DeviceNetworkEvents
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
A DeviceNetworkEvents
tabela no esquema de caça avançado contém informações sobre conexões de rede e eventos relacionados. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionType
valores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
ActionType |
string |
Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes. |
RemoteIP |
string |
Endereço IP que estava sendo conectado ao |
RemotePort |
int |
Porta TCP no dispositivo remoto ao qual estava sendo conectado |
RemoteUrl |
string |
URL ou FQDN (nome de domínio totalmente qualificado) que estava sendo conectado à |
LocalIP |
string |
IP de origem ou o endereço IP de onde a comunicação veio |
LocalPort |
int |
Porta TCP no dispositivo local usado durante a comunicação |
Protocol |
string |
Protocolo usado durante a comunicação |
LocalIPType |
string |
Tipo de endereço IP, por exemplo, Public, Private, Reserved, Loopback, Teredo, FourToSixMapping e Broadcast |
RemoteIPType |
string |
Tipo de endereço IP, por exemplo, Public, Private, Reserved, Loopback, Teredo, FourToSixMapping e Broadcast |
InitiatingProcessSHA1 |
string |
SHA-1 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do processo que iniciou o evento |
InitiatingProcessFileSize |
long |
Tamanho do arquivo que executou o processo responsável pelo evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome do arquivo original das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessId |
long |
ID do processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comando usada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessParentFileName |
string |
Nome do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentId |
long |
ID do processo (PID) do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de usuário da conta que executou o processo responsável pelo evento; se o dispositivo estiver registrado no Microsoft Entra ID, o nome de usuário da ID da conta que executou o processo responsável pelo evento poderá ser mostrado em vez disso |
InitiatingProcessAccountSid |
string |
SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome da entidade de usuário (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registrado em Microsoft Entra ID, o UPN da ID de Entra da conta que executou o processo responsável pelo evento poderá ser mostrado em vez disso |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID do objeto da conta de usuário que executou o processo responsável pelo evento |
InitiatingProcessIntegrityLevel |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles foram iniciados a partir de um download na Internet. Esses níveis de integridade influenciam as permissões para os recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso de usuário) aplicada ao processo que iniciou o evento |
ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado por Application Guard para isolar a atividade do navegador |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de