DeviceEvents
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
Różne zdarzenia lub DeviceEvents
tabela urządzeń w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o różnych typach zdarzeń, w tym zdarzeniach wyzwalanych przez mechanizmy kontroli zabezpieczeń, takie jak program antywirusowy Microsoft Defender i ochrona przed lukami w zabezpieczeniach. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Porada
Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionType
wartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
Nazwa kolumny | Typ danych | Opis |
---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje , zobacz dokumentację schematu w portalu . |
FileName |
string |
Nazwa pliku, do którego została zastosowana zarejestrowana akcja |
FolderPath |
string |
Folder zawierający plik, do który zastosowano zarejestrowaną akcję |
SHA1 |
string |
SHA-1 pliku, do który zastosowano zarejestrowaną akcję |
SHA256 |
string |
SHA-256 pliku, do który zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
MD5 |
string |
Skrót MD5 pliku, do który zastosowano zarejestrowaną akcję |
FileSize |
long |
Rozmiar pliku w bajtach |
AccountDomain |
string |
Domena konta |
AccountName |
string |
Nazwa użytkownika konta; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta |
AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta |
RemoteUrl |
string |
Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą nawiązano połączenie |
RemoteDeviceName |
string |
Nazwa urządzenia, które wykonało zdalną operację na urządzeniu, którego dotyczy problem. W zależności od zgłoszonego zdarzenia ta nazwa może być w pełni kwalifikowaną nazwą domeny (FQDN), nazwą NetBIOS lub nazwą hosta bez informacji o domenie. |
ProcessId |
long |
Identyfikator procesu (PID) nowo utworzonego procesu |
ProcessCommandLine |
string |
Wiersz polecenia używany do utworzenia nowego procesu |
ProcessCreationTime |
datetime |
Data i godzina utworzenia procesu |
ProcessTokenElevation |
string |
Wskazuje typ podniesienia poziomu tokenu zastosowany do nowo utworzonego procesu. Możliwe wartości: TokenElevationTypeLimited (ograniczone), TokenElevationTypeDefault (standardowa) i TokenElevationTypeFull (podwyższony poziom uprawnień) |
LogonId |
long |
Identyfikator sesji logowania. Ten identyfikator jest unikatowy na tym samym urządzeniu tylko między ponownymi uruchomieniami. |
RegistryKey |
string |
Klucz rejestru, do który zastosowano zarejestrowaną akcję |
RegistryValueName |
string |
Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję |
RegistryValueData |
string |
Dane wartości rejestru, do których zastosowano zarejestrowaną akcję |
RemoteIP |
string |
Adres IP, z który był połączony |
RemotePort |
int |
Port TCP na urządzeniu zdalnym, z |
LocalIP |
string |
Adres IP przypisany do urządzenia lokalnego używanego podczas komunikacji |
LocalPort |
int |
Port TCP na urządzeniu lokalnym używanym podczas komunikacji |
FileOriginUrl |
string |
Adres URL, z którego pobrano plik |
FileOriginIP |
string |
Adres IP, z którego pobrano plik |
InitiatingProcessSHA1 |
string |
SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessSHA256 |
string |
SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
InitiatingProcessMD5 |
string |
Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessFileName |
string |
Nazwa pliku procesu, który zainicjował zdarzenie; Jeśli jest niedostępny, nazwa procesu, który zainicjował zdarzenie, może być wyświetlana zamiast tego |
InitiatingProcessFileSize |
long |
Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie |
InitiatingProcessFolderPath |
string |
Folder zawierający proces (plik obrazu), który zainicjował zdarzenie |
InitiatingProcessId |
long |
Identyfikator procesu (PID) procesu, który zainicjował zdarzenie |
InitiatingProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie |
InitiatingProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie |
InitiatingProcessAccountDomain |
string |
Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountName |
string |
Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie; Jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie. |
InitiatingProcessAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountUpn |
string |
Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, nazwa UPN identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie, może zostać wyświetlona zamiast tego |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessVersionInfoCompanyName |
string |
Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductName |
string |
Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductVersion |
string |
Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoFileDescription |
string |
Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessParentId |
long |
Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentFileName |
string |
Nazwa lub pełna ścieżka procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentCreationTime |
datetime |
Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie |
InitiatingProcessLogonId |
long |
Identyfikator sesji logowania procesu, który zainicjował zdarzenie. Ten identyfikator jest unikatowy na tym samym urządzeniu tylko między ponownymi uruchomieniami. |
ReportId |
long |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
AppGuardContainerId |
string |
Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki |
AdditionalFields |
string |
Dodatkowe informacje o zdarzeniu w formacie tablicy JSON |
InitiatingProcessSessionId |
long |
Identyfikator sesji systemu Windows procesu inicjowania |
IsInitiatingProcessRemoteSession |
bool |
Wskazuje, czy proces inicjujący został uruchomiony w ramach sesji protokołu PULPITU zdalnego (RDP) (true), czy lokalnie (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
InitiatingProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
CreatedProcessSessionId |
long |
Identyfikator sesji systemu Windows utworzonego procesu |
IsProcessRemoteSession |
bool |
Wskazuje, czy utworzony proces został uruchomiony w ramach sesji protokołu pulpitu zdalnego (RDP) (true), czy lokalnie (false) |
ProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP utworzonego procesu |
ProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP utworzonego procesu |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.