Megosztás a következőn keresztül:


DeviceEvents

Érintett szolgáltatás:

  • Microsoft Defender XDR
  • Végponthoz készült Microsoft Defender

A speciális veszélyforrás-keresési séma különböző eszközeseményei vagy DeviceEvents táblázatai különböző eseménytípusokkal kapcsolatos információkat tartalmaznak, beleértve a biztonsági vezérlők által aktivált eseményeket, például a Microsoft Defender víruskeresőt és a biztonsági rés kiaknázása elleni védelmet. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Tipp

A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
DeviceId string Az eszköz egyedi azonosítója a szolgáltatásban
DeviceName string Az eszköz teljes tartományneve (FQDN)
ActionType string Az eseményt kiváltó tevékenység típusa. A részletekért tekintse meg a portálon belüli sémareferenciát .
FileName string Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták
FolderPath string A rögzített műveletet alkalmazó fájlt tartalmazó mappa
SHA1 string A rögzített műveletet alkalmazó fájl SHA-1 fájlja
SHA256 string A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
MD5 string A rögzített műveletet alkalmazó fájl MD5-kivonata
FileSize long A fájl mérete bájtban
AccountDomain string A fiók tartománya
AccountName string A fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, a fiók Entra-azonosítójának felhasználóneve jelenhet meg helyette
AccountSid string A fiók biztonsági azonosítója (SID)
RemoteUrl string A csatlakoztatott URL-cím vagy teljes tartománynév (FQDN)
RemoteDeviceName string Annak az eszköznek a neve, amely távoli műveletet hajtott végre az érintett eszközön. A jelentett eseménytől függően ez a név lehet egy teljes tartománynév (FQDN), egy NetBIOS-név vagy egy gazdagépnév tartományi adatok nélkül.
ProcessId long Az újonnan létrehozott folyamat folyamatazonosítója (PID)
ProcessCommandLine string Az új folyamat létrehozásához használt parancssor
ProcessCreationTime datetime A folyamat létrehozásának dátuma és időpontja
ProcessTokenElevation string Az újonnan létrehozott folyamatra alkalmazott jogkivonat-emelés típusát jelzi. Lehetséges értékek: TokenElevationTypeLimited (korlátozott), TokenElevationTypeDefault (standard) és TokenElevationTypeFull (emelt szintű)
LogonId long Bejelentkezési munkamenet azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön.
RegistryKey string Beállításkulcs, amellyel a rögzített műveletet alkalmazták
RegistryValueName string Annak a beállításjegyzék-értéknek a neve, amelyekre a rögzített műveletet alkalmazták
RegistryValueData string Azon beállításazonosító adatai, amelyekre a rögzített műveletet alkalmazták
RemoteIP string A csatlakoztatott IP-cím
RemotePort int TCP-port azon a távoli eszközön, amelyhez csatlakozik
LocalIP string A kommunikáció során használt helyi eszközhöz rendelt IP-cím
LocalPort int TCP-port a kommunikáció során használt helyi eszközön
FileOriginUrl string AZ URL-cím, ahonnan a fájlt letöltötték
FileOriginIP string IP-cím, ahonnan a fájlt letöltötték
InitiatingProcessSHA1 string Az eseményt kezdeményező folyamat (képfájl) SHA-1
InitiatingProcessSHA256 string SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
InitiatingProcessMD5 string Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata
InitiatingProcessFileName string Az eseményt kezdeményező folyamatfájl neve; ha nem érhető el, előfordulhat, hogy az eseményt kezdeményező folyamat neve jelenik meg
InitiatingProcessFileSize long Az eseményért felelős folyamatot futtató fájl mérete
InitiatingProcessFolderPath string Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa
InitiatingProcessId long Az eseményt kezdeményező folyamat folyamatazonosítója (PID)
InitiatingProcessCommandLine string Az eseményt kezdeményező folyamat futtatásához használt parancssor
InitiatingProcessCreationTime datetime Az eseményt kezdeményező folyamat indításának dátuma és időpontja
InitiatingProcessAccountDomain string Az eseményért felelős folyamatot futtató fiók tartománya
InitiatingProcessAccountName string Az eseményért felelős folyamatot futtató fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra-azonosító felhasználóneve jelenhet meg helyette
InitiatingProcessAccountSid string Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID)
InitiatingProcessAccountUpn string Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra ID UPN-je jelenhet meg helyette
InitiatingProcessAccountObjectId string Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját
InitiatingProcessVersionInfoCompanyName string Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév
InitiatingProcessVersionInfoProductName string Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl)
InitiatingProcessVersionInfoProductVersion string Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió
InitiatingProcessVersionInfoInternalFileName string Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl)
InitiatingProcessVersionInfoOriginalFileName string Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl)
InitiatingProcessVersionInfoFileDescription string Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása
InitiatingProcessParentId long Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID)
InitiatingProcessParentFileName string Az eseményért felelős folyamatot kiváltó szülőfolyamat neve vagy teljes elérési útja
InitiatingProcessParentCreationTime datetime Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja
InitiatingProcessLogonId long Az eseményt kezdeményező folyamat bejelentkezési munkamenetének azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön.
ReportId long Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni.
AppGuardContainerId string A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója
AdditionalFields string További információ az eseményről JSON-tömbformátumban
InitiatingProcessSessionId long A kezdeményező folyamat Windows-munkamenet-azonosítója
IsInitiatingProcessRemoteSession bool Azt jelzi, hogy a kezdeményező folyamatot távoli asztali protokoll (RDP) munkamenet (true) vagy helyi (hamis) alatt futtatták-e.
InitiatingProcessRemoteSessionDeviceName string Annak a távoli eszköznek az eszközneve, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték
InitiatingProcessRemoteSessionIP string Annak a távoli eszköznek az IP-címe, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték
CreatedProcessSessionId long A létrehozott folyamat Windows-munkamenet-azonosítója
IsProcessRemoteSession bool Azt jelzi, hogy a létrehozott folyamat távoli asztali protokoll (RDP) munkamenet (igaz) vagy helyi (hamis) alatt futott-e.
ProcessRemoteSessionDeviceName string Annak a távoli eszköznek az eszközneve, amelyről a létrehozott folyamat RDP-munkamenetét kezdeményezték
ProcessRemoteSessionIP string Annak a távoli eszköznek az IP-címe, amelyről a létrehozott folyamat RDP-munkamenetét kezdeményezték

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.