通过

DeviceEvents

  • 项目

适用于:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

高级搜寻架构中的其他设备事件或DeviceEvents表包含有关各种事件类型的信息,包括安全控制触发的事件,例如Microsoft Defender防病毒和攻击防护。 使用此参考来构建从此表返回信息的查询。

提示

有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。

有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 记录事件的日期和时间
DeviceId string 服务中设备的唯一标识符
DeviceName string 设备的 FQDN) (完全限定的域名
ActionType string 触发事件的活动类型。 有关详细信息,请参阅 门户内架构参考
FileName string 录制操作所应用到的文件的名称
FolderPath string 包含已记录操作应用到的文件的文件夹
SHA1 string 录制操作所应用到的文件的 SHA-1
SHA256 string 录制操作所应用到的文件的 SHA-256。 通常不会填充此字段 — 可用时使用 SHA1 列。
MD5 string 已记录操作应用到的文件的 MD5 哈希
FileSize long 文件的大小(以字节为单位)
AccountDomain string 帐户的域
AccountName string 帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则可能改为显示帐户的 Entra ID 用户名
AccountSid string 帐户的安全标识符 (SID)
RemoteUrl string 连接到的 URL 或完全限定域名 (FQDN)
RemoteDeviceName string 在受影响的设备上执行远程操作的设备的名称。 根据所报告的事件,此名称可以是 FQDN) (完全限定的域名、NetBIOS 名称或不包含域信息的主机名。
ProcessId long 进程 ID (新创建的进程的 PID)
ProcessCommandLine string 用于创建新进程的命令行
ProcessCreationTime datetime 进程的创建日期和时间
ProcessTokenElevation string 指示应用于新创建进程的令牌提升的类型。 可能的值:TokenElevationTypeLimited (受限) 、TokenElevationTypeDefault (标准) 和 TokenElevationTypeFull (提升)
LogonId long 登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。
RegistryKey string 记录的操作应用于的注册表项
RegistryValueName string 记录的操作应用于的注册表值的名称
RegistryValueData string 记录的操作应用于的注册表值的数据
RemoteIP string 连接到的 IP 地址
RemotePort int 连接到的远程设备上的 TCP 端口
LocalIP string 分配给通信期间使用的本地设备的 IP 地址
LocalPort int 通信期间使用的本地设备上的 TCP 端口
FileOriginUrl string 从中下载文件的 URL
FileOriginIP string 下载文件的 IP 地址
InitiatingProcessSHA1 string 启动事件的进程的 SHA-1 (映像文件)
InitiatingProcessSHA256 string 进程的 SHA-256 (启动事件的映像文件) 。 通常不会填充此字段 — 可用时使用 SHA1 列。
InitiatingProcessMD5 string 发起事件的进程 (映像文件) 的 MD5 哈希
InitiatingProcessFileName string 启动事件的进程文件的名称;如果不可用,则可能会改为显示启动事件的进程的名称
InitiatingProcessFileSize long 运行负责事件的进程的文件的大小
InitiatingProcessFolderPath string 包含发起事件的进程 (图像文件) 的文件夹
InitiatingProcessId long 进程 ID (启动事件的进程的 PID)
InitiatingProcessCommandLine string 用于运行启动事件的进程的命令行
InitiatingProcessCreationTime datetime 启动事件的进程的日期和时间
InitiatingProcessAccountDomain string 运行负责事件的进程的帐户的域
InitiatingProcessAccountName string 运行负责事件的进程的帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID 用户名可能会改为显示
InitiatingProcessAccountSid string 安全标识符 (SID) 运行负责事件的进程的帐户
InitiatingProcessAccountUpn string 用户主体名称 (负责事件的运行进程的帐户的 UPN) ;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID UPN 可能会改为显示
InitiatingProcessAccountObjectId string Microsoft Entra运行负责事件的进程的用户帐户的对象 ID
InitiatingProcessVersionInfoCompanyName string 进程版本信息中的公司名称 (映像文件) 负责事件
InitiatingProcessVersionInfoProductName string 进程版本信息中的产品名称 (图像文件) 负责事件
InitiatingProcessVersionInfoProductVersion string 来自进程版本信息的产品版本 (映像文件) 负责事件
InitiatingProcessVersionInfoInternalFileName string 进程版本信息中的内部文件名 (负责事件的映像文件)
InitiatingProcessVersionInfoOriginalFileName string 进程版本信息中的原始文件名 (负责事件的映像文件)
InitiatingProcessVersionInfoFileDescription string 来自进程版本信息的说明 (负责事件的映像文件)
InitiatingProcessParentId long 进程 ID (PID) 生成负责事件的进程的父进程
InitiatingProcessParentFileName string 生成负责事件的进程的父进程的名称或完整路径
InitiatingProcessParentCreationTime datetime 负责事件的进程的父级的启动日期和时间
InitiatingProcessLogonId long 启动事件的进程的登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。
ReportId long 基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。
AppGuardContainerId string 应用程序防护用于隔离浏览器活动的虚拟化容器的标识符
AdditionalFields string 有关 JSON 数组格式的事件的其他信息
InitiatingProcessSessionId long 启动进程的 Windows 会话 ID
IsInitiatingProcessRemoteSession bool 指示启动进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false)
InitiatingProcessRemoteSessionDeviceName string 从中启动发起进程的 RDP 会话的远程设备的设备名称
InitiatingProcessRemoteSessionIP string 从中启动发起进程的 RDP 会话的远程设备的 IP 地址
CreatedProcessSessionId long 已创建进程的 Windows 会话 ID
IsProcessRemoteSession bool 指示创建的进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false)
ProcessRemoteSessionDeviceName string 从中启动所创建进程的 RDP 会话的远程设备的设备名称
ProcessRemoteSessionIP string 从中启动所创建进程的 RDP 会话的远程设备的 IP 地址

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区