DeviceEvents
Esta tabla forma parte de Microsoft Defender para los puntos de conexión con Azure Sentinel. Esta tabla contiene varios tipos de eventos, incluidos los eventos desencadenados por controles de seguridad, como Windows Defender Antivirus y protección contra vulnerabilidades de seguridad.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | SecurityInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AccountDomain | string | Dominio de la cuenta. |
| AccountName | string | Nombre de usuario de la cuenta. |
| AccountSid | string | Identificador de seguridad (SID) de la cuenta. |
| ActionType | string | Tipo de actividad que desencadenó el evento. |
| AdditionalFields | dinámico | Información adicional sobre la entidad o el evento. |
| AppGuardContainerId | string | Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
| _BilledSize | real | Tamaño del registro en bytes |
| deviceId | string | Identificador único del dispositivo en el servicio. |
| DeviceName | string | Nombre de dominio completo (FQDN) del dispositivo. |
| FileName | string | Dominio de la cuenta. |
| FileOriginIP | string | Dirección IP desde la que se descargó el archivo. |
| FileOriginUrl | string | Dirección URL desde la que se descargó el archivo. |
| FileSize | long | Tamaño del archivo en bytes. |
| FolderPath | string | Dominio de la cuenta. |
| IniciandoProcessAccountDomain | string | Dominio de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountName | string | Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento. |
| IniciandoProcessAccountObjectId | string | Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento. |
| IniciandoProcessAccountSid | string | Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento. |
| IniciandoProcessAccountUpn | string | Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento. |
| IniciandoProcessCommandLine | string | Línea de comandos usada para ejecutar el proceso que inició el evento. |
| InitiatingProcessCreationTime | datetime | Fecha y hora en que se inició el proceso que inició el evento. |
| IniciandoProcessFileName | string | Nombre del proceso que inició el evento. |
| InitiatingProcessFileSize | long | Tamaño en bytes del archivo que ejecutó el proceso responsable del evento. |
| InitiatingProcessFolderPath | string | Carpeta que contiene el proceso (archivo de imagen) que inició el evento. |
| IniciandoProcessId | long | Identificador de proceso (PID) del proceso que inició el evento. |
| InitiatingProcessLogonId | long | Identificador de una sesión de inicio de sesión del proceso que inició el evento. Este identificador es único en la misma máquina solo entre reinicios. |
| InitiatingProcessMD5 | string | Hash MD5 del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessParentCreationTime | datetime | Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
| InitiatingProcessParentFileName | string | Nombre del proceso primario que generó el proceso responsable del evento. |
| IniciandoProcessParentId | long | Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento. |
| InitiatingProcessSHA1 | string | Hash SHA-1 del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessSHA256 | string | Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Normalmente, este campo no se rellena: use la columna SHA1 cuando esté disponible. |
| InitiatingProcessVersionInfoCompanyName | string | Nombre de la empresa de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoFileDescription | string | Descripción de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoInternalFileName | string | Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductName | string | Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductVersion | string | Versión del producto a partir de la información de versión del proceso (archivo de imagen) responsable del evento. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| LocalIP | string | Dirección IP asignada al equipo local utilizado durante la comunicación. |
| LocalPort | int | Puerto TCP en el equipo local usado durante la comunicación. |
| LogonId | long | Identificador de una sesión de inicio de sesión. Este identificador es único en la misma máquina solo entre reinicios. |
| MachineGroup | string | Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
| MD5 | string | Hash MD5 del archivo al que se aplicó la acción grabada. |
| ProcessCommandLine | string | Línea de comandos usada para crear el nuevo proceso. |
| ProcessCreationTime | datetime | Fecha y hora en que se creó el proceso. |
| ProcessId | long | Id. de proceso (PID) del proceso recién creado. |
| ProcessTokenElevation | string | Tipo de token que indica la presencia o ausencia de elevación de privilegios de usuario Access Control (UAC) aplicada al proceso recién creado. |
| RegistryKey | string | Clave del Registro a la que se aplicó la acción registrada. |
| RegistryValueData | string | Datos del valor del Registro al que se aplicó la acción registrada. |
| RegistryValueName | string | Nombre del valor del Registro al que se aplicó la acción registrada. |
| RemoteDeviceName | string | Nombre del dispositivo que realizó una operación remota en el equipo afectado. En función del evento que se notifique, este nombre podría ser un nombre de dominio completo (FQDN), un nombre NetBIOS o un nombre de host sin información de dominio. |
| RemoteIP | string | Dirección IP a la que se estaba conectando. |
| RemotePort | int | Puerto TCP en el dispositivo remoto al que se estaba conectando. |
| Remoteurl | string | Dirección URL o nombre de dominio completo (FQDN) al que se estaba conectando. |
| ReportId | long | Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
| SHA1 | string | Hash SHA-1 del archivo al que se aplicó la acción grabada. |
| SHA256 | string | SHA-256 del archivo al que se aplicó la acción grabada. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
| Tipo | string | Nombre de la tabla. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de