DeviceEvents
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Endpoint
A tabela ou DeviceEvents eventos diversos do dispositivo no esquema de investigação avançada contém informações sobre vários tipos de eventos, incluindo eventos acionados por controlos de segurança, como o Antivírus Microsoft Defender e a proteção contra exploração. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Sugestão
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo do dispositivo no serviço |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
ActionType |
string |
Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes. |
FileName |
string |
Nome do ficheiro ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o ficheiro ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do ficheiro ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível. |
MD5 |
string |
Hash MD5 do ficheiro ao qual a ação gravada foi aplicada |
FileSize |
long |
Tamanho do ficheiro em bytes |
AccountDomain |
string |
Domínio da conta |
AccountName |
string |
Nome de utilizador da conta; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta poderá ser apresentado |
AccountSid |
string |
Identificador de Segurança (SID) da conta |
RemoteUrl |
string |
URL ou nome de domínio completamente qualificado (FQDN) ao qual estava a ser ligado |
RemoteDeviceName |
string |
Nome do dispositivo que efetuou uma operação remota no dispositivo afetado. Dependendo do evento que está a ser comunicado, este nome pode ser um nome de domínio completamente qualificado (FQDN), um nome NetBIOS ou um nome de anfitrião sem informações de domínio. |
ProcessId |
long |
ID do Processo (PID) do processo recentemente criado |
ProcessCommandLine |
string |
Linha de comandos utilizada para criar o novo processo |
ProcessCreationTime |
datetime |
Data e hora em que o processo foi criado |
ProcessTokenElevation |
string |
Indica o tipo de elevação de token aplicado ao processo recentemente criado. Valores possíveis: TokenElevationTypeLimited (restrito), TokenElevationTypeDefault (padrão) e TokenElevationTypeFull (elevado) |
LogonId |
long |
Identificador para uma sessão de início de sessão. Este identificador é exclusivo no mesmo dispositivo apenas entre reinícios. |
RegistryKey |
string |
Chave de registo à qual a ação registada foi aplicada |
RegistryValueName |
string |
Nome do valor de registo ao qual a ação registada foi aplicada |
RegistryValueData |
string |
Dados do valor de registo ao qual a ação registada foi aplicada |
RemoteIP |
string |
Endereço IP ao qual estava a ser ligado |
RemotePort |
int |
Porta TCP no dispositivo remoto ao qual estava a ser ligado |
LocalIP |
string |
Endereço IP atribuído ao dispositivo local utilizado durante a comunicação |
LocalPort |
int |
Porta TCP no dispositivo local utilizado durante a comunicação |
FileOriginUrl |
string |
URL a partir do qual o ficheiro foi transferido |
FileOriginIP |
string |
Endereço IP a partir do qual o ficheiro foi transferido |
InitiatingProcessSHA1 |
string |
SHA-1 do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível. |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do ficheiro de processo que iniciou o evento; se não estiver disponível, o nome do processo que iniciou o evento poderá ser apresentado |
InitiatingProcessFileSize |
long |
Tamanho do ficheiro que executou o processo responsável pelo evento |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessId |
long |
ID do Processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comandos utilizada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de utilizador da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta que executou o processo responsável pelo evento poderá ser apresentado |
InitiatingProcessAccountSid |
string |
Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o UPN do ID de Entra da conta que executou o processo responsável pelo evento poderá ser apresentado |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID de objeto da conta de utilizador que executou o processo responsável pelo evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome de ficheiro interno das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome de ficheiro original das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessParentId |
long |
ID do Processo (PID) do processo principal que gerou o processo responsável pelo evento |
InitiatingProcessParentFileName |
string |
Nome ou caminho completo do processo principal que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o principal do processo responsável pelo evento foi iniciado |
InitiatingProcessLogonId |
long |
Identificador para uma sessão de início de sessão do processo que iniciou o evento. Este identificador é exclusivo no mesmo dispositivo apenas entre reinícios. |
ReportId |
long |
Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
InitiatingProcessSessionId |
long |
ID de sessão do Windows do processo de início |
IsInitiatingProcessRemoteSession |
bool |
Indica se o processo de início foi executado numa sessão de protocolo de ambiente de trabalho remoto (RDP) (verdadeiro) ou localmente (falso) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início |
InitiatingProcessRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início |
CreatedProcessSessionId |
long |
ID da sessão do Windows do processo criado |
IsProcessRemoteSession |
bool |
Indica se o processo criado foi executado numa sessão de protocolo RDP (remote desktop protocol) (verdadeiro) ou localmente (falso) |
ProcessRemoteSessionDeviceName |
string |
Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo criado |
ProcessRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo criado |
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.