DeviceEvents
Questa tabella fa parte di Microsoft Defender per endpoint con Azure Sentinel. Questa tabella contiene più tipi di evento, inclusi gli eventi attivati dai controlli di sicurezza, ad esempio Windows Defender Antivirus e protezione exploit.
Attributi tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AccountDomain | string | Dominio dell'account. |
| AccountName | string | Nome utente dell'account. |
| AccountSid | string | Identificatore di sicurezza (SID) dell'account. |
| ActionType | string | Tipo di attività che ha attivato l'evento. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId | string | Identificatore per il contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize | real | Dimensioni del record in byte |
| DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
| DeviceName | string | Nome di dominio completo (FQDN) del dispositivo. |
| FileName | string | Dominio dell'account. |
| FileOriginIP | string | Indirizzo IP da cui è stato scaricato il file. |
| FileOriginUrl | string | URL da cui è stato scaricato il file. |
| FileSize | long | Dimensioni del file, in byte. |
| FolderPath | string | Dominio dell'account. |
| AvvioprocessAccountDomain | string | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountName | string | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountObjectId | string | ID oggetto Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| Avvio diProcessAccountSid | string | Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountUpn | string | Nome entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessCommandLine | string | Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| AvvioprocessCreationTime | Datetime | Data e ora dell'avvio del processo avviato dall'evento. |
| AvvioProcessFileName | string | Nome del processo che ha avviato l'evento. |
| AvvioprocessFileSize | long | Dimensioni in byte del file che ha eseguito il processo responsabile dell'evento. |
| Avvio diProcessFolderPath | string | Cartella contenente il processo (file immagine) che ha avviato l'evento. |
| AvvioprocessId | long | ID processo (PID) del processo che ha avviato l'evento. |
| AvvioprocessLogonId | long | Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| AvvioprocessMD5 | string | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessParentCreationTime | Datetime | Data e ora dell'avvio del processo responsabile del processo. |
| AvvioprocessParentFileName | string | Nome del processo padre che ha generato il processo responsabile dell'evento. |
| Avvio diProcessParentId | long | ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessSHA1 | string | HASH SHA-1 del processo (file immagine) che ha avviato l'evento. |
| AvvioprocessSHA256 | string | HASH SHA-256 del processo (file immagine) che ha avviato l'evento. Questo campo in genere non viene popolato: usare la colonna SHA1 quando disponibile. |
| AvvioprocessVersionInfoCompanyName | string | Nome della società dalle informazioni sulla versione del processo (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoFileDescription | string | Descrizione dalle informazioni sulla versione del processo (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoInternalFileName | string | Nome file interno dalle informazioni sulla versione del processo (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoOriginalFileName | string | Nome file originale dalle informazioni sulla versione del processo (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoProductName | string | Nome del prodotto dalle informazioni sulla versione del processo (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoProductVersion | string | Versione del prodotto dalle informazioni sulla versione del processo (file immagine) responsabile dell'evento. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| LocalIP | string | Indirizzo IP assegnato al computer locale usato durante la comunicazione. |
| Porta locale | INT | Porta TCP nel computer locale usato durante la comunicazione. |
| LogonId | long | Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| MachineGroup | string | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| MD5 | string | Hash MD5 del file a cui è stata applicata l'azione registrata. |
| ProcessCommandLine | string | Riga di comando usata per creare il nuovo processo. |
| ProcessCreationTime | Datetime | Data e ora di creazione del processo. |
| ProcessId | long | ID processo (PID) del processo appena creato. |
| ProcessTokenElevation | string | Tipo di token che indica la presenza o l'assenza di privilegi utente Controllo di accesso (UAC) applicati al processo appena creato. |
| RegistryKey | string | Chiave del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueData | string | Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueName | string | Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RemoteDeviceName | string | Nome del dispositivo che ha eseguito un'operazione remota nel computer interessato. A seconda dell'evento segnalato, questo nome potrebbe essere un nome di dominio completo (FQDN), un nome NetBIOS o un nome host senza informazioni di dominio. |
| RemoteIP | string | Indirizzo IP a cui è stato connesso. |
| Porta remota | INT | Porta TCP nel dispositivo remoto a cui è stata eseguita la connessione. |
| RemoteUrl | string | URL o nome di dominio completo (FQDN) a cui è stato connesso. |
| ReportId | long | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere usata insieme alle colonne ComputerName e EventTime. |
| SHA1 | string | Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 | string | SHA-256 del file a cui è stata applicata l'azione registrata. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per