Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
tabela zdarzeń sieciowych urządzeń Ochrona punktu końcowego w usłudze Microsoft Defender (MDE). Ta tabela zawiera informacje o połączeniach sieciowych i powiązanych zdarzeniach inicjowanych przez procesy uruchomione w punkcie końcowym.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Dziennik podstawowy | Tak |
| Przekształcanie danych podczas pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Typ akcji | ciąg | Typ działania, które wyzwoliło zdarzenie. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje o jednostce lub zdarzeniu. |
| IdentyfikatorKonteneraAppGuard | ciąg | Identyfikator zwirtualizowanego kontenera używanego przez funkcję Application Guard do izolowania działania przeglądarki. |
| _RozmiarRachunku | rzeczywiste | Rozmiar rekordu w bajtach |
| Identyfikator urządzenia | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia | ciąg | W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. |
| Inicjowanie ProcessAccountDomain | ciąg | Domena konta, na które uruchomiono proces inicjowania. |
| InicjowanieNazwaKontaProcesu | ciąg | Nazwa użytkownika konta, na które uruchomiono proces inicjowania. |
| Rozpoczęcie ProcessAccountObjectId | ciąg | Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces inicjowania. |
| Inicjowanie ProcessAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, na które uruchomiono proces inicjowania. |
| Inicjowanie ProcessAccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta, które uruchomiło proces inicjujący. |
| InicjowanieLiniiPoleceńProcesu | ciąg | Wiersz polecenia używany do uruchamiania procesu inicjującego. |
| Inicjowanie czasu tworzenia procesu | data/godzina | Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| InicjowanieNazwaPlikuProcesu | ciąg | Nazwa procesu inicjującego. |
| InicjowanieRozmiarPlikuProcesu | długi | Rozmiar pliku (bajtów), który uruchomił proces odpowiedzialny za zdarzenie. |
| Inicjowanie ProcessFolderPath | ciąg | Folder zawierający proces inicjowania (plik obrazu). |
| IdentyfikatorProcesuInicjującego | długi | Identyfikator procesu (PID) inicjującego. |
| Inicjowanie poziomu integralności procesu | ciąg | Poziom integralności procesu inicjowania. System Windows przypisuje poziomy bezpieczeństwa integralności do procesów na podstawie pewnych cech, takich jak jeśli zostały uruchomione z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
| InicjowanieProcessMD5 | ciąg | Skrót MD5 procesu inicjowania (plik obrazu). |
| Inicjowanie czasu utworzenia procesu nadrzędnego | data/godzina | Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie. |
| InicjowanieNazwaPlikuRodzicaProcesu | ciąg | Nazwa procesu nadrzędnego, który uruchomił proces inicjujący. |
| InicjowanieProcessParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który rozpoczął proces inicjujący. |
| Inicjowanie procesu zdalnej sesji urządzenia | ciąg | Nazwa urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| RozpoczynanieSesjiZdalnejProcesuIP | ciąg | Adres IP urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| IdentyfikatorSesjiProcesuInicjowania | długi | Identyfikator sesji systemu Windows procesu inicjującego. |
| InicjowanieProcesuSHA1 | ciąg | Skrót SHA-1 procesu inicjowania (plik obrazu). |
| InicjowanieProcesuSHA256 | ciąg | Skrót SHA-256 procesu inicjowania (plik obrazu). W niektórych przypadkach ta kolumna może nie zostać wypełniona — zamiast tego użyj kolumny InitiatingProcessSHA1. |
| InicjowanieProcessTokenElevation | ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu inicjowania. |
| Inicjowanie ProcessUniqueId | ciąg | Unikatowy identyfikator procesu inicjującego; jest to klucz początkowy procesu na urządzeniach z systemem Windows. |
| InicjowanieProcessVersionInfoCompanyName | ciąg | Nazwa firmy w informacjach o wersji (plik obrazu) odpowiedzialnej za zdarzenie. |
| Inicjowanie opisu pliku wersji procesu | ciąg | Opis w informacjach o wersji pliku obrazującego, który odpowiada za zdarzenie. |
| InicjowanieProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| Inicjowanie ProcessVersionInfoOriginalFileName | ciąg | Oryginalna nazwa pliku w informacjach o wersji (plik obrazu) odpowiedzialny za zdarzenie. |
| InicjowanieProcessVersionInfoProductName | ciąg | Nazwa produktu w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| InicjowanieProcessVersionInfoProductVersion | ciąg | Wersja produktu w informacjach o wersji pliku obrazu, odpowiedzialna za zdarzenie. |
| _PodlegaFakturowaniu | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy _IsBillable jest false, pozyskiwanie nie jest rozliczane na Twoim koncie Azure. |
| CzyRozpoczynaProcesSesjiZdalnej | Bool | Wskazuje, czy proces inicjowania został uruchomiony w ramach sesji protokołu RDP (remote desktop protocol) lub lokalnie (false). |
| LokalnyIP | ciąg | Adres IP przypisany do komputera lokalnego używanego podczas komunikacji. |
| TypLokalnegoIP | ciąg | Typ adresu IP, na przykład publiczny, prywatny, zarezerwowany, loopback, Teredo, FourToSixMapping i emisja. |
| Port lokalny | int (integer) | Port TCP na komputerze lokalnym używanym podczas komunikacji. |
| Grupa maszyn | ciąg | Grupa maszynowa maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| Protokół | ciąg | Używany protokół IP, niezależnie od tego, czy protokół TCP, czy UDP. |
| RemoteIP (adres IP zdalnego urządzenia) | ciąg | Adres IP, z który był połączony. |
| TypZdalnegoIP | ciąg | Typ adresu IP, na przykład publiczny, prywatny, zarezerwowany, loopback, Teredo, FourToSixMapping i emisja. |
| RemotePort | int (integer) | Port TCP na urządzeniu zdalnym, z którymi nawiązano połączenie. |
| RemoteUrl | ciąg | Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą była połączona. |
| Identyfikator raportu | długi | Identyfikator zdarzenia na podstawie powtarzającego się licznika. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
| SourceSystem | ciąg | Typ agenta, za pośrednictwem którego zdarzenie zostało zarejestrowane. Na przykład OpsManager dla agenta systemu Windows, bezpośredniego połączenia lub Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyki Azure. |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Typ | ciąg | Nazwa tabeli |