Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tabela zdarzeń sieciowych urządzeń w usłudze Microsoft Defender for Endpoints (MDE) dla scenariusza zbioru niestandardowego. Ta tabela zawiera informacje o połączeniach sieciowych i powiązanych zdarzeniach inicjowanych przez procesy działające na urządzeniu końcowym dotyczące wszystkiego, co zostało wyraźnie zażądane przez klienta w celu zebrania.
Właściwości tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zarządzanie rejestrami |
| Podstawowe logi | Tak |
| Transformacja podczas ingestii | Nie. |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Typ akcji | ciąg | Typ działania, które wyzwoliło zdarzenie. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje o jednostce lub zdarzeniu. |
| Identyfikator Kontenera AppGuard | ciąg | Identyfikator zwirtualizowanego kontenera używanego przez funkcję Application Guard do izolowania działania przeglądarki. |
| _RozmiarRachunku | autentyczne | Rozmiar rekordu w bajtach |
| Identyfikator urządzenia | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia | ciąg | Pełna kwalifikowana nazwa domeny (FQDN) urządzenia. |
| InicjowanieProcesuKontaDomeny | ciąg | Domena konta, na które uruchomiono proces inicjowania. |
| NazwaKontaProcesuInicjującego | ciąg | Nazwa użytkownika konta, na które uruchomiono proces inicjowania. |
| Inicjowanie Procesu Identyfikatora Obiektu Konta | ciąg | Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces inicjowania. |
| Inicjowanie Procesu AccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, na które uruchomiono proces inicjowania. |
| Inicjowanie procesu konta UPN | ciąg | Główna nazwa użytkownika (UPN) konta, na którym uruchomiono proces inicjujący. |
| Inicjowanie procesu wiersza poleceń | ciąg | Wiersz polecenia używany do uruchamiania procesu inicjującego. |
| Inicjowanie ProcessCreationTime | data/godzina | Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| NazwaPlikuInicjowanegoProcesu | ciąg | Nazwa procesu inicjującego. |
| RozmiarPlikuProcesuInicjującego | długi | Rozmiar pliku (bajtów), który uruchomił proces odpowiedzialny za zdarzenie. |
| Inicjowanie ProcessFolderPath | ciąg | Folder zawierający proces inicjowania (plik obrazu). |
| Identyfikator procesu inicjowania | długi | Identyfikator procesu (PID) inicjującego. |
| Inicjowanie poziomu integralności procesu | ciąg | Poziom integralności procesu inicjowania. System Windows przypisuje procesom poziomy integralności na podstawie pewnych cech, takich jak to, czy zostały uruchomione po pobraniu z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
| Inicjowanie Procesu MD5 | ciąg | Skrót MD5 procesu inicjowania (plik obrazu). |
| RozpoczęcieCzasTworzeniaRodzicaProcesu | data/godzina | Data i godzina uruchomienia procesu nadrzędnego, który jest odpowiedzialny za zdarzenie. |
| NazwaPlikuRodzicaProcesuInicjującego | ciąg | Nazwa procesu nadrzędnego, który uruchomił proces inicjujący. |
| InicjowanieProcesuParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który uruchomił proces inicjujący. |
| Inicjowanie procesu zdalnej sesji urządzenia o nazwie DeviceName | ciąg | Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP inicjującego proces. |
| Inicjowanie procesu zdalnej sesji IP | ciąg | Adres IP urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| InicjującyProcesIdentyfikatorSesji | długi | Identyfikator sesji systemu Windows dla procesu inicjującego. |
| Inicjowanie procesu SHA1 | ciąg | Skrót SHA-1 procesu inicjowania (plik obrazu). |
| Inicjowanie procesu SHA256 | ciąg | Skrót SHA-256 procesu inicjowania (plik obrazu). W niektórych przypadkach ta kolumna może nie zostać wypełniona — zamiast tego użyj kolumny InitiatingProcessSHA1. |
| InicjowaniePodnoszeniaPoziomuTokenuProcesu | ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu inicjowania. |
| Inicjowanie ProcessVersionInfoCompanyName | ciąg | Nazwa firmy w informacjach o wersji (plik obrazu) odpowiedzialnej za zdarzenie. |
| Inicjowanie opisu pliku informacji o wersji procesu | ciąg | Opis w informacjach o wersji (plik obrazu) dotyczący danego zdarzenia. |
| InicjowanieProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| Inicjowanie informacji o wersji procesu NazwaOryginalnegoPliku | ciąg | Oryginalna nazwa pliku w informacjach o wersji (plik obrazu) odpowiedzialny za zdarzenie. |
| InicjowanieProcessVersionInfoProductName | ciąg | Nazwa produktu w informacjach o wersji (pliku obrazu), która jest odpowiedzialna za zdarzenie. |
| Inicjowanie procesu Informacje o wersji produktu | ciąg | Wersja produktu w informacjach o wersji (pliku obrazu), która odpowiada za zdarzenie. |
| _PodlegaFakturowaniu | ciąg | Określa, czy wczytywanie danych podlega opłacie. Jeśli _IsBillable jest false, ingestia nie jest rozliczana na Twoim koncie platformy Azure |
| CzyInicjujeSesjęZdalnegoProcesu | bool | Wskazuje, czy proces inicjowania został uruchomiony w ramach sesji protokołu RDP (remote desktop protocol) lub lokalnie (false). |
| LokalnyIP | ciąg | Adres IP przypisany do komputera lokalnego używanego podczas komunikacji. |
| TypLokalnegoIP | ciąg | Typ adresu IP, na przykład publiczny, prywatny, zarezerwowany, loopback, Teredo, FourToSixMapping i emisja. |
| Port lokalny | int (integer) | Port TCP na komputerze lokalnym używanym podczas komunikacji. |
| Grupa maszyn | ciąg | Grupa maszynowa maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| Protokół | ciąg | Używany protokół IP, niezależnie od tego, czy protokół TCP, czy UDP. |
| RemoteIP (adres IP zdalnego urządzenia) | ciąg | Adres IP, z który był połączony. |
| TypZdalnegoIP | ciąg | Typ adresu IP, na przykład publiczny, prywatny, zarezerwowany, loopback, Teredo, FourToSixMapping i emisja. |
| RemotePort | int (integer) | Port TCP na urządzeniu zdalnym, z którymi nawiązano połączenie. |
| RemoteUrl | ciąg | Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą była połączona. |
| Identyfikator raportu | długi | Identyfikator zdarzenia oparty na powtarzającym się liczniku. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
| RuleLastModificationTime | data/godzina | Data i godzina, kiedy ostatnio zmieniono regułę, która zebrała zdarzenie. |
| Nazwa Reguły | ciąg | Nazwa reguły, która zebrała zdarzenie |
| System źródłowy | ciąg | Typ agenta, za pomocą którego dane o zdarzeniu zostały zebrane. Na przykład OpsManager dla agentów systemu Windows (bezpośrednie połączenie lub program Operations Manager), Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyki Azure. |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Typ | ciąg | Nazwa tabeli |