DeviceNetworkEvents
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
Таблица DeviceNetworkEvents в схеме расширенной охоты содержит сведения о сетевых подключениях и связанных событиях. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
ActionType |
string |
Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале . |
RemoteIP |
string |
IP-адрес, к которому выполнено подключение |
RemotePort |
int |
TCP-порт на удаленном устройстве, к которому было подключено |
RemoteUrl |
string |
URL-адрес или полное доменное имя, к которому выполнено подключение |
LocalIP |
string |
Исходный IP-адрес или IP-адрес, с которого поступило сообщение |
LocalPort |
int |
TCP-порт на локальном устройстве, используемом во время связи |
Protocol |
string |
Протокол, используемый во время обмена данными |
LocalIPType |
string |
Тип IP-адреса, например Public, Private, Reserved, Loopback, Teredo, FourToSixMapping и Broadcast |
RemoteIPType |
string |
Тип IP-адреса, например Public, Private, Reserved, Loopback, Teredo, FourToSixMapping и Broadcast |
InitiatingProcessSHA1 |
string |
SHA-1 процесса (файла изображения), который инициировал событие |
InitiatingProcessSHA256 |
string |
SHA-256 процесса (файла изображения), который инициировал событие. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен. |
InitiatingProcessMD5 |
string |
Хэш MD5 процесса (файла образа), который инициировал событие |
InitiatingProcessFileName |
string |
Имя файла процесса, который инициировал событие; Если он недоступен, вместо него может отображаться имя процесса, который инициировал событие. |
InitiatingProcessFileSize |
long |
Размер файла, в который был запущен процесс, ответственный за событие |
InitiatingProcessVersionInfoCompanyName |
string |
Название компании из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoProductName |
string |
Название продукта из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoProductVersion |
string |
Версия продукта из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoInternalFileName |
string |
Внутреннее имя файла из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoOriginalFileName |
string |
Исходное имя файла из сведений о версии процесса (файл изображения), ответственного за событие |
InitiatingProcessVersionInfoFileDescription |
string |
Описание из сведений о версии процесса (файла изображения), ответственного за событие |
InitiatingProcessId |
long |
Идентификатор процесса (PID) процесса, который инициировал событие |
InitiatingProcessCommandLine |
string |
Командная строка, используемая для запуска процесса, который инициировал событие |
InitiatingProcessCreationTime |
datetime |
Дата и время запуска процесса, инициирующего событие |
InitiatingProcessFolderPath |
string |
Папка, содержащая процесс (файл изображения), который инициировал событие |
InitiatingProcessParentFileName |
string |
Имя родительского процесса, который породил процесс, отвечающий за событие |
InitiatingProcessParentId |
long |
Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие |
InitiatingProcessParentCreationTime |
datetime |
Дата и время запуска родительского элемента процесса, ответственного за событие |
InitiatingProcessAccountDomain |
string |
Домен учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountName |
string |
Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи, которая выполнила процесс, ответственный за событие. |
InitiatingProcessAccountSid |
string |
Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя участника-пользователя Entra ID для учетной записи, которая выполнила процесс, отвечающий за событие. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra идентификатор объекта учетной записи пользователя, запустившего процесс, отвечающий за событие |
InitiatingProcessIntegrityLevel |
string |
Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов. |
InitiatingProcessTokenElevation |
string |
Тип маркера, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к процессу, который инициировал событие |
ReportId |
long |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
AppGuardContainerId |
string |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера |
AdditionalFields |
string |
Дополнительные сведения о событии в формате массива JSON |
InitiatingProcessSessionId |
long |
Идентификатор сеанса Windows для инициации процесса |
IsInitiatingProcessRemoteSession |
bool |
Указывает, был ли процесс инициации запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
InitiatingProcessRemoteSessionDeviceName |
string |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP процесса инициации |
InitiatingProcessRemoteSessionIP |
string |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP процесса инициации |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.