DeviceEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
A speciális veszélyforrás-keresési séma különböző eszközeseményei vagy DeviceEvents
táblázatai különböző eseménytípusokkal kapcsolatos információkat tartalmaznak, beleértve a biztonsági vezérlők által aktivált eseményeket, például a Microsoft Defender víruskeresőt és a biztonsági rés kiaknázása elleni védelmet. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionType
értékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
DeviceId |
string |
Az eszköz egyedi azonosítója a szolgáltatásban |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa. A részletekért tekintse meg a portálon belüli sémareferenciát . |
FileName |
string |
Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták |
FolderPath |
string |
A rögzített műveletet alkalmazó fájlt tartalmazó mappa |
SHA1 |
string |
A rögzített műveletet alkalmazó fájl SHA-1 fájlja |
SHA256 |
string |
A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
MD5 |
string |
A rögzített műveletet alkalmazó fájl MD5-kivonata |
FileSize |
long |
A fájl mérete bájtban |
AccountDomain |
string |
A fiók tartománya |
AccountName |
string |
A fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, a fiók Entra-azonosítójának felhasználóneve jelenhet meg helyette |
AccountSid |
string |
A fiók biztonsági azonosítója (SID) |
RemoteUrl |
string |
A csatlakoztatott URL-cím vagy teljes tartománynév (FQDN) |
RemoteDeviceName |
string |
Annak az eszköznek a neve, amely távoli műveletet hajtott végre az érintett eszközön. A jelentett eseménytől függően ez a név lehet egy teljes tartománynév (FQDN), egy NetBIOS-név vagy egy gazdagépnév tartományi adatok nélkül. |
ProcessId |
long |
Az újonnan létrehozott folyamat folyamatazonosítója (PID) |
ProcessCommandLine |
string |
Az új folyamat létrehozásához használt parancssor |
ProcessCreationTime |
datetime |
A folyamat létrehozásának dátuma és időpontja |
ProcessTokenElevation |
string |
Az újonnan létrehozott folyamatra alkalmazott jogkivonat-emelés típusát jelzi. Lehetséges értékek: TokenElevationTypeLimited (korlátozott), TokenElevationTypeDefault (standard) és TokenElevationTypeFull (emelt szintű) |
LogonId |
long |
Bejelentkezési munkamenet azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön. |
RegistryKey |
string |
Beállításkulcs, amellyel a rögzített műveletet alkalmazták |
RegistryValueName |
string |
Annak a beállításjegyzék-értéknek a neve, amelyekre a rögzített műveletet alkalmazták |
RegistryValueData |
string |
Azon beállításazonosító adatai, amelyekre a rögzített műveletet alkalmazták |
RemoteIP |
string |
A csatlakoztatott IP-cím |
RemotePort |
int |
TCP-port azon a távoli eszközön, amelyhez csatlakozik |
LocalIP |
string |
A kommunikáció során használt helyi eszközhöz rendelt IP-cím |
LocalPort |
int |
TCP-port a kommunikáció során használt helyi eszközön |
FileOriginUrl |
string |
AZ URL-cím, ahonnan a fájlt letöltötték |
FileOriginIP |
string |
IP-cím, ahonnan a fájlt letöltötték |
InitiatingProcessSHA1 |
string |
Az eseményt kezdeményező folyamat (képfájl) SHA-1 |
InitiatingProcessSHA256 |
string |
SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
InitiatingProcessMD5 |
string |
Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata |
InitiatingProcessFileName |
string |
Az eseményt kezdeményező folyamatfájl neve; ha nem érhető el, előfordulhat, hogy az eseményt kezdeményező folyamat neve jelenik meg |
InitiatingProcessFileSize |
long |
Az eseményért felelős folyamatot futtató fájl mérete |
InitiatingProcessFolderPath |
string |
Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa |
InitiatingProcessId |
long |
Az eseményt kezdeményező folyamat folyamatazonosítója (PID) |
InitiatingProcessCommandLine |
string |
Az eseményt kezdeményező folyamat futtatásához használt parancssor |
InitiatingProcessCreationTime |
datetime |
Az eseményt kezdeményező folyamat indításának dátuma és időpontja |
InitiatingProcessAccountDomain |
string |
Az eseményért felelős folyamatot futtató fiók tartománya |
InitiatingProcessAccountName |
string |
Az eseményért felelős folyamatot futtató fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra-azonosító felhasználóneve jelenhet meg helyette |
InitiatingProcessAccountSid |
string |
Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID) |
InitiatingProcessAccountUpn |
string |
Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra ID UPN-je jelenhet meg helyette |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját |
InitiatingProcessVersionInfoCompanyName |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév |
InitiatingProcessVersionInfoProductName |
string |
Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl) |
InitiatingProcessVersionInfoProductVersion |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió |
InitiatingProcessVersionInfoInternalFileName |
string |
Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl) |
InitiatingProcessVersionInfoFileDescription |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása |
InitiatingProcessParentId |
long |
Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID) |
InitiatingProcessParentFileName |
string |
Az eseményért felelős folyamatot kiváltó szülőfolyamat neve vagy teljes elérési útja |
InitiatingProcessParentCreationTime |
datetime |
Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja |
InitiatingProcessLogonId |
long |
Az eseményt kezdeményező folyamat bejelentkezési munkamenetének azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön. |
ReportId |
long |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni. |
AppGuardContainerId |
string |
A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója |
AdditionalFields |
string |
További információ az eseményről JSON-tömbformátumban |
InitiatingProcessSessionId |
long |
A kezdeményező folyamat Windows-munkamenet-azonosítója |
IsInitiatingProcessRemoteSession |
bool |
Azt jelzi, hogy a kezdeményező folyamatot távoli asztali protokoll (RDP) munkamenet (true) vagy helyi (hamis) alatt futtatták-e. |
InitiatingProcessRemoteSessionDeviceName |
string |
Annak a távoli eszköznek az eszközneve, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték |
InitiatingProcessRemoteSessionIP |
string |
Annak a távoli eszköznek az IP-címe, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték |
CreatedProcessSessionId |
long |
A létrehozott folyamat Windows-munkamenet-azonosítója |
IsProcessRemoteSession |
bool |
Azt jelzi, hogy a létrehozott folyamat távoli asztali protokoll (RDP) munkamenet (igaz) vagy helyi (hamis) alatt futott-e. |
ProcessRemoteSessionDeviceName |
string |
Annak a távoli eszköznek az eszközneve, amelyről a létrehozott folyamat RDP-munkamenetét kezdeményezték |
ProcessRemoteSessionIP |
string |
Annak a távoli eszköznek az IP-címe, amelyről a létrehozott folyamat RDP-munkamenetét kezdeményezték |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.