Udostępnij za pośrednictwem


DeviceEvents

Dotyczy:

  • Microsoft Defender XDR
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Różne zdarzenia lub DeviceEvents tabela urządzeń w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o różnych typach zdarzeń, w tym zdarzeniach wyzwalanych przez mechanizmy kontroli zabezpieczeń, takie jak program antywirusowy Microsoft Defender i ochrona przed lukami w zabezpieczeniach. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.

Porada

Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina zarejestrowania zdarzenia
DeviceId string Unikatowy identyfikator urządzenia w usłudze
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
ActionType string Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje , zobacz dokumentację schematu w portalu .
FileName string Nazwa pliku, do którego została zastosowana zarejestrowana akcja
FolderPath string Folder zawierający plik, do który zastosowano zarejestrowaną akcję
SHA1 string SHA-1 pliku, do który zastosowano zarejestrowaną akcję
SHA256 string SHA-256 pliku, do który zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna.
MD5 string Skrót MD5 pliku, do który zastosowano zarejestrowaną akcję
FileSize long Rozmiar pliku w bajtach
AccountDomain string Domena konta
AccountName string Nazwa użytkownika konta; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta
AccountSid string Identyfikator zabezpieczeń (SID) konta
RemoteUrl string Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą nawiązano połączenie
RemoteDeviceName string Nazwa urządzenia, które wykonało zdalną operację na urządzeniu, którego dotyczy problem. W zależności od zgłoszonego zdarzenia ta nazwa może być w pełni kwalifikowaną nazwą domeny (FQDN), nazwą NetBIOS lub nazwą hosta bez informacji o domenie.
ProcessId long Identyfikator procesu (PID) nowo utworzonego procesu
ProcessCommandLine string Wiersz polecenia używany do utworzenia nowego procesu
ProcessCreationTime datetime Data i godzina utworzenia procesu
ProcessTokenElevation string Wskazuje typ podniesienia poziomu tokenu zastosowany do nowo utworzonego procesu. Możliwe wartości: TokenElevationTypeLimited (ograniczone), TokenElevationTypeDefault (standardowa) i TokenElevationTypeFull (podwyższony poziom uprawnień)
LogonId long Identyfikator sesji logowania. Ten identyfikator jest unikatowy na tym samym urządzeniu tylko między ponownymi uruchomieniami.
RegistryKey string Klucz rejestru, do który zastosowano zarejestrowaną akcję
RegistryValueName string Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję
RegistryValueData string Dane wartości rejestru, do których zastosowano zarejestrowaną akcję
RemoteIP string Adres IP, z który był połączony
RemotePort int Port TCP na urządzeniu zdalnym, z
LocalIP string Adres IP przypisany do urządzenia lokalnego używanego podczas komunikacji
LocalPort int Port TCP na urządzeniu lokalnym używanym podczas komunikacji
FileOriginUrl string Adres URL, z którego pobrano plik
FileOriginIP string Adres IP, z którego pobrano plik
InitiatingProcessSHA1 string SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessSHA256 string SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna.
InitiatingProcessMD5 string Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessFileName string Nazwa pliku procesu, który zainicjował zdarzenie; Jeśli jest niedostępny, nazwa procesu, który zainicjował zdarzenie, może być wyświetlana zamiast tego
InitiatingProcessFileSize long Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie
InitiatingProcessFolderPath string Folder zawierający proces (plik obrazu), który zainicjował zdarzenie
InitiatingProcessId long Identyfikator procesu (PID) procesu, który zainicjował zdarzenie
InitiatingProcessCommandLine string Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie
InitiatingProcessCreationTime datetime Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie
InitiatingProcessAccountDomain string Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountName string Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie; Jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie.
InitiatingProcessAccountSid string Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountUpn string Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, nazwa UPN identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie, może zostać wyświetlona zamiast tego
InitiatingProcessAccountObjectId string Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessVersionInfoCompanyName string Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductName string Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductVersion string Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoInternalFileName string Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoOriginalFileName string Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoFileDescription string Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessParentId long Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie
InitiatingProcessParentFileName string Nazwa lub pełna ścieżka procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie
InitiatingProcessParentCreationTime datetime Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie
InitiatingProcessLogonId long Identyfikator sesji logowania procesu, który zainicjował zdarzenie. Ten identyfikator jest unikatowy na tym samym urządzeniu tylko między ponownymi uruchomieniami.
ReportId long Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp.
AppGuardContainerId string Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki
AdditionalFields string Dodatkowe informacje o zdarzeniu w formacie tablicy JSON
InitiatingProcessSessionId long Identyfikator sesji systemu Windows procesu inicjowania
IsInitiatingProcessRemoteSession bool Wskazuje, czy proces inicjujący został uruchomiony w ramach sesji protokołu PULPITU zdalnego (RDP) (true), czy lokalnie (false)
InitiatingProcessRemoteSessionDeviceName string Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania
InitiatingProcessRemoteSessionIP string Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania
CreatedProcessSessionId long Identyfikator sesji systemu Windows utworzonego procesu
IsProcessRemoteSession bool Wskazuje, czy utworzony proces został uruchomiony w ramach sesji protokołu pulpitu zdalnego (RDP) (true), czy lokalnie (false)
ProcessRemoteSessionDeviceName string Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP utworzonego procesu
ProcessRemoteSessionIP string Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP utworzonego procesu

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.