DeviceEvents
Ta tabela jest częścią Microsoft Defender dla punktów końcowych za pomocą usługi Azure Sentinel. Ta tabela zawiera wiele typów zdarzeń, w tym zdarzenia wyzwalane przez mechanizmy kontroli zabezpieczeń, takie jak program antywirusowy Windows Defender i ochrona przed programami wykorzystującym luki w zabezpieczeniach.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | - |
Kategorie | Zabezpieczenia |
Rozwiązania | SecurityInsights |
Dziennik podstawowy | Nie |
Przekształcanie czasu pozyskiwania | Tak |
Przykładowe zapytania | - |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
AccountDomain | ciąg | Domena konta. |
AccountName | ciąg | Nazwa użytkownika konta. |
AccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta. |
ActionType | ciąg | Typ działania, które wyzwoliło zdarzenie. |
Dodatkowe pola | dynamiczna | Dodatkowe informacje o jednostce lub zdarzeniu. |
AppGuardContainerId | ciąg | Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania działania przeglądarki. |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
DeviceId | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
DeviceName | ciąg | W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. |
FileName | ciąg | Domena konta. |
FileOriginIP | ciąg | Adres IP, z którego pobrano plik. |
FileOriginUrl | ciąg | Adres URL, z którego pobrano plik. |
FileSize | długi | Rozmiar pliku w bajtach. |
Folderpath | ciąg | Domena konta. |
InicjowanieProcessAccountDomain | ciąg | Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
InicjowanieProcessAccountName | ciąg | Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
InicjowanieProcessAccountObjectId | ciąg | Azure AD identyfikator obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie. |
InicjowanieProcessAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
InicjowanieProcessAccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
InicjowanieProcessCommandLine | ciąg | Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie. |
InicjowanieProcessCreationTime | datetime | Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
InicjowanieProcessFileName | ciąg | Nazwa procesu, który zainicjował zdarzenie. |
InicjowanieProcessFileSize | długi | Rozmiar w bajtach pliku, który uruchomił proces odpowiedzialny za zdarzenie. |
InicjowanieProcessFolderPath | ciąg | Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
Identyfikator inicjowaniaProcessId | długi | Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
InicjowanieProcessLogonId | długi | Identyfikator sesji logowania procesu, który zainicjował zdarzenie. Ten identyfikator jest unikatowy na tej samej maszynie tylko między ponownymi uruchomieniami. |
InicjowanieProcessMD5 | ciąg | Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie. |
InicjowanieProcessParentCreationTime | datetime | Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie. |
InicjowanieProcessParentFileName | ciąg | Nazwa procesu nadrzędnego, który zrodził proces odpowiedzialny za zdarzenie. |
InicjowanieProcessParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który zrodził proces odpowiedzialny za zdarzenie. |
InicjowanieProcessSHA1 | ciąg | Skrót SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie. |
InicjowanieProcessSHA256 | ciąg | Skrót SHA-256 procesu (pliku obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełniane — użyj kolumny SHA1, jeśli jest dostępna. |
InitiatingProcessVersionInfoCompanyName | ciąg | Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
InicjowanieProcessVersionInfoFileDescription | ciąg | Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
InicjowanieProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
InitiatingProcessVersionInfoOriginalFileName | ciąg | Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
InicjowanieProcessVersionInfoProductName | ciąg | Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
InicjowanieProcessVersionInfoProductVersion | ciąg | Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
LocalIP | ciąg | Adres IP przypisany do komputera lokalnego używanego podczas komunikacji. |
Port_lokalny | int | Port TCP na komputerze lokalnym używanym podczas komunikacji. |
Identyfikator logowania | długi | Identyfikator sesji logowania. Ten identyfikator jest unikatowy na tej samej maszynie tylko między ponownymi uruchomieniami. |
Grupa maszyn | ciąg | Grupa maszyn maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
MD5 | ciąg | Skrót MD5 pliku, do którego zastosowano zarejestrowaną akcję. |
ProcessCommandLine | ciąg | Wiersz polecenia służący do tworzenia nowego procesu. |
ProcessCreationTime | datetime | Data i godzina utworzenia procesu. |
Identyfikator procesu | długi | Identyfikator procesu (PID) nowo utworzonego procesu. |
ProcessTokenElevation | ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowanych do nowo utworzonego procesu. |
Registrykey | ciąg | Klucz rejestru, do którego zastosowano zarejestrowaną akcję. |
RegistryValueData | ciąg | Dane wartości rejestru, do których zastosowano zarejestrowaną akcję. |
RegistryValueName | ciąg | Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję. |
RemoteDeviceName | ciąg | Nazwa urządzenia, które wykonało operację zdalną na maszynie, której dotyczy problem. W zależności od zgłaszanego zdarzenia ta nazwa może być w pełni kwalifikowaną nazwą domeny (FQDN), nazwą NetBIOS lub nazwą hosta bez informacji o domenie. |
RemoteIP | ciąg | Adres IP, z który był połączony. |
RemotePort | int | Port TCP na urządzeniu zdalnym, z którymi nawiązano połączenie. |
RemoteUrl | ciąg | Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą była połączona. |
Identyfikator raportu | długi | Identyfikator zdarzenia oparty na liczniku powtarzanym. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
SHA1 | ciąg | Skrót SHA-1 pliku, do którego zastosowano zarejestrowaną akcję. |
SHA256 | ciąg | SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. |
SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows, bezpośrednie połączenie lub program Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
TimeGenerated | datetime | Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
Typ | ciąg | Nazwa tabeli |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla