Acara Jaringan Perangkat
Microsoft Defender untuk tabel peristiwa jaringan perangkat Titik Akhir (MDE). Tabel ini berisi informasi tentang koneksi jaringan dan peristiwa terkait yang dimulai oleh proses yang berjalan pada titik akhir.
Atribut tabel
Atribut | Nilai |
---|---|
Jenis sumber daya | - |
Kategori | Keamanan |
Solusi | SecurityInsights |
Log dasar | Tidak |
Transformasi waktu penyerapan | Ya |
Kueri Sampel | - |
Kolom
Kolom | Jenis | Deskripsi |
---|---|---|
ActionType | string | Jenis aktivitas yang memicu peristiwa. |
AdditionalFields | dinamis | Informasi tambahan tentang entitas atau peristiwa. |
AppGuardContainerId | string | Pengidentifikasi untuk kontainer virtual yang digunakan oleh Application Guard untuk mengisolasi aktivitas browser. |
_BilledSize | nyata | Ukuran rekaman dalam byte |
DeviceId | string | Pengidentifikasi unik untuk perangkat dalam layanan. |
DeviceName | string | Nama domain yang sepenuhnya memenuhi syarat (FQDN) perangkat. |
InitiatingProcessAccountDomain | string | Domain akun yang menjalankan proses memulai. |
InitiatingProcessAccountName | string | Nama pengguna akun yang menjalankan proses memulai. |
InitiatingProcessAccountObjectId | string | Azure AD ID objek akun pengguna yang menjalankan proses memulai. |
InitiatingProcessAccountSid | string | Pengidentifikasi Keamanan (SID) akun yang menjalankan proses memulai. |
InitiatingProcessAccountUpn | string | Nama prinsipal pengguna (UPN) akun yang menjalankan proses memulai. |
InitiatingProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses memulai. |
InitiatingProcessCreationTime | tanggalwaktu | Tanggal dan waktu ketika proses yang memulai peristiwa dimulai. |
InitiatingProcessFileName | string | Nama proses yang memulai. |
InitiatingProcessFileSize | long | Ukuran file (byte) yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessFolderPath | string | Folder yang berisi proses memulai (file gambar). |
InitiatingProcessId | long | ID Proses (PID) dari proses yang memulai. |
InitiatingProcessIntegrityLevel | string | Tingkat integritas proses memulai. Windows menetapkan tingkat integritas ke proses berdasarkan karakteristik tertentu, seperti jika diluncurkan dari unduhan internet. Tingkat integritas ini memengaruhi izin ke sumber daya.. |
InitiatingProcessMD5 | string | Hash MD5 dari proses memulai (file gambar). |
InitiatingProcessParentCreationTime | tanggalwaktu | Tanggal dan waktu ketika induk proses yang bertanggung jawab atas peristiwa dimulai. |
InitiatingProcessParentFileName | string | Nama proses induk yang melahirkan proses memulai. |
InitiatingProcessParentId | long | ID Proses (PID) dari proses induk yang melahirkan proses memulai. |
InitiatingProcessSHA1 | string | Hash SHA-1 dari proses memulai (file gambar). |
InitiatingProcessSHA256 | string | HASH SHA-256 dari proses yang memulai (file gambar). Dalam beberapa kasus, kolom ini mungkin tidak diisi - silakan gunakan kolom InitiatingProcessSHA1 sebagai gantinya. |
InitiatingProcessTokenElevation | string | Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa User Access Control (UAC) yang diterapkan pada proses memulai. |
InitiatingProcessVersionInfoCompanyName | string | Nama perusahaan dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoFileDescription | string | Deskripsi dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoInternalFileName | string | Nama file internal dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoOriginalFileName | string | Nama file asli dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoProductName | string | Nama produk dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
InitiatingProcessVersionInfoProductVersion | string | Versi produk dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
_IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
LocalIP | string | Alamat IP yang ditetapkan ke komputer lokal yang digunakan selama komunikasi. |
LocalIPType | string | Jenis alamat IP, misalnya Publik, Privat, Dicadangkan, Loopback, Teredo, FourToSixMapping, dan Broadcast. |
LocalPort | int | Port TCP pada komputer lokal yang digunakan selama komunikasi. |
MachineGroup | string | Grup mesin mesin. Grup ini digunakan oleh kontrol akses berbasis peran untuk menentukan akses ke komputer. |
Protokol | string | Protokol IP yang digunakan, baik TCP atau UDP. |
RemoteIP | string | Alamat IP yang sedang disambungkan. |
RemoteIPType | string | Jenis alamat IP, misalnya Publik, Privat, Dicadangkan, Loopback, Teredo, FourToSixMapping, dan Broadcast. |
Port Jarak Jauh | int | Port TCP pada perangkat jarak jauh yang sedang tersambung. |
RemoteUrl | string | URL atau nama domain yang sepenuhnya memenuhi syarat (FQDN) yang sedang tersambung. |
ReportId | long | Pengidentifikasi peristiwa berdasarkan penghitung berulang. Untuk mengidentifikasi peristiwa unik, kolom ini harus digunakan bersama dengan kolom ComputerName dan EventTime.. |
SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
TenantId | string | ID ruang kerja Analitik Log |
TimeGenerated | tanggalwaktu | Tanggal dan waktu peristiwa direkam oleh agen MDE pada titik akhir. |
Jenis | string | Nama tabel |
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk