DeviceEvents
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור נקודת קצה
אירועי המכשיר או הטבלה DeviceEvents השונים בסכימת הציד המתקדמות מכילים מידע אודות סוגי אירועים שונים, כולל אירועים המופעלים על-ידי פקדי אבטחה, כגון Microsoft Defender אנטי-וירוס והגנה מפני ניצול לרעה. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionTypeערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
DeviceId |
string |
מזהה ייחודי עבור המכשיר בשירות |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע. עיין בהפניית הסכימה בתוך הפורטל לקבלת פרטים. |
FileName |
string |
שם הקובץ הפעולה המוקלטת הוחלה עליו |
FolderPath |
string |
תיקיה המכילה את הקובץ הפעולה המוקלטת הוחלה עליו |
SHA1 |
string |
SHA-1 של הקובץ הפעולה המוקלטת הוחלה עליו |
SHA256 |
string |
SHA-256 של הקובץ הפעולה המוקלטת הוחלה עליו. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין. |
MD5 |
string |
קוד Hash של MD5 של הקובץ הפעולה המוקלטת הוחלה עליו |
FileSize |
long |
גודל הקובץ בבתים |
AccountDomain |
string |
תחום החשבון |
AccountName |
string |
שם המשתמש של החשבון; אם המכשיר רשום ב- Microsoft Entra מזהה, ייתכן המזהה המלא של החשבון יוצג במקום זאת |
AccountSid |
string |
מזהה אבטחה (SID) של החשבון |
RemoteUrl |
string |
כתובת URL או שם תחום מלא (FQDN) שהיה מחובר אל |
RemoteDeviceName |
string |
שם המכשיר שביצע פעולה מרוחקת במכשיר המושפע. בהתאם לאירוע שדווח, שם זה עשוי להיות שם תחום מלא (FQDN), שם NetBIOS או שם מחשב מארח ללא פרטי תחום. |
ProcessId |
long |
מזהה תהליך (PID) של התהליך החדש שנוצר |
ProcessCommandLine |
string |
שורת הפקודה המשמשת ליצירת התהליך החדש |
ProcessCreationTime |
datetime |
התאריך והשעה בתהליך נוצרו |
ProcessTokenElevation |
string |
מציין את סוג העלאת האסימון המוחלת על התהליך החדש שנוצר. ערכים אפשריים: TokenElevationTypeLimited (מוגבל), TokenElevationTypeDefault (רגיל) ו- TokenElevationTypeFull (עם הרשאות מלאות) |
LogonId |
long |
מזהה עבור הפעלת כניסה. מזהה זה ייחודי באותו מכשיר רק בין הפעלות מחדש. |
RegistryKey |
string |
מפתח רישום הפעולה המוקלטת הוחלה עליו |
RegistryValueName |
string |
שם ערך הרישום הפעולה המוקלטת הוחלה עליו |
RegistryValueData |
string |
נתונים של ערך הרישום הפעולה המוקלטת הוחלה עליו |
RemoteIP |
string |
כתובת IP המחוברת אליה |
RemotePort |
int |
יציאת TCP בהתקן המרוחק שהיה מחובר אליה |
LocalIP |
string |
כתובת IP שהוקצתה למכשיר המקומי המשמש במהלך תקשורת |
LocalPort |
int |
יציאת TCP בהתקן המקומי שבו נעשה שימוש במהלך תקשורת |
FileOriginUrl |
string |
כתובת URL של שם הקובץ שהורד |
FileOriginIP |
string |
כתובת IP שאליה הקובץ הורד |
InitiatingProcessSHA1 |
string |
SHA-1 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessSHA256 |
string |
SHA-256 של התהליך (קובץ תמונה) שהתחל את האירוע. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין. |
InitiatingProcessMD5 |
string |
קוד Hash של MD5 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessFileName |
string |
שם קובץ התהליך שהתחל את האירוע; אם לא זמין, ייתכן שתרצה להציג במקום זאת את שם התהליך שהתחילה את האירוע |
InitiatingProcessFileSize |
long |
גודל הקובץ שהרץ את התהליך האחראי לאירוע |
InitiatingProcessFolderPath |
string |
תיקיה המכילה את התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessId |
long |
מזהה תהליך (PID) של התהליך שה מאתחל את האירוע |
InitiatingProcessCommandLine |
string |
שורת הפקודה המשמשת להפעלת התהליך שהפעיל את האירוע |
InitiatingProcessCreationTime |
datetime |
תאריך ושעה שבהם התהליך שהחיל את האירוע הופעל |
InitiatingProcessAccountDomain |
string |
תחום החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountName |
string |
שם המשתמש של החשבון שהרץ את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, שם המשתמש Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להיות מוצג במקום זאת |
InitiatingProcessAccountSid |
string |
מזהה אבטחה (SID) של החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון שהגדיר את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, ה- UPN מסוג Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להופיע במקום זאת |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra מזהה האובייקט של חשבון המשתמש שהרץ את התהליך האחראי לאירוע |
InitiatingProcessVersionInfoCompanyName |
string |
שם חברה ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductName |
string |
שם מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductVersion |
string |
גירסת מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoInternalFileName |
string |
שם קובץ פנימי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoOriginalFileName |
string |
שם הקובץ המקורי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoFileDescription |
string |
תיאור ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessParentId |
long |
מזהה תהליך (PID) של תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentFileName |
string |
שם או נתיב מלא של תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentCreationTime |
datetime |
התאריך והשעה שבהם האב של התהליך האחראי לאירוע הופעל |
InitiatingProcessLogonId |
long |
מזהה עבור הפעלת כניסה של התהליך שהפעל את האירוע. מזהה זה ייחודי באותו מכשיר רק בין הפעלות מחדש. |
ReportId |
long |
מזהה אירוע בהתבסס על מונה חוזר. כדי לזהות אירועים ייחודיים, יש להשתמש בעמודה זו בשילוב עם העמודות DeviceName ו- Timestamp. |
AppGuardContainerId |
string |
מזהה עבור הגורם המכיל הווירטואלי המשמש את Application Guard כדי לבודד פעילות דפדפן |
AdditionalFields |
string |
מידע נוסף אודות האירוע בתבנית מערך JSON |
InitiatingProcessSessionId |
long |
מזהה ההפעלה של Windows של תהליך ההפעלה |
IsInitiatingProcessRemoteSession |
bool |
מציין אם תהליך ההפעלה הופעל תחת הפעלת פרוטוקול שולחן עבודה מרוחק (RDP) (true) או באופן מקומי (False) |
InitiatingProcessRemoteSessionDeviceName |
string |
שם המכשיר של המכשיר המרוחק ממנו הופעלה הפעלת ה- RDP של התהליך היזמית |
InitiatingProcessRemoteSessionIP |
string |
כתובת IP של המכשיר המרוחק שממנה הופעלה הפעלת ה- RDP של תהליך ההפעלות |
CreatedProcessSessionId |
long |
מזהה ההפעלה של Windows של התהליך שנוצר |
IsProcessRemoteSession |
bool |
ציון אם התהליך שנוצר הופעל בהפעלת פרוטוקול שולחן עבודה מרוחק (RDP) (true) או באופן מקומי (False) |
ProcessRemoteSessionDeviceName |
string |
שם המכשיר של המכשיר המרוחק ממנו הופעלה הפעלת ה- RDP של התהליך שנוצר |
ProcessRemoteSessionIP |
string |
כתובת IP של המכשיר המרוחק ממנו הופעלה הפעלת ה- RDP של התהליך שנוצר |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.