Compartilhar via


DeviceEvents

Esta tabela faz parte do Microsoft Defender para Pontos de Extremidade com o Azure Sentinel. Esta tabela contém vários tipos de eventos, incluindo eventos disparados por controles de segurança, como Windows Defender Antivírus e proteção contra exploração.

Atributos da tabela

Atributo Valor
Tipos de recursos -
Categorias Segurança
Soluções SecurityInsights
Log básico Não
Transformação de tempo de ingestão Sim
Consultas de amostras -

Colunas

Coluna Type Descrição
AccountDomain string Domínio da conta.
AccountName string Nome de usuário da conta.
AccountSid string SID (identificador de segurança) da conta.
ActionType string Tipo de atividade que desencadeou o evento.
AdditionalFields dinâmico Informações adicionais sobre a entidade ou evento.
AppGuardContainerId string Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegador.
_BilledSize real O tamanho do registro em bytes
CreatedProcessSessionId longo ID da sessão do Windows do processo criado.
DeviceId string Identificador exclusivo para o dispositivo no serviço.
DeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo.
FileName string Domínio da conta.
FileOriginIP string Endereço IP de onde o arquivo foi baixado.
OrigemDoArquivoUrl string URL de onde o arquivo foi baixado.
Tamanho do arquivo longo Tamanho do arquivo em bytes.
FolderPath string Domínio da conta.
IniciandoProcessAccountDomain string Domínio da conta que executou o processo responsável pelo evento.
IniciandoNomedaContaDeProcesso string Nome de usuário da conta que executou o processo responsável pelo evento.
IniciandoProcessAccountObjectId string ID do objeto do Azure AD da conta de usuário que executou o processo responsável pelo evento.
IniciandoProcessAccountSid string SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento.
IniciandoProcessAccountUpn string Nome UPN da conta que executou o processo responsável pelo evento.
Linha de comando de processo inicial string Linha de comando usada para executar o processo que iniciou o evento.
IniciandoProcessoCriaçãoTempo datetime Data e hora em que o processo que iniciou o evento foi iniciado.
IniciandoNome_do_Arquivo_do_Processo string Nome do processo que iniciou o evento.
IniciandoProcessFileSize longo Tamanho em bytes do arquivo que executou o processo responsável pelo evento.
IniciandoProcessoPastaPath string Pasta que contém o processo (arquivo de imagem) que iniciou o evento.
IniciandoProcessId longo ID do processo (PID) do processo que iniciou o evento.
IniciandoProcessLogonId longo Identificador de uma sessão de logon do processo que iniciou o evento. Esse identificador é exclusivo na mesma máquina somente entre reinicializações.
IniciandoProcessoMD5 string Hash MD5 do processo (arquivo de imagem) que iniciou o evento.
IniciandoProcessoParentCreationTime datetime Data e hora em que o pai do processo responsável pelo evento foi iniciado.
IniciandoProcessParentFileName string Nome do processo pai que gerou o processo responsável pelo evento.
IniciandoProcessParentId longo ID do processo (PID) do processo pai que gerou o processo responsável pelo evento.
IniciandoProcessoRemotoSessãoNome_doDispositivo string Nome do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada.
IniciandoProcessoRemoteSessionIP string Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada.
IniciandoProcessSessionId longo ID da sessão do Windows do processo inicial.
IniciandoProcessoSHA1 string Hash SHA-1 do processo (arquivo de imagem) que iniciou o evento.
IniciandoProcessoSHA256 string Hash SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido - use a coluna SHA1 quando disponível.
IniciandoProcessVersionInfoCompanyName string Nome da empresa a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento.
IniciandoProcessVersionInfoFileDescription string Descrição a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento.
IniciandoProcessVersionInfoInternalFileName string Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento.
IniciandoProcessVersionInfoOriginalFileName string Nome do arquivo original a partir das informações de versão do processo (arquivo de imagem) responsável pelo evento.
IniciandoProcessVersionInfoProductName string Nome do produto a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento.
IniciandoProcessVersionInfoProductVersion string Versão do produto a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento.
_IsBillable string Especifica se a ingestão dos dados é faturável. Quando _IsBillable ingestão false não é cobrada em sua conta do Azure
IsInitiatingProcessRemoteSession bool Indica se o processo inicial foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false).
IsProcessRemoteSession bool Indica se o processo criado foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false).
LocalIP string Endereço IP atribuído à máquina local usada durante a comunicação.
LocalPort int Porta TCP na máquina local usada durante a comunicação.
Identificação de logon longo Identificador de uma sessão de logon. Esse identificador é exclusivo na mesma máquina somente entre reinicializações.
Grupo de máquinas string Grupo de máquinas da máquina. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao computador.
MD5 string Hash MD5 do arquivo ao qual a ação gravada foi aplicada.
Linha de comando do processo string Linha de comando usada para criar o novo processo.
ProcessoCriaçãoTempo datetime Data e hora em que o processo foi criado.
ProcessId longo ID do processo (PID) do processo recém-criado.
ProcessRemoteSessionDeviceName string Nome do dispositivo remoto a partir do qual a sessão RDP do processo criado foi iniciada.
ProcessRemoteSessionIP string Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo criado foi iniciada.
ProcessTokenElevation string Tipo de token que indica a presença ou ausência de elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo recém-criado.
RegistryKey string Chave do Registro à qual a ação gravada foi aplicada.
RegistryValueData string Dados do valor do Registro ao qual a ação registrada foi aplicada.
Nome_do_Registro_Valor_da_Registro string Nome do valor do Registro ao qual a ação registrada foi aplicada.
Nome do Dispositivo Remoto string Nome do dispositivo que executou uma operação remota na máquina afetada. Dependendo do evento que está sendo relatado, esse nome pode ser um nome de domínio totalmente qualificado (FQDN), um nome NetBIOS ou um nome de host sem informações de domínio.
RemoteIP string Endereço IP ao qual estava sendo conectado.
RemotePort int Porta TCP no dispositivo remoto ao qual estava sendo conectado.
Url Remoto string URL ou FQDN (nome de domínio totalmente qualificado) ao qual estava sendo conectado.
ReportId longo Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, essa coluna deve ser usada em conjunto com as colunas ComputerName e EventTime.
SHA1 string Hash SHA-1 do arquivo ao qual a ação gravada foi aplicada.
SHA256 string SHA-256 do arquivo ao qual a ação gravada foi aplicada.
SourceSystem string O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, a conexão direta ou o Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure
TenantId string A ID do workspace do Log Analytics
TimeGenerated datetime Data e hora em que o evento foi registrado pelo agente MDE no ponto de extremidade.
Type string O nome da tabela