DeviceNetworkEvents
Uç Noktalar (MDE) cihaz ağ olayları tablosu için Microsoft Defender. Bu tablo, uç noktada çalışan işlemler tarafından başlatılan ağ bağlantıları ve ilgili olaylar hakkında bilgi içerir.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | - |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Alım zamanı dönüşümü | Yes |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| EylemTürü | string | Olayı tetikleyen etkinlik türü. |
| EkAlanlar | dynamic | Varlık veya olay hakkında ek bilgiler. |
| AppGuardContainerId | string | tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DeviceId | string | Hizmetteki cihazın benzersiz tanımlayıcısı. |
| DeviceName | string | Cihazın tam etki alanı adı (FQDN). |
| InitiatingProcessAccountDomain | string | Başlatma işlemini çalıştıran hesabın etki alanı. |
| InitiatingProcessAccountName | string | Başlatma işlemini çalıştıran hesabın kullanıcı adı. |
| InitiatingProcessAccountObjectId | string | Başlatma işlemini çalıştıran kullanıcı hesabının nesne kimliğini Azure AD. |
| InitiatingProcessAccountSid | string | Başlatma işlemini çalıştıran hesabın Güvenlik Tanımlayıcısı (SID). |
| InitiatingProcessAccountUpn | string | Başlatma işlemini çalıştıran hesabın kullanıcı asıl adı (UPN). |
| InitiatingProcessCommandLine | string | Başlatma işlemini çalıştırmak için kullanılan komut satırı. |
| InitiatingProcessCreationTime | datetime | Olayı başlatan işlemin başlatıldığı tarih ve saat. |
| InitiatingProcessFileName | string | Başlatma işleminin adı. |
| InitiatingProcessFileSize | long | Olaydan sorumlu işlemi çalıştıran dosyanın (bayt) boyutu. |
| InitiatingProcessFolderPath | string | Başlatma işlemini içeren klasör (görüntü dosyası). |
| InitiatingProcessId | long | Başlatma işleminin işlem kimliği (PID). |
| InitiatingProcessIntegrityLevel | string | Başlatma işleminin bütünlük düzeyi. Windows, işlemlere bir internet indirmesinden başlatılmış gibi belirli özelliklere göre bütünlük düzeyleri atar. Bu bütünlük düzeyleri kaynaklara yönelik izinleri etkiler... |
| InitiatingProcessMD5 | string | Başlatma işleminin MD5 karması (görüntü dosyası). |
| InitiatingProcessParentCreationTime | datetime | Olaydan sorumlu işlemin üst öğesinin başlatıldığı tarih ve saat. |
| InitiatingProcessParentFileName | string | Başlatan işlemi oluşturan üst işlemin adı. |
| InitiatingProcessParentId | long | Başlatma işlemini oluşturan üst işlemin işlem kimliği (PID). |
| InitiatingProcessSHA1 | string | Başlatma işleminin SHA-1 karması (görüntü dosyası). |
| InitiatingProcessSHA256 | string | Başlatma işleminin SHA-256 karması (görüntü dosyası). Bazı durumlarda bu sütun doldurulmayabilir; bunun yerine lütfen InitiatingProcessSHA1 sütununu kullanın. |
| InitiatingProcessTokenElevation | string | Başlatma işlemine Kullanıcı Access Control (UAC) ayrıcalık yükseltmesinin uygulandığını veya bulunmadığını gösteren belirteç türü. |
| InitiatingProcessVersionInfoCompanyName | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) şirket adı. |
| InitiatingProcessVersionInfoFileDescription | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) açıklama. |
| InitiatingProcessVersionInfoInternalFileName | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) iç dosya adı. |
| InitiatingProcessVersionInfoOriginalFileName | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) özgün dosya adı. |
| InitiatingProcessVersionInfoProductName | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) ürün adı. |
| InitiatingProcessVersionInfoProductVersion | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) ürün sürümü. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| LocalIP | string | İletişim sırasında kullanılan yerel makineye atanan IP adresi. |
| LocalIPType | string | Genel, Özel, Ayrılmış, Geri Döngü, Teredo, FourToSixMapping ve Yayın gibi IP adresi türü. |
| Yerel Bağlantı Noktası | int | İletişim sırasında kullanılan yerel makinede TCP bağlantı noktası. |
| MachineGroup | string | Makinenin makine grubu. Bu grup, makineye erişimi belirlemek için rol tabanlı erişim denetimi tarafından kullanılır. |
| Protokol | string | TCP veya UDP olsun, kullanılan IP protokolü. |
| RemoteIP | string | Bağlanılmakta olan IP adresi. |
| RemoteIPType | string | Genel, Özel, Ayrılmış, Geri Döngü, Teredo, FourToSixMapping ve Yayın gibi IP adresi türü. |
| RemotePort | int | Bağlanmakta olan uzak cihazdaki TCP bağlantı noktası. |
| RemoteUrl | string | Bağlanmakta olan URL veya tam etki alanı adı (FQDN). |
| ReportId | long | Yinelenen bir sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun ComputerName ve EventTime sütunlarıyla birlikte kullanılması gerekir.. |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| TimeGenerated | datetime | Olayın uç noktadaki MDE aracısı tarafından kaydedildiği tarih ve saat. |
| Tür | string | Tablonun adı |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin