DeviceNetworkEvents
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור נקודת קצה
הטבלה DeviceNetworkEventsבסכימת הציד המתקדמות מכילה מידע אודות חיבורי רשת ואירועים קשורים. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionTypeערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
DeviceId |
string |
מזהה ייחודי עבור המכשיר בשירות |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע. עיין בהפניית הסכימה בתוך הפורטל לקבלת פרטים. |
RemoteIP |
string |
כתובת IP המחוברת אליה |
RemotePort |
int |
יציאת TCP בהתקן המרוחק שהיה מחובר אליה |
RemoteUrl |
string |
כתובת URL או שם תחום מלא (FQDN) שהיה מחובר אל |
LocalIP |
string |
כתובת IP של מקור, או כתובת ה- IP שבה הגיעה התקשורת |
LocalPort |
int |
יציאת TCP בהתקן המקומי שבו נעשה שימוש במהלך תקשורת |
Protocol |
string |
הפרוטוקול המשמש במהלך התקשורת |
LocalIPType |
string |
סוג כתובת IP, לדוגמה ציבורי, פרטי, שמור, לולאה חוזרת, Teredo, FourToSixMapping ושידור |
RemoteIPType |
string |
סוג כתובת IP, לדוגמה ציבורי, פרטי, שמור, לולאה חוזרת, Teredo, FourToSixMapping ושידור |
InitiatingProcessSHA1 |
string |
SHA-1 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessSHA256 |
string |
SHA-256 של התהליך (קובץ תמונה) שהתחל את האירוע. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין. |
InitiatingProcessMD5 |
string |
קוד Hash של MD5 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessFileName |
string |
שם קובץ התהליך שהתחל את האירוע; אם לא זמין, ייתכן שתרצה להציג במקום זאת את שם התהליך שהתחילה את האירוע |
InitiatingProcessFileSize |
long |
גודל הקובץ שהרץ את התהליך האחראי לאירוע |
InitiatingProcessVersionInfoCompanyName |
string |
שם חברה ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductName |
string |
שם מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductVersion |
string |
גירסת מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoInternalFileName |
string |
שם קובץ פנימי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoOriginalFileName |
string |
שם הקובץ המקורי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoFileDescription |
string |
תיאור ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessId |
long |
מזהה תהליך (PID) של התהליך שה מאתחל את האירוע |
InitiatingProcessCommandLine |
string |
שורת הפקודה המשמשת להפעלת התהליך שהפעיל את האירוע |
InitiatingProcessCreationTime |
datetime |
תאריך ושעה שבהם התהליך שהחיל את האירוע הופעל |
InitiatingProcessFolderPath |
string |
תיקיה המכילה את התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessParentFileName |
string |
שם תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentId |
long |
מזהה תהליך (PID) של תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentCreationTime |
datetime |
התאריך והשעה שבהם האב של התהליך האחראי לאירוע הופעל |
InitiatingProcessAccountDomain |
string |
תחום החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountName |
string |
שם המשתמש של החשבון שהרץ את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, שם המשתמש Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להיות מוצג במקום זאת |
InitiatingProcessAccountSid |
string |
מזהה אבטחה (SID) של החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון שהגדיר את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, ה- UPN מסוג Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להופיע במקום זאת |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra מזהה האובייקט של חשבון המשתמש שהרץ את התהליך האחראי לאירוע |
InitiatingProcessIntegrityLevel |
string |
רמת תקינות של התהליך שה מאתחל את האירוע. Windows מקצה רמות תקינות לתהליכים בהתבסס על מאפיינים מסוימים, כגון אם הם הופעלו מהורדה באינטרנט. רמות תקינות אלה משפיעות על הרשאות למשאבים. |
InitiatingProcessTokenElevation |
string |
סוג אסימון המציין את רמת הנוכחות או היעדרה של העלאת הרשאה של בקרת גישת משתמש (UAC) שחלה על התהליך שה הפעיל את האירוע |
ReportId |
long |
מזהה אירוע בהתבסס על מונה חוזר. כדי לזהות אירועים ייחודיים, יש להשתמש בעמודה זו בשילוב עם העמודות DeviceName ו- Timestamp. |
AppGuardContainerId |
string |
מזהה עבור הגורם המכיל הווירטואלי המשמש את Application Guard כדי לבודד פעילות דפדפן |
AdditionalFields |
string |
מידע נוסף אודות האירוע בתבנית מערך JSON |
InitiatingProcessSessionId |
long |
מזהה ההפעלה של Windows של תהליך ההפעלה |
IsInitiatingProcessRemoteSession |
bool |
מציין אם תהליך ההפעלה הופעל תחת הפעלת פרוטוקול שולחן עבודה מרוחק (RDP) (true) או באופן מקומי (False) |
InitiatingProcessRemoteSessionDeviceName |
string |
שם המכשיר של המכשיר המרוחק ממנו הופעלה הפעלת ה- RDP של התהליך היזמית |
InitiatingProcessRemoteSessionIP |
string |
כתובת IP של המכשיר המרוחק שממנה הופעלה הפעלת ה- RDP של תהליך ההפעלות |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.