Del via


DeviceEvents

Gjelder for:

  • Microsoft Defender XDR
  • Microsoft Defender for endepunkt

De diverse enhetshendelsene eller DeviceEvents tabellene i det avanserte jaktskjemaet inneholder informasjon om ulike hendelsestyper, inkludert hendelser utløst av sikkerhetskontroller, for eksempel Microsoft Defender antivirus- og utnyttelsesbeskyttelse. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.

Tips

Hvis du vil ha detaljert informasjon om hendelsestypene (ActionTypeverdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.

Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslett hendelsen ble registrert
DeviceId string Unik identifikator for enheten i tjenesten
DeviceName string Fullstendig domenenavn (FQDN) på enheten
ActionType string Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon.
FileName string Navnet på filen som den registrerte handlingen ble brukt på
FolderPath string Mappe som inneholder filen som den registrerte handlingen ble brukt på
SHA1 string SHA-1 for filen som den registrerte handlingen ble brukt på
SHA256 string SHA-256 av filen som den registrerte handlingen ble brukt på. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig.
MD5 string MD5-hash for filen som den registrerte handlingen ble brukt på
FileSize long Størrelsen på filen i byte
AccountDomain string Domene for kontoen
AccountName string Brukernavnet til kontoen, hvis enheten er registrert i Microsoft Entra ID, kan det hende at Entra ID-brukernavnet for kontoen vises i stedet
AccountSid string Sikkerhetsidentifikator (SID) for kontoen
RemoteUrl string URL-adresse eller fullstendig domenenavn (FQDN) som ble koblet til
RemoteDeviceName string Navnet på enheten som utførte en ekstern operasjon på den berørte enheten. Avhengig av hendelsen som rapporteres, kan dette navnet være et fullstendig domenenavn (FQDN), et NetBIOS-navn eller et vertsnavn uten domeneinformasjon.
ProcessId long Prosess-ID (PID) for den nyopprettede prosessen
ProcessCommandLine string Kommandolinje som brukes til å opprette den nye prosessen
ProcessCreationTime datetime Dato og klokkeslett prosessen ble opprettet
ProcessTokenElevation string Angir typen tokenforhøyning som brukes på den nylig opprettede prosessen. Mulige verdier: TokenElevationTypeLimited (begrenset), TokenElevationTypeDefault (standard) og TokenElevationTypeFull (forhøyet)
LogonId long Identifikator for en påloggingsøkt. Denne identifikatoren er unik på samme enhet bare mellom omstarter.
RegistryKey string Registernøkkelen som den registrerte handlingen ble brukt på
RegistryValueName string Navnet på registerverdien som den registrerte handlingen ble brukt på
RegistryValueData string Data for registerverdien som den registrerte handlingen ble brukt på
RemoteIP string IP-adresse som ble koblet til
RemotePort int TCP-port på den eksterne enheten som ble koblet til
LocalIP string IP-adresse tilordnet den lokale enheten som brukes under kommunikasjon
LocalPort int TCP-port på den lokale enheten som brukes under kommunikasjon
FileOriginUrl string URL-adressen der filen ble lastet ned fra
FileOriginIP string IP-adressen der filen ble lastet ned fra
InitiatingProcessSHA1 string SHA-1 av prosessen (bildefil) som startet hendelsen
InitiatingProcessSHA256 string SHA-256 av prosessen (bildefil) som startet hendelsen. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig.
InitiatingProcessMD5 string MD5-hash for prosessen (bildefil) som startet hendelsen
InitiatingProcessFileName string Navnet på prosessfilen som startet hendelsen. hvis det ikke er tilgjengelig, kan navnet på prosessen som startet hendelsen, vises i stedet
InitiatingProcessFileSize long Størrelsen på filen som kjørte prosessen som var ansvarlig for hendelsen
InitiatingProcessFolderPath string Mappe som inneholder prosessen (bildefilen) som startet hendelsen
InitiatingProcessId long Prosess-ID (PID) for prosessen som startet hendelsen
InitiatingProcessCommandLine string Kommandolinje som brukes til å kjøre prosessen som startet hendelsen
InitiatingProcessCreationTime datetime Dato og klokkeslett da prosessen som startet hendelsen, ble startet
InitiatingProcessAccountDomain string Domene for kontoen som kjørte prosessen som var ansvarlig for hendelsen
InitiatingProcessAccountName string Brukernavnet til kontoen som kjørte prosessen som var ansvarlig for hendelsen. hvis enheten er registrert i Microsoft Entra ID, kan navnet på Entra ID-brukernavnet til kontoen som kjørte prosessen som var ansvarlig for hendelsen, vises i stedet
InitiatingProcessAccountSid string Sikkerhetsidentifikator (SID) for kontoen som kjørte prosessen som var ansvarlig for hendelsen
InitiatingProcessAccountUpn string Brukerhovednavn (UPN) for kontoen som kjørte prosessen som var ansvarlig for hendelsen. hvis enheten er registrert i Microsoft Entra ID, kan Entra ID UPN for kontoen som kjørte prosessen som var ansvarlig for hendelsen, vises i stedet
InitiatingProcessAccountObjectId string Microsoft Entra objekt-ID for brukerkontoen som kjørte prosessen som var ansvarlig for hendelsen
InitiatingProcessVersionInfoCompanyName string Firmanavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen
InitiatingProcessVersionInfoProductName string Produktnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen
InitiatingProcessVersionInfoProductVersion string Produktversjon fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen
InitiatingProcessVersionInfoInternalFileName string Internt filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen
InitiatingProcessVersionInfoOriginalFileName string Opprinnelig filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen
InitiatingProcessVersionInfoFileDescription string Beskrivelse fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen
InitiatingProcessParentId long Prosess-ID (PID) for den overordnede prosessen som utløste prosessen som var ansvarlig for hendelsen
InitiatingProcessParentFileName string Navn eller fullstendig bane for den overordnede prosessen som startet prosessen som var ansvarlig for hendelsen
InitiatingProcessParentCreationTime datetime Dato og klokkeslett da den overordnede for prosessen som var ansvarlig for hendelsen, ble startet
InitiatingProcessLogonId long Identifikator for en påloggingsøkt for prosessen som startet hendelsen. Denne identifikatoren er unik på samme enhet bare mellom omstarter.
ReportId long Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser.
AppGuardContainerId string Identifikator for den virtualiserte beholderen som brukes av Application Guard til å isolere nettleseraktivitet
AdditionalFields string Tilleggsinformasjon om hendelsen i JSON-matriseformat
InitiatingProcessSessionId long Windows-økt-ID for startprosessen
IsInitiatingProcessRemoteSession bool Angir om startprosessen ble kjørt under en RDP-økt (remote desktop protocol) (sann) eller lokalt (usann)
InitiatingProcessRemoteSessionDeviceName string Enhetsnavnet til den eksterne enheten der startprosessens RDP-økt ble startet
InitiatingProcessRemoteSessionIP string IP-adressen til den eksterne enheten der startprosessens RDP-økt ble startet
CreatedProcessSessionId long Windows-økt-ID for den opprettede prosessen
IsProcessRemoteSession bool Angir om den opprettede prosessen ble kjørt under en RDP-økt (remote desktop protocol) (sann) eller lokalt (usann)
ProcessRemoteSessionDeviceName string Enhetsnavnet til den eksterne enheten som RDP-økten ble opprettet fra
ProcessRemoteSessionIP string IP-adressen til den eksterne enheten som RDP-økten ble opprettet fra

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.