Partager via


DeviceEvents

Cette table fait partie des Microsoft Defender pour point de terminaison avec Azure Sentinel. Ce tableau contient plusieurs types d’événements, y compris les événements déclenchés par des contrôles de sécurité tels que l’antivirus Windows Defender et la protection contre les attaques.

Attributs de table

Attribut Valeur
Types de ressources -
Catégories Sécurité
Solutions SecurityInsights
Journal de base Non
Transformation au moment de l’ingestion Oui
Exemples de requêtes -

Colonnes

Colonne Type Description
AccountDomain string Domaine du compte.
AccountName string Nom d’utilisateur du compte.
AccountSid string Identificateur de sécurité (SID) du compte.
ActionType string Type d’activité qui a déclenché l’événement.
AdditionalFields dynamic Informations supplémentaires sur l’entité ou l’événement.
AppGuardContainerId string Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur.
_BilledSize real Taille de l’enregistrement en octets
CreatedProcessSessionId long ID de session Windows du processus créé.
DeviceId string Identificateur unique de l’appareil dans le service.
DeviceName string Nom de domaine complet (FQDN) de l’appareil.
FileName string Domaine du compte.
FileOriginIP string Adresse IP à partir de laquelle le fichier a été téléchargé.
FileOriginUrl string URL à partir de laquelle le fichier a été téléchargé.
FileSize long Taille du fichier en octets.
FolderPath string Domaine du compte.
Lancement deProcessAccountDomain string Domaine du compte qui a exécuté le processus responsable de l’événement.
Lancement deProcessAccountName string Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement.
Lancement deProcessAccountObjectId string ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement.
Lancement deProcessAccountSid string Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement.
Lancement deProcessAccountUpn string Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement.
Lancement deProcessCommandLine string Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement.
Lancement deProcessCreationTime DATETIME Date et heure de démarrage du processus qui a lancé l’événement.
Lancement deProcessFileName string Nom du processus qui a lancé l’événement.
Lancement deProcessFileSize long Taille en octets du fichier qui a exécuté le processus responsable de l’événement.
Lancement deProcessFolderPath string Dossier contenant le processus (fichier image) qui a lancé l’événement.
Lancement deProcessId long ID de processus (PID) du processus qui a lancé l’événement.
Lancement deProcessLogonId long Identificateur d’une session d’ouverture de session du processus qui a lancé l’événement. Cet identificateur est unique sur la même machine uniquement entre les redémarrages.
Lancement deProcessMD5 string Hachage MD5 du processus (fichier image) qui a lancé l’événement.
Lancement deProcessParentCreationTime DATETIME Date et heure de démarrage du parent du processus responsable de l’événement.
Lancement deProcessParentFileName string Nom du processus parent qui a généré le processus responsable de l’événement.
Lancement deProcessParentId long ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement.
Lancement deProcessRemoteSessionDeviceName string Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée.
Lancement deProcessRemoteSessionIP string Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée.
Lancement deProcessSessionId long ID de session Windows du processus de lancement.
Lancement deProcessSHA1 string Hachage SHA-1 du processus (fichier image) qui a lancé l’événement.
Lancement deProcessSHA256 string Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 quand elle est disponible.
Lancement deProcessVersionInfoCompanyName string Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement.
Lancement deProcessVersionInfoFileDescription string Description des informations de version du processus (fichier image) responsable de l’événement.
Lancement deProcessVersionInfoInternalFileName string Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement.
Lancement deProcessVersionInfoOriginalFileName string Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement.
Lancement deProcessVersionInfoProductName string Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement.
Lancement deProcessVersionInfoProductVersion string Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement.
_IsBillable string Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
IsInitiatingProcessRemoteSession bool Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false).
IsProcessRemoteSession bool Indique si le processus créé a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false).
LocalIP string Adresse IP affectée à l’ordinateur local utilisé pendant la communication.
LocalPort int Port TCP sur l’ordinateur local utilisé pendant la communication.
LogonId long Identificateur d’une session d’ouverture de session. Cet identificateur est unique sur la même machine uniquement entre les redémarrages.
MachineGroup string Groupe d’ordinateurs de l’ordinateur. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur.
MD5 string Hachage MD5 du fichier auquel l’action enregistrée a été appliquée.
ProcessCommandLine string Ligne de commande utilisée pour créer le nouveau processus.
ProcessCreationTime DATETIME Date et heure de création du processus.
ProcessId long ID de processus (PID) du processus nouvellement créé.
ProcessRemoteSessionDeviceName string Nom de l’appareil distant à partir duquel la session RDP du processus créé a été lancée.
ProcessRemoteSessionIP string Adresse IP de l’appareil distant à partir duquel la session RDP du processus créé a été lancée.
ProcessTokenElevation string Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus nouvellement créé.
RegistryKey string Clé de Registre à laquelle l’action enregistrée a été appliquée.
RegistryValueData string Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée.
RegistryValueName string Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée.
RemoteDeviceName string Nom de l’appareil qui a effectué une opération distante sur l’ordinateur concerné. Selon l’événement signalé, ce nom peut être un nom de domaine complet (FQDN), un nom NetBIOS ou un nom d’hôte sans informations de domaine.
RemoteIP string Adresse IP à laquelle il était connecté.
RemotePort int Port TCP sur l’appareil distant auquel il était connecté.
RemoteUrl string URL ou nom de domaine complet (FQDN) connecté.
ReportId long Identificateur d’événement basé sur un compteur répétitif. Pour identifier des événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime.
SHA1 string Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée.
SHA256 string SHA-256 du fichier auquel l’action enregistrée a été appliquée.
SourceSystem string Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
TenantId string ID de l’espace de travail Log Analytics
TimeGenerated DATETIME Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison.
Type string Le nom de la table