DeviceEvents
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
高级搜寻架构中的其他设备事件或DeviceEvents
表包含有关各种事件类型的信息,包括安全控制触发的事件,例如Microsoft Defender防病毒和攻击防护。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType
值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
列名称 | 数据类型 | 说明 |
---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
ActionType |
string |
触发事件的活动类型。 有关详细信息,请参阅 门户内架构参考 。 |
FileName |
string |
录制操作所应用到的文件的名称 |
FolderPath |
string |
包含已记录操作应用到的文件的文件夹 |
SHA1 |
string |
录制操作所应用到的文件的 SHA-1 |
SHA256 |
string |
录制操作所应用到的文件的 SHA-256。 通常不会填充此字段 — 可用时使用 SHA1 列。 |
MD5 |
string |
已记录操作应用到的文件的 MD5 哈希 |
FileSize |
long |
文件的大小(以字节为单位) |
AccountDomain |
string |
帐户的域 |
AccountName |
string |
帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则可能改为显示帐户的 Entra ID 用户名 |
AccountSid |
string |
帐户的安全标识符 (SID) |
RemoteUrl |
string |
连接到的 URL 或完全限定域名 (FQDN) |
RemoteDeviceName |
string |
在受影响的设备上执行远程操作的设备的名称。 根据所报告的事件,此名称可以是 FQDN) (完全限定的域名、NetBIOS 名称或不包含域信息的主机名。 |
ProcessId |
long |
进程 ID (新创建的进程的 PID) |
ProcessCommandLine |
string |
用于创建新进程的命令行 |
ProcessCreationTime |
datetime |
进程的创建日期和时间 |
ProcessTokenElevation |
string |
指示应用于新创建进程的令牌提升的类型。 可能的值:TokenElevationTypeLimited (受限) 、TokenElevationTypeDefault (标准) 和 TokenElevationTypeFull (提升) |
LogonId |
long |
登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。 |
RegistryKey |
string |
记录的操作应用于的注册表项 |
RegistryValueName |
string |
记录的操作应用于的注册表值的名称 |
RegistryValueData |
string |
记录的操作应用于的注册表值的数据 |
RemoteIP |
string |
连接到的 IP 地址 |
RemotePort |
int |
连接到的远程设备上的 TCP 端口 |
LocalIP |
string |
分配给通信期间使用的本地设备的 IP 地址 |
LocalPort |
int |
通信期间使用的本地设备上的 TCP 端口 |
FileOriginUrl |
string |
从中下载文件的 URL |
FileOriginIP |
string |
下载文件的 IP 地址 |
InitiatingProcessSHA1 |
string |
启动事件的进程的 SHA-1 (映像文件) |
InitiatingProcessSHA256 |
string |
进程的 SHA-256 (启动事件的映像文件) 。 通常不会填充此字段 — 可用时使用 SHA1 列。 |
InitiatingProcessMD5 |
string |
发起事件的进程 (映像文件) 的 MD5 哈希 |
InitiatingProcessFileName |
string |
启动事件的进程文件的名称;如果不可用,则可能会改为显示启动事件的进程的名称 |
InitiatingProcessFileSize |
long |
运行负责事件的进程的文件的大小 |
InitiatingProcessFolderPath |
string |
包含发起事件的进程 (图像文件) 的文件夹 |
InitiatingProcessId |
long |
进程 ID (启动事件的进程的 PID) |
InitiatingProcessCommandLine |
string |
用于运行启动事件的进程的命令行 |
InitiatingProcessCreationTime |
datetime |
启动事件的进程的日期和时间 |
InitiatingProcessAccountDomain |
string |
运行负责事件的进程的帐户的域 |
InitiatingProcessAccountName |
string |
运行负责事件的进程的帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID 用户名可能会改为显示 |
InitiatingProcessAccountSid |
string |
安全标识符 (SID) 运行负责事件的进程的帐户 |
InitiatingProcessAccountUpn |
string |
用户主体名称 (负责事件的运行进程的帐户的 UPN) ;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID UPN 可能会改为显示 |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra运行负责事件的进程的用户帐户的对象 ID |
InitiatingProcessVersionInfoCompanyName |
string |
进程版本信息中的公司名称 (映像文件) 负责事件 |
InitiatingProcessVersionInfoProductName |
string |
进程版本信息中的产品名称 (图像文件) 负责事件 |
InitiatingProcessVersionInfoProductVersion |
string |
来自进程版本信息的产品版本 (映像文件) 负责事件 |
InitiatingProcessVersionInfoInternalFileName |
string |
进程版本信息中的内部文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoOriginalFileName |
string |
进程版本信息中的原始文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoFileDescription |
string |
来自进程版本信息的说明 (负责事件的映像文件) |
InitiatingProcessParentId |
long |
进程 ID (PID) 生成负责事件的进程的父进程 |
InitiatingProcessParentFileName |
string |
生成负责事件的进程的父进程的名称或完整路径 |
InitiatingProcessParentCreationTime |
datetime |
负责事件的进程的父级的启动日期和时间 |
InitiatingProcessLogonId |
long |
启动事件的进程的登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。 |
ReportId |
long |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
AppGuardContainerId |
string |
应用程序防护用于隔离浏览器活动的虚拟化容器的标识符 |
AdditionalFields |
string |
有关 JSON 数组格式的事件的其他信息 |
InitiatingProcessSessionId |
long |
启动进程的 Windows 会话 ID |
IsInitiatingProcessRemoteSession |
bool |
指示启动进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
从中启动发起进程的 RDP 会话的远程设备的设备名称 |
InitiatingProcessRemoteSessionIP |
string |
从中启动发起进程的 RDP 会话的远程设备的 IP 地址 |
CreatedProcessSessionId |
long |
已创建进程的 Windows 会话 ID |
IsProcessRemoteSession |
bool |
指示创建的进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false) |
ProcessRemoteSessionDeviceName |
string |
从中启动所创建进程的 RDP 会话的远程设备的设备名称 |
ProcessRemoteSessionIP |
string |
从中启动所创建进程的 RDP 会话的远程设备的 IP 地址 |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。