DeviceEvents
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Defender voor Eindpunt
De diverse apparaatgebeurtenissen of DeviceEvents -tabel in het geavanceerde opsporingsschema bevat informatie over verschillende gebeurtenistypen, waaronder gebeurtenissen die worden geactiveerd door beveiligingscontroles, zoals Microsoft Defender Antivirus en exploit protection. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Tip
Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
DeviceId |
string |
Unieke id voor het apparaat in de service |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie. |
FileName |
string |
Naam van het bestand waarop de vastgelegde actie is toegepast |
FolderPath |
string |
Map met het bestand waarop de vastgelegde actie is toegepast |
SHA1 |
string |
SHA-1 van het bestand waarop de vastgelegde actie is toegepast |
SHA256 |
string |
SHA-256 van het bestand waarop de opgenomen actie is toegepast. Dit veld wordt meestal niet ingevuld. Gebruik de kolom SHA1 indien beschikbaar. |
MD5 |
string |
MD5-hash van het bestand waarop de vastgelegde actie is toegepast |
FileSize |
long |
Grootte van het bestand in bytes |
AccountDomain |
string |
Domein van het account |
AccountName |
string |
Gebruikersnaam van het account; als het apparaat is geregistreerd in Microsoft Entra ID, kan in plaats daarvan de Entra ID-gebruikersnaam van het account worden weergegeven |
AccountSid |
string |
Beveiligings-id (SID) van het account |
RemoteUrl |
string |
URL of FQDN (Fully Qualified Domain Name) waarmee verbinding werd gemaakt |
RemoteDeviceName |
string |
Naam van het apparaat dat een externe bewerking heeft uitgevoerd op het betreffende apparaat. Afhankelijk van de gebeurtenis die wordt gerapporteerd, kan deze naam een fully-qualified domain name (FQDN), een NetBIOS-naam of een hostnaam zonder domeingegevens zijn. |
ProcessId |
long |
Proces-id (PID) van het zojuist gemaakte proces |
ProcessCommandLine |
string |
Opdrachtregel die wordt gebruikt om het nieuwe proces te maken |
ProcessCreationTime |
datetime |
Datum en tijd waarop het proces is gemaakt |
ProcessTokenElevation |
string |
Geeft het type tokenverhoging aan dat is toegepast op het zojuist gemaakte proces. Mogelijke waarden: TokenElevationTypeLimited (restricted), TokenElevationTypeDefault (standard) en TokenElevationTypeFull (verhoogde bevoegdheid) |
LogonId |
long |
Id voor een aanmeldingssessie. Deze id is alleen uniek op hetzelfde apparaat tussen het opnieuw opstarten. |
RegistryKey |
string |
Registersleutel waarop de vastgelegde actie is toegepast |
RegistryValueName |
string |
Naam van de registerwaarde waarop de vastgelegde actie is toegepast |
RegistryValueData |
string |
Gegevens van de registerwaarde waarop de geregistreerde actie is toegepast |
RemoteIP |
string |
IP-adres waarmee verbinding werd gemaakt |
RemotePort |
int |
TCP-poort op het externe apparaat waarmee verbinding werd gemaakt |
LocalIP |
string |
IP-adres dat is toegewezen aan het lokale apparaat dat tijdens de communicatie wordt gebruikt |
LocalPort |
int |
TCP-poort op het lokale apparaat dat wordt gebruikt tijdens communicatie |
FileOriginUrl |
string |
URL van waaruit het bestand is gedownload |
FileOriginIP |
string |
IP-adres van waaruit het bestand is gedownload |
InitiatingProcessSHA1 |
string |
SHA-1 van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessSHA256 |
string |
SHA-256 van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. Dit veld wordt meestal niet ingevuld. Gebruik de kolom SHA1 indien beschikbaar. |
InitiatingProcessMD5 |
string |
MD5-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessFileName |
string |
Naam van het procesbestand dat de gebeurtenis heeft geïnitieerd; indien niet beschikbaar, kan de naam van het proces dat de gebeurtenis heeft geïnitieerd, in plaats daarvan worden weergegeven |
InitiatingProcessFileSize |
long |
Grootte van het bestand dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessFolderPath |
string |
Map met het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessId |
long |
Proces-id (PID) van het proces dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessCommandLine |
string |
Opdrachtregel die wordt gebruikt om het proces uit te voeren dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessCreationTime |
datetime |
Datum en tijd waarop het proces dat de gebeurtenis heeft geïnitieerd, is gestart |
InitiatingProcessAccountDomain |
string |
Domein van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountName |
string |
Gebruikersnaam van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis; als het apparaat is geregistreerd in Microsoft Entra ID, kan in plaats daarvan de Entra ID-gebruikersnaam worden weergegeven van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountSid |
string |
Beveiligings-id (SID) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountUpn |
string |
User Principal Name (UPN) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis; als het apparaat is geregistreerd in Microsoft Entra ID, kan in plaats daarvan de ENTRA-ID-UPN worden weergegeven van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra object-id van het gebruikersaccount dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoCompanyName |
string |
Bedrijfsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoProductName |
string |
Productnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoProductVersion |
string |
Productversie van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoInternalFileName |
string |
Interne bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oorspronkelijke bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoFileDescription |
string |
Beschrijving van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessParentId |
long |
Proces-id (PID) van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessParentFileName |
string |
Naam of volledig pad van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessParentCreationTime |
datetime |
Datum en tijd waarop de bovenliggende van het proces dat verantwoordelijk is voor de gebeurtenis is gestart |
InitiatingProcessLogonId |
long |
Id voor een aanmeldingssessie van het proces dat de gebeurtenis heeft geïnitieerd. Deze id is alleen uniek op hetzelfde apparaat tussen het opnieuw opstarten. |
ReportId |
long |
Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp. |
AppGuardContainerId |
string |
Id voor de gevirtualiseerde container die door Application Guard wordt gebruikt om browseractiviteit te isoleren |
AdditionalFields |
string |
Aanvullende informatie over de gebeurtenis in JSON-matrixindeling |
InitiatingProcessSessionId |
long |
Windows-sessie-id van het initiërende proces |
IsInitiatingProcessRemoteSession |
bool |
Geeft aan of het initiërende proces is uitgevoerd onder een RDP-sessie (Remote Desktop Protocol) (true) of lokaal (onwaar) |
InitiatingProcessRemoteSessionDeviceName |
string |
Apparaatnaam van het externe apparaat waarop de RDP-sessie van het initiërende proces is gestart |
InitiatingProcessRemoteSessionIP |
string |
IP-adres van het externe apparaat waarop de RDP-sessie van het initiërende proces is gestart |
CreatedProcessSessionId |
long |
Windows-sessie-id van het gemaakte proces |
IsProcessRemoteSession |
bool |
Geeft aan of het gemaakte proces is uitgevoerd onder een RDP-sessie (Remote Desktop Protocol) (true) of lokaal (onwaar) |
ProcessRemoteSessionDeviceName |
string |
Apparaatnaam van het externe apparaat waarop de RDP-sessie van het gemaakte proces is gestart |
ProcessRemoteSessionIP |
string |
IP-adres van het externe apparaat waarop de RDP-sessie van het gemaakte proces is gestart |
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.