Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Tabela de eventos de rede do dispositivo do MDE (Microsoft Defender para Pontos de Extremidade). Esta tabela contém informações sobre conexões de rede e eventos relacionados iniciados por processos em execução no endpoint.
Atributos da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Log básico | Sim |
| Transformação de tempo de ingestão | Sim |
| Amostras de Consulta | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| TipoDeAção | cadeia de caracteres | Tipo de atividade que desencadeou o evento. |
| Campos Adicionais | dinâmico | Informações adicionais sobre a entidade ou evento. |
| AppGuardContainerId | cadeia de caracteres | Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegador. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| DeviceId | cadeia de caracteres | Identificador exclusivo para o dispositivo no serviço. |
| Nome do Dispositivo | cadeia de caracteres | FQDN (nome de domínio totalmente qualificado) do dispositivo. |
| InitiatingProcessAccountDomain | cadeia de caracteres | Domínio da conta que executou o processo de inicialização. |
| InitiatingProcessAccountName | cadeia de caracteres | Nome de usuário da conta que executou o processo de inicialização. |
| InitiatingProcessAccountObjectId | cadeia de caracteres | ID de objeto do Azure AD da conta de usuário que executou o processo de inicialização. |
| InitiatingProcessAccountSid | cadeia de caracteres | SID (Identificador de Segurança) da conta que executou o processo de inicialização. |
| InitiatingProcessAccountUpn | cadeia de caracteres | Nome UPN da conta que executou o processo de início. |
| Linha de comando de inicialização de processo | cadeia de caracteres | Linha de comando usada para executar o processo de iniciação. |
| InitiatingProcessCreationTime | data e hora | Data e hora em que o processo que iniciou o evento foi iniciado. |
| InitiatingProcessFileName | cadeia de caracteres | Nome do processo inicial. |
| InitiatingProcessFileSize | long | Tamanho do arquivo (bytes) que executou o processo responsável pelo evento. |
| InitiatingProcessFolderPath | cadeia de caracteres | Pasta que contém o processo inicial (arquivo de imagem). |
| InitiatingProcessId | long | ID do processo (PID) do processo de início. |
| InitiatingProcessIntegrityLevel | cadeia de caracteres | Nível de integridade do processo inicial. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles tivessem sido iniciados a partir de um download da Internet. Esses níveis de integridade influenciam as permissões para recursos. |
| InitiatingProcessMD5 | cadeia de caracteres | Hash MD5 do processo de inicialização (arquivo de imagem). |
| InitiatingProcessParentCreationTime | data e hora | Data e hora em que o pai do processo responsável pelo evento foi iniciado. |
| InitiatingProcessParentFileName | cadeia de caracteres | Nome do processo pai que gerou o processo de iniciação. |
| InitiatingProcessParentId | longo | ID do processo (PID) do processo pai que gerou o processo de início. |
| InitiatingProcessRemoteSessionDeviceName | cadeia de caracteres | Nome do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada. |
| InitiatingProcessRemoteSessionIP | cadeia de caracteres | Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada. |
| InitiatingProcessSessionId | longo | ID da sessão do Windows do processo de início. |
| InitiatingProcessSHA1 | cadeia de caracteres | Hash SHA-1 do processo inicial (arquivo de imagem). |
| Iniciando Processo SHA256 | cadeia de caracteres | Hash SHA-256 do processo inicial (arquivo de imagem). Em alguns casos, essa coluna pode não estar preenchida — se isso ocorrer, use a coluna InitiatingProcessSHA1. |
| InitiatingProcessTokenElevation | cadeia de caracteres | Tipo de token que indica a presença ou ausência da elevação de privilégio do Controle de Acesso do Usuário (UAC) aplicada ao processo de início. |
| InitiatingProcessUniqueId | cadeia de caracteres | Identificador exclusivo do processo de início; isso é igual à Chave inicial do processo em dispositivos Windows. |
| InitiatingProcessVersionInfoCompanyName | cadeia de caracteres | O nome da empresa nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoFileDescription | cadeia de caracteres | A descrição nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoInternalFileName | cadeia de caracteres | O nome do arquivo interno nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoOriginalFileName | cadeia de caracteres | O nome do arquivo original nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoProductName | cadeia de caracteres | O nome do produto nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoProductVersion | cadeia de caracteres | A versão do produto nas informações de versão (arquivo de imagem) responsável pelo evento. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| IsInitiatingProcessRemoteSession | bool | Indica se o processo inicial foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false). |
| LocalIP (endereço IP local) | cadeia de caracteres | Endereço IP atribuído à máquina local usada durante a comunicação. |
| LocalIPType | cadeia de caracteres | Tipo de endereço IP, por exemplo, Público, Privado, Reservado, Loopback, Teredo, FourToSixMapping e Broadcast. |
| Porta Local | INT | Porta TCP na máquina local usada durante a comunicação. |
| Grupo de máquinas | cadeia de caracteres | Grupo de máquinas do computador. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao computador. |
| Protocolo | cadeia de caracteres | Protocolo IP usado, seja TCP ou UDP. |
| RemoteIP | cadeia de caracteres | Endereço IP ao qual estava sendo conectado. |
| TipoDeIPRemoto | cadeia de caracteres | Tipo de endereço IP, por exemplo, Público, Privado, Reservado, Loopback, Teredo, FourToSixMapping e Broadcast. |
| RemotePort | INT | Porta TCP no dispositivo remoto ao qual estava sendo conectado. |
| RemoteUrl | cadeia de caracteres | URL ou FQDN (nome de domínio totalmente qualificado) ao qual estava sendo conectado. |
| ReportId | long | Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, essa coluna deve ser usada em conjunto com as colunas ComputerName e EventTime. |
| SourceSystem | cadeia de caracteres | O tipo de agente que coletou o evento. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
| TenantId (ID do Inquilino) | cadeia de caracteres | A ID do workspace do Log Analytics |
| TimeGenerated | data e hora | Data e hora em que o evento foi registrado pelo agente MDE no endpoint. |
| Tipo | cadeia de caracteres | O nome da tabela |