP, par exemple Public, Private, Reserved, Loopback, Teredo, FourToSixMapping et Broadcast. |
| RemotePort | int | Port TCP sur l’appareil distant auquel était connecté. |
| RemoteUrl | string | URL ou nom de domaine complet (FQDN) auquel était connecté. |
| ReportId | long | Identificateur d’événement basé sur un compteur répétiteur. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour