DeviceNetworkEvents

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Tabela DeviceNetworkEvents w zaawansowanym schemacie chłoń zawiera informacje o połączeniach sieciowych i powiązanych zdarzeniach. To odwołanie pozwala konstruować zapytania, które zwracają informacje z tej tabeli.

Porada

Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionType wartości) obsługiwanych w tabeli, użyj wbudowanego schematu referencyjnego dostępnego w usłudze Defender dla chmury.

Aby uzyskać informacje o innych tabelach w zaawansowanym schemacie łęgowania, zapoznaj się z zaawansowanymi informacjami na temat wyszukiwania.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina nagrania zdarzenia
DeviceId string Unikatowy identyfikator komputera w usłudze
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) komputera
ActionType string Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje, zobacz informacje dotyczące schematu w portalu
RemoteIP string Adres IP, z który był połączony
RemotePort int Port TCP na urządzeniu zdalnym, z które było połączone
RemoteUrl string Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z która była połączona
LocalIP string Adres IP przypisany do komputera lokalnego używanego podczas komunikacji
LocalPort int Port TCP na komputerze lokalnym używany podczas komunikacji
Protocol string Protokół używany podczas komunikacji
LocalIPType string Typ adresu IP, na przykład Publiczny, Prywatny, Zastrzeżony, Loopback, Teredo, FourToSixMapping i Emisja
RemoteIPType string Typ adresu IP, na przykład Publiczny, Prywatny, Zastrzeżony, Loopback, Teredo, FourToSixMapping i Emisja
InitiatingProcessSHA1 string SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessSHA256 string SHA-256 procesu (pliku obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — jeśli jest dostępne, użyj kolumny SHA1.
InitiatingProcessMD5 string Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessFileName string Nazwa procesu, który zainicjował zdarzenie
InitiatingProcessFileSize long Rozmiar pliku, w przypadku których uruchomiono proces odpowiedzialny za zdarzenie
InitiatingProcessVersionInfoCompanyName string Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductName string Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductVersion string Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoInternalFileName string Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoOriginalFileName string Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoFileDescription string Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessId int Identyfikator procesu (PID) procesu, który zainicjował zdarzenie
InitiatingProcessCommandLine string Wiersz polecenia użyty do uruchomienia procesu, który zainicjował zdarzenie
InitiatingProcessCreationTime datetime Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie
InitiatingProcessFolderPath string Folder zawierający proces (plik obrazu), który zainicjował zdarzenie
InitiatingProcessParentFileName string Nazwa procesu nadrzędnego, który obsługiował proces odpowiedzialny za zdarzenie
InitiatingProcessParentId int Identyfikator procesu (PID) procesu nadrzędnego, który obsługiował proces odpowiedzialny za zdarzenie
InitiatingProcessParentCreationTime datetime Data i godzina rozpoczęcia procesu odpowiedzialnego za zdarzenie jako element nadrzędny
InitiatingProcessAccountDomain string Domena konta, na które uruchomiono proces odpowiedzialny za zdarzenie
InitiatingProcessAccountName string Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountSid string Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountUpn string Główna nazwa użytkownika (UPN) dla konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountObjectId string Identyfikator obiektu usługi Azure AD konta użytkownika, który uruchomił proces odpowiedzialny za zdarzenie
InitiatingProcessIntegrityLevel string Poziom integralności procesu, który zainicjował zdarzenie. Windows przypisać poziomy integralności do procesów na podstawie określonych cech, na przykład tych, które zostały uruchomione z poziomu pobierania z Internetu. Te poziomy integralności wpływają na uprawnienia do zasobów
InitiatingProcessTokenElevation string Typ tokenu wskazujący obecność lub brak podwyższenia uprawnień kontroli dostępu użytkownika zastosowanego do procesu, który zainicjował zdarzenie
ReportId long Identyfikator zdarzenia oparty na liczniku powtarzających się. Aby zidentyfikować unikatowe zdarzenia, należy użyć tej kolumny w połączeniu z kolumnami DeviceName i Timestamp
AppGuardContainerId string Identyfikator zwirtualizowanego kontenera używanego przez application Guard do odizolowanie aktywności przeglądarki
AdditionalFields string Dodatkowe informacje o zdarzeniu w formacie tablicowym JSON