DeviceEvents
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt
De diverse enhetshendelsene eller DeviceEvents
tabellene i det avanserte jaktskjemaet inneholder informasjon om ulike hendelsestyper, inkludert hendelser utløst av sikkerhetskontroller, for eksempel Microsoft Defender antivirus- og utnyttelsesbeskyttelse. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionType
verdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
DeviceId |
string |
Unik identifikator for enheten i tjenesten |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
ActionType |
string |
Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon. |
FileName |
string |
Navnet på filen som den registrerte handlingen ble brukt på |
FolderPath |
string |
Mappe som inneholder filen som den registrerte handlingen ble brukt på |
SHA1 |
string |
SHA-1 for filen som den registrerte handlingen ble brukt på |
SHA256 |
string |
SHA-256 av filen som den registrerte handlingen ble brukt på. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig. |
MD5 |
string |
MD5-hash for filen som den registrerte handlingen ble brukt på |
FileSize |
long |
Størrelsen på filen i byte |
AccountDomain |
string |
Domene for kontoen |
AccountName |
string |
Brukernavnet til kontoen, hvis enheten er registrert i Microsoft Entra ID, kan det hende at Entra ID-brukernavnet for kontoen vises i stedet |
AccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen |
RemoteUrl |
string |
URL-adresse eller fullstendig domenenavn (FQDN) som ble koblet til |
RemoteDeviceName |
string |
Navnet på enheten som utførte en ekstern operasjon på den berørte enheten. Avhengig av hendelsen som rapporteres, kan dette navnet være et fullstendig domenenavn (FQDN), et NetBIOS-navn eller et vertsnavn uten domeneinformasjon. |
ProcessId |
long |
Prosess-ID (PID) for den nyopprettede prosessen |
ProcessCommandLine |
string |
Kommandolinje som brukes til å opprette den nye prosessen |
ProcessCreationTime |
datetime |
Dato og klokkeslett prosessen ble opprettet |
ProcessTokenElevation |
string |
Angir typen tokenforhøyning som brukes på den nylig opprettede prosessen. Mulige verdier: TokenElevationTypeLimited (begrenset), TokenElevationTypeDefault (standard) og TokenElevationTypeFull (forhøyet) |
LogonId |
long |
Identifikator for en påloggingsøkt. Denne identifikatoren er unik på samme enhet bare mellom omstarter. |
RegistryKey |
string |
Registernøkkelen som den registrerte handlingen ble brukt på |
RegistryValueName |
string |
Navnet på registerverdien som den registrerte handlingen ble brukt på |
RegistryValueData |
string |
Data for registerverdien som den registrerte handlingen ble brukt på |
RemoteIP |
string |
IP-adresse som ble koblet til |
RemotePort |
int |
TCP-port på den eksterne enheten som ble koblet til |
LocalIP |
string |
IP-adresse tilordnet den lokale enheten som brukes under kommunikasjon |
LocalPort |
int |
TCP-port på den lokale enheten som brukes under kommunikasjon |
FileOriginUrl |
string |
URL-adressen der filen ble lastet ned fra |
FileOriginIP |
string |
IP-adressen der filen ble lastet ned fra |
InitiatingProcessSHA1 |
string |
SHA-1 av prosessen (bildefil) som startet hendelsen |
InitiatingProcessSHA256 |
string |
SHA-256 av prosessen (bildefil) som startet hendelsen. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig. |
InitiatingProcessMD5 |
string |
MD5-hash for prosessen (bildefil) som startet hendelsen |
InitiatingProcessFileName |
string |
Navnet på prosessfilen som startet hendelsen. hvis det ikke er tilgjengelig, kan navnet på prosessen som startet hendelsen, vises i stedet |
InitiatingProcessFileSize |
long |
Størrelsen på filen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessFolderPath |
string |
Mappe som inneholder prosessen (bildefilen) som startet hendelsen |
InitiatingProcessId |
long |
Prosess-ID (PID) for prosessen som startet hendelsen |
InitiatingProcessCommandLine |
string |
Kommandolinje som brukes til å kjøre prosessen som startet hendelsen |
InitiatingProcessCreationTime |
datetime |
Dato og klokkeslett da prosessen som startet hendelsen, ble startet |
InitiatingProcessAccountDomain |
string |
Domene for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountName |
string |
Brukernavnet til kontoen som kjørte prosessen som var ansvarlig for hendelsen. hvis enheten er registrert i Microsoft Entra ID, kan navnet på Entra ID-brukernavnet til kontoen som kjørte prosessen som var ansvarlig for hendelsen, vises i stedet |
InitiatingProcessAccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountUpn |
string |
Brukerhovednavn (UPN) for kontoen som kjørte prosessen som var ansvarlig for hendelsen. hvis enheten er registrert i Microsoft Entra ID, kan Entra ID UPN for kontoen som kjørte prosessen som var ansvarlig for hendelsen, vises i stedet |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra objekt-ID for brukerkontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessVersionInfoCompanyName |
string |
Firmanavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoProductName |
string |
Produktnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversjon fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoOriginalFileName |
string |
Opprinnelig filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivelse fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessParentId |
long |
Prosess-ID (PID) for den overordnede prosessen som utløste prosessen som var ansvarlig for hendelsen |
InitiatingProcessParentFileName |
string |
Navn eller fullstendig bane for den overordnede prosessen som startet prosessen som var ansvarlig for hendelsen |
InitiatingProcessParentCreationTime |
datetime |
Dato og klokkeslett da den overordnede for prosessen som var ansvarlig for hendelsen, ble startet |
InitiatingProcessLogonId |
long |
Identifikator for en påloggingsøkt for prosessen som startet hendelsen. Denne identifikatoren er unik på samme enhet bare mellom omstarter. |
ReportId |
long |
Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser. |
AppGuardContainerId |
string |
Identifikator for den virtualiserte beholderen som brukes av Application Guard til å isolere nettleseraktivitet |
AdditionalFields |
string |
Tilleggsinformasjon om hendelsen i JSON-matriseformat |
InitiatingProcessSessionId |
long |
Windows-økt-ID for startprosessen |
IsInitiatingProcessRemoteSession |
bool |
Angir om startprosessen ble kjørt under en RDP-økt (remote desktop protocol) (sann) eller lokalt (usann) |
InitiatingProcessRemoteSessionDeviceName |
string |
Enhetsnavnet til den eksterne enheten der startprosessens RDP-økt ble startet |
InitiatingProcessRemoteSessionIP |
string |
IP-adressen til den eksterne enheten der startprosessens RDP-økt ble startet |
CreatedProcessSessionId |
long |
Windows-økt-ID for den opprettede prosessen |
IsProcessRemoteSession |
bool |
Angir om den opprettede prosessen ble kjørt under en RDP-økt (remote desktop protocol) (sann) eller lokalt (usann) |
ProcessRemoteSessionDeviceName |
string |
Enhetsnavnet til den eksterne enheten som RDP-økten ble opprettet fra |
ProcessRemoteSessionIP |
string |
IP-adressen til den eksterne enheten som RDP-økten ble opprettet fra |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.