Freigeben über


DeviceNetworkEvents

Microsoft Defender für Endpunkte (MDE)-Gerätenetzwerk-Ereignistabelle. Diese Tabelle enthält Informationen zu Netzwerkverbindungen und verwandten Ereignissen, die von Prozessen initiiert werden, die auf dem Endpunkt ausgeführt werden.

Tabellenattribute

attribute Wert
Ressourcentypen -
Kategorien Sicherheit
Lösungen SecurityInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen -

Spalten

Spalte Type Beschreibung
ActionType Zeichenfolge Typ der Aktivität, die das Ereignis ausgelöst hat.
AdditionalFields dynamisch Zusätzliche Informationen zur Entität oder zum Ereignis.
AppGuardContainerId Zeichenfolge Bezeichner für den virtualisierten Container, der von Application Guard verwendet wird, um Browseraktivitäten zu isolieren.
_BilledSize real Die Datensatzgröße in Bytes.
DeviceId Zeichenfolge Eindeutiger Bezeichner für das Gerät im Dienst.
DeviceName Zeichenfolge Vollqualifizierter Domänenname (FQDN) des Geräts.
InitiatingProcessAccountDomain Zeichenfolge Domäne des Kontos, das den initiierenden Prozess ausgeführt hat.
Initiieren vonProcessAccountName Zeichenfolge Benutzername des Kontos, das den initiierenden Prozess ausgeführt hat.
Initiieren vonProcessAccountObjectId Zeichenfolge Azure AD-Objekt-ID des Benutzerkontos, das den initiierenden Prozess ausgeführt hat.
Initiieren vonProcessAccountSid Zeichenfolge Sicherheits-ID (SID) des Kontos, das den initiierenden Prozess ausgeführt hat.
Initiieren vonProcessAccountUpn Zeichenfolge Benutzerprinzipalname (UPN) des Kontos, das den initiierenden Prozess ausgeführt hat.
InitiatingProcessCommandLine Zeichenfolge Befehlszeile, die zum Ausführen des initiierenden Prozesses verwendet wird.
Initiieren vonProcessCreationTime datetime Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat.
InitiatingProcessFileName Zeichenfolge Name des initiierenden Prozesses.
Initiieren vonProcessFileSize long Größe der Datei (Bytes), die den für das Ereignis verantwortlichen Prozess ausgeführt hat.
InitiatingProcessFolderPath Zeichenfolge Ordner, der den Initiierenden Prozess (Bilddatei) enthält.
InitiatingProcessId long Prozess-ID (PID) des initiierenden Prozesses.
Initiieren vonProcessIntegrityLevel Zeichenfolge Integritätsebene des initiierenden Prozesses. Windows weist Prozessen Auf der Grundlage bestimmter Merkmale Integritätsstufen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen wirken sich auf Berechtigungen für Ressourcen aus.
InitiatingProcessMD5 Zeichenfolge MD5-Hash des initiierenden Prozesses (Bilddatei).
Initiieren vonProcessParentCreationTime datetime Datum und Uhrzeit, zu dem das übergeordnete Element des Prozesses, der für das Ereignis verantwortlich ist, gestartet wurde.
InitiatingProcessParentFileName Zeichenfolge Der Name des übergeordneten Prozesses, der den initiierenden Prozess ausgelöst hat.
Initiieren vonProcessParentId long Prozess-ID (PID) des übergeordneten Prozesses, der den initiierenden Prozess ausgelöst hat.
InitiatingProcessRemoteSessionDeviceName Zeichenfolge Gerätename des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde.
Initiieren vonProcessRemoteSessionIP Zeichenfolge IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde.
Initiieren vonProcessSessionId long Windows-Sitzungs-ID des initiierenden Prozesses.
Initiieren vonProcessSHA1 Zeichenfolge SHA-1-Hash des initiierenden Prozesses (Bilddatei).
InitiatingProcessSHA256 Zeichenfolge SHA-256-Hash des initiierenden Prozesses (Bilddatei). In einigen Fällen wird diese Spalte möglicherweise nicht aufgefüllt . Verwenden Sie stattdessen die Spalte "InitiatingProcessSHA1".
Initiieren vonProcessTokenElevation Zeichenfolge Tokentyp, der angibt, dass die Rechteerweiterung der Benutzerzugriffskontrolle (User Access Control, UAC) auf den initiierenden Prozess angewendet wird oder nicht vorhanden ist.
InitiatingProcessVersionInfoCompanyName Zeichenfolge Der Firmenname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist.
InitiatingProcessVersionInfoFileDescription Zeichenfolge Die Beschreibung in Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich sind.
InitiatingProcessVersionInfoInternalFileName Zeichenfolge Der interne Dateiname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist.
InitiatingProcessVersionInfoOriginalFileName Zeichenfolge Der ursprüngliche Dateiname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist.
InitiatingProcessVersionInfoProductName Zeichenfolge Der Produktname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist.
InitiatingProcessVersionInfoProductVersion Zeichenfolge Die Produktversion in Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
IsInitiatingProcessRemoteSession bool Gibt an, ob der Initiierenvorgang unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde.
LocalIP Zeichenfolge IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird.
LocalIPType Zeichenfolge Typ der IP-Adresse, z. B. "Öffentlich", "Privat", "Reserviert", "Loopback", "Teredo", "FourToSixMapping" und "Broadcast".
localPort int TCP-Port auf dem lokalen Computer, der während der Kommunikation verwendet wird.
MachineGroup Zeichenfolge Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen.
Protokoll Zeichenfolge Verwendetes IP-Protokoll, unabhängig davon, ob TCP oder UDP.
RemoteIP Zeichenfolge IP-Adresse, mit der eine Verbindung hergestellt wurde.
RemoteIPType Zeichenfolge Typ der IP-Adresse, z. B. "Öffentlich", "Privat", "Reserviert", "Loopback", "Teredo", "FourToSixMapping" und "Broadcast".
RemotePort int TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde.
RemoteUrl Zeichenfolge URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde.
ReportId long Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses durch den MDE-Agent auf dem Endpunkt.
type Zeichenfolge Der Name der Tabelle.