DeviceNetworkEvents
Microsoft Defender Für Endpunkte (MDE)-Gerätenetzwerkereignissetabelle. Diese Tabelle enthält Informationen zu Netzwerkverbindungen und zugehörigen Ereignissen, die von Prozessen initiiert werden, die auf dem Endpunkt ausgeführt werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| ActionType | Zeichenfolge | Typ der Aktivität, die das Ereignis ausgelöst hat. |
| AdditionalFields | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId | Zeichenfolge | Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| deviceId | Zeichenfolge | Eindeutiger Bezeichner für das Gerät im Dienst. |
| DeviceName | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts. |
| InitialingProcessAccountDomain | Zeichenfolge | Domäne des Kontos, das den initiierenden Prozess ausgeführt hat. |
| Initiieren vonProcessAccountName | Zeichenfolge | Benutzername des Kontos, das den initiierenden Prozess ausgeführt hat. |
| Initiieren vonProcessAccountObjectId | Zeichenfolge | Azure AD-Objekt-ID des Benutzerkontos, das den initiierenden Prozess ausgeführt hat. |
| Initiieren vonProcessAccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos, das den initiierenden Prozess ausgeführt hat. |
| Initiieren vonProcessAccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos, das den initiierenden Prozess ausgeführt hat. |
| Initiieren vonProcessCommandLine | Zeichenfolge | Befehlszeile, die zum Ausführen des initiierenden Prozesses verwendet wird. |
| InitialingProcessCreationTime | datetime | Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| Initiieren vonProcessFileName | Zeichenfolge | Name des initiierenden Prozesses. |
| Initiieren vonProcessFileSize | long | Größe der Datei (Bytes), die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessFolderPath | Zeichenfolge | Ordner, der den initiierenden Prozess (Bilddatei) enthält. |
| Initiieren vonProcessId | long | Prozess-ID (PID) des initiierenden Prozesses. |
| Initiieren vonProcessIntegrityLevel | Zeichenfolge | Integritätsebene des initiierenden Prozesses. Windows weist Prozessen Integritätsebenen zu, die auf bestimmten Merkmalen basieren, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen beeinflussen Berechtigungen für Ressourcen. |
| InitiierenProcessMD5 | Zeichenfolge | MD5-Hash des initiierenden Prozesses (Imagedatei). |
| InitialingProcessParentCreationTime | datetime | Datum und Uhrzeit des Startpunkts des übergeordneten Prozesses, der für das Ereignis verantwortlich ist. |
| InitialingProcessParentFileName | Zeichenfolge | Name des übergeordneten Prozesses, der den initiierenden Prozess erzeugt hat. |
| InitialingProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den initiierenden Prozess erzeugt hat. |
| Initiieren VonProcessSHA1 | Zeichenfolge | SHA-1-Hash des initiierenden Prozesses (Imagedatei). |
| InitiierenProcessSHA256 | Zeichenfolge | SHA-256-Hash des initiierenden Prozesses (Imagedatei). In einigen Fällen wird diese Spalte möglicherweise nicht aufgefüllt. Verwenden Sie stattdessen die Spalte InitiatingProcessSHA1. |
| Initiieren vonProcessTokenElevation | Zeichenfolge | Tokentyp, der das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (UAC) angibt, die auf den initiierenden Prozess angewendet werden. |
| InitiierenProcessVersionInfoCompanyName | Zeichenfolge | Der Unternehmensname in den Versionsinformationen (Imagedatei), die für das Ereignis verantwortlich ist. |
| Initiieren vonProcessVersionInfoFileDescription | Zeichenfolge | Die Beschreibung in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
| InitiierenProcessVersionInfoInternalFileName | Zeichenfolge | Der interne Dateiname in den Versionsinformationen (Imagedatei), die für das Ereignis verantwortlich ist. |
| InitiierenProcessVersionInfoOriginalFileName | Zeichenfolge | Der ursprüngliche Dateiname in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
| InitiierenprocessVersionInfoProductName | Zeichenfolge | Der Produktname in den Versionsinformationen (Imagedatei), der für das Ereignis verantwortlich ist. |
| InitiierenProcessVersionInfoProductVersion | Zeichenfolge | Die Produktversion in den Versionsinformationen (Imagedatei), die für das Ereignis verantwortlich ist. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LocalIP | Zeichenfolge | IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird. |
| LocalIPType | Zeichenfolge | Typ der IP-Adresse, z. B. Öffentlich, Privat, Reserviert, Loopback, Teredo, FourToSixMapping und Broadcast. |
| LocalPort | INT | TCP-Port auf dem lokalen Computer, der während der Kommunikation verwendet wird. |
| MachineGroup | Zeichenfolge | Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| Protocol | Zeichenfolge | Ip-Protokoll verwendet, unabhängig davon, ob TCP oder UDP. |
| RemoteIP | Zeichenfolge | IP-Adresse, mit der eine Verbindung hergestellt wurde. |
| RemoteIPType | Zeichenfolge | Typ der IP-Adresse, z. B. Öffentlich, Privat, Reserviert, Loopback, Teredo, FourToSixMapping und Broadcast. |
| RemotePort | INT | TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde. |
| RemoteUrl | Zeichenfolge | URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde. |
| ReportId | long | Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Datum und Uhrzeit, zu der das Ereignis vom MDE-Agent auf dem Endpunkt aufgezeichnet wurde. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für