DeviceEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender
Gelişmiş tehdit avcılığı şemasındaki çeşitli cihaz olayları veya DeviceEvents tablosu, Microsoft Defender Virüsten Koruma ve yararlanma koruması gibi güvenlik denetimleri tarafından tetiklenen olaylar da dahil olmak üzere çeşitli olay türleri hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
İpucu
Bir tablo tarafından desteklenen olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
DeviceId |
string |
Hizmetteki cihaz için benzersiz tanımlayıcı |
DeviceName |
string |
Cihazın tam etki alanı adı (FQDN) |
ActionType |
string |
Olayı tetikleyen etkinlik türü. Ayrıntılar için portal içi şema başvurusuna bakın. |
FileName |
string |
Kaydedilen eylemin uygulandığı dosyanın adı |
FolderPath |
string |
Kaydedilen eylemin uygulandığı dosyayı içeren klasör |
SHA1 |
string |
Kaydedilen eylemin uygulandığı dosyanın SHA-1 |
SHA256 |
string |
Kaydedilen eylemin uygulandığı dosyanın SHA-256'sı. Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın. |
MD5 |
string |
Kaydedilen eylemin uygulandığı dosyanın MD5 karması |
FileSize |
long |
Dosyanın bayt cinsinden boyutu |
AccountDomain |
string |
Hesabın etki alanı |
AccountName |
string |
Hesabın kullanıcı adı; cihaz Microsoft Entra ID kayıtlıysa, bunun yerine hesabın Entra Id kullanıcı adı gösterilebilir |
AccountSid |
string |
Hesabın Güvenlik Tanımlayıcısı (SID) |
RemoteUrl |
string |
Bağlı olan URL veya tam etki alanı adı (FQDN) |
RemoteDeviceName |
string |
Etkilenen cihazda uzaktan işlem gerçekleştiren cihazın adı. Bildirilen olaya bağlı olarak, bu ad tam etki alanı adı (FQDN), NetBIOS adı veya etki alanı bilgisi olmayan bir konak adı olabilir. |
ProcessId |
long |
Yeni oluşturulan işlemin İşlem Kimliği (PID) |
ProcessCommandLine |
string |
Yeni işlemi oluşturmak için kullanılan komut satırı |
ProcessCreationTime |
datetime |
İşlemin oluşturulduğu tarih ve saat |
ProcessTokenElevation |
string |
Yeni oluşturulan işleme uygulanan belirteç yükseltme türünü gösterir. Olası değerler: TokenElevationTypeLimited (kısıtlı), TokenElevationTypeDefault (standart) ve TokenElevationTypeFull (yükseltilmiş) |
LogonId |
long |
Oturum açma oturumlarının tanımlayıcısı. Bu tanımlayıcı aynı cihazda yalnızca yeniden başlatmalar arasında benzersizdir. |
RegistryKey |
string |
Kaydedilen eylemin uygulandığı kayıt defteri anahtarı |
RegistryValueName |
string |
Kaydedilen eylemin uygulandığı kayıt defteri değerinin adı |
RegistryValueData |
string |
Kaydedilen eylemin uygulandığı kayıt defteri değerinin verileri |
RemoteIP |
string |
Bağlanılmakta olan IP adresi |
RemotePort |
int |
Bağlı olan uzak cihazda TCP bağlantı noktası |
LocalIP |
string |
İletişim sırasında kullanılan yerel cihaza atanan IP adresi |
LocalPort |
int |
İletişim sırasında kullanılan yerel cihazda TCP bağlantı noktası |
FileOriginUrl |
string |
Dosyanın indirildiği URL |
FileOriginIP |
string |
Dosyanın indirildiği IP adresi |
InitiatingProcessSHA1 |
string |
Olayı başlatan işlemin SHA-1 'i (görüntü dosyası) |
InitiatingProcessSHA256 |
string |
Olayı başlatan işlemin SHA-256'sı (görüntü dosyası). Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın. |
InitiatingProcessMD5 |
string |
Olayı başlatan işlemin MD5 karması (görüntü dosyası) |
InitiatingProcessFileName |
string |
Olayı başlatan işlem dosyasının adı; kullanılamıyorsa, bunun yerine olayı başlatan işlemin adı gösterilebilir |
InitiatingProcessFileSize |
long |
Olaydan sorumlu işlemi çalıştıran dosyanın boyutu |
InitiatingProcessFolderPath |
string |
Olayı başlatan işlemi (görüntü dosyası) içeren klasör |
InitiatingProcessId |
long |
Olayı başlatan işlemin İşlem Kimliği (PID) |
InitiatingProcessCommandLine |
string |
Olayı başlatan işlemi çalıştırmak için kullanılan komut satırı |
InitiatingProcessCreationTime |
datetime |
Olayı başlatan işlemin başlatıldığı tarih ve saat |
InitiatingProcessAccountDomain |
string |
Olaydan sorumlu işlemi çalıştıran hesabın etki alanı |
InitiatingProcessAccountName |
string |
Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı adı; cihaz Microsoft Entra ID kayıtlıysa, bunun yerine olaydan sorumlu işlemi çalıştıran hesabın Entra Id kullanıcı adı gösterilebilir |
InitiatingProcessAccountSid |
string |
Olaydan sorumlu işlemi çalıştıran hesabın Güvenlik Tanımlayıcısı (SID) |
InitiatingProcessAccountUpn |
string |
Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı asıl adı (UPN); cihaz Microsoft Entra ID kayıtlıysa, bunun yerine olaydan sorumlu işlemi çalıştıran hesabın Entra ID UPN'si gösterilebilir |
InitiatingProcessAccountObjectId |
string |
Olaydan sorumlu işlemi çalıştıran kullanıcı hesabının nesne kimliğini Microsoft Entra |
InitiatingProcessVersionInfoCompanyName |
string |
Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) şirket adı |
InitiatingProcessVersionInfoProductName |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün adı |
InitiatingProcessVersionInfoProductVersion |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün sürümü |
InitiatingProcessVersionInfoInternalFileName |
string |
Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) iç dosya adı |
InitiatingProcessVersionInfoOriginalFileName |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) özgün dosya adı |
InitiatingProcessVersionInfoFileDescription |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden açıklama (görüntü dosyası) |
InitiatingProcessParentId |
long |
Olaydan sorumlu işlemi oluşturan üst işlemin İşlem Kimliği (PID) |
InitiatingProcessParentFileName |
string |
Olaydan sorumlu işlemi oluşturan üst işlemin adı veya tam yolu |
InitiatingProcessParentCreationTime |
datetime |
Olaydan sorumlu işlemin üst öğesinin başlatıldığı tarih ve saat |
InitiatingProcessLogonId |
long |
Olayı başlatan işlemin oturum açma oturumunun tanımlayıcısı. Bu tanımlayıcı aynı cihazda yalnızca yeniden başlatmalar arasında benzersizdir. |
ReportId |
long |
Yinelenen sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun DeviceName ve Timestamp sütunlarıyla birlikte kullanılması gerekir. |
AppGuardContainerId |
string |
tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı |
AdditionalFields |
string |
JSON dizi biçimindeki olay hakkında ek bilgi |
InitiatingProcessSessionId |
long |
Başlatma işleminin Windows oturum kimliği |
IsInitiatingProcessRemoteSession |
bool |
Başlatma işleminin uzak masaüstü protokolü (RDP) oturumu altında mı (true) yoksa yerel olarak mı (false) çalıştırıldığını gösterir |
InitiatingProcessRemoteSessionDeviceName |
string |
Başlatma işleminin RDP oturumunun başlatıldığı uzak cihazın cihaz adı |
InitiatingProcessRemoteSessionIP |
string |
Başlatma işleminin RDP oturumunun başlatıldığı uzak cihazın IP adresi |
CreatedProcessSessionId |
long |
Oluşturulan işlemin Windows oturum kimliği |
IsProcessRemoteSession |
bool |
Oluşturulan işlemin uzak masaüstü protokolü (RDP) oturumu altında mı (true) yoksa yerel olarak mı (false) çalıştırıldığını gösterir |
ProcessRemoteSessionDeviceName |
string |
Oluşturulan işlemin RDP oturumunun başlatıldığı uzak cihazın cihaz adı |
ProcessRemoteSessionIP |
string |
Oluşturulan işlemin RDP oturumunun başlatıldığı uzak cihazın IP adresi |
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.