DeviceEvents
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
Прочие события устройства или DeviceEvents таблица в схеме расширенной охоты содержат сведения о различных типах событий, включая события, активируемые средствами управления безопасностью, такие как Microsoft Defender антивирусная программа и защита от эксплойтов. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
ActionType |
string |
Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале . |
FileName |
string |
Имя файла, к которому было применено записанное действие |
FolderPath |
string |
Папка, содержащая файл, к которому было применено записанное действие |
SHA1 |
string |
SHA-1 файла, к которому было применено записанное действие |
SHA256 |
string |
SHA-256 файла, к которому было применено записанное действие Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен. |
MD5 |
string |
Хэш MD5 файла, к которому было применено записанное действие |
FileSize |
long |
Размер файла в байтах |
AccountDomain |
string |
Домен учетной записи |
AccountName |
string |
Имя пользователя учетной записи; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи. |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
RemoteUrl |
string |
URL-адрес или полное доменное имя, к которому выполнено подключение |
RemoteDeviceName |
string |
Имя устройства, которое выполнило удаленную операцию на затронутом устройстве. В зависимости от сообщаемого события это имя может быть полным доменным именем (FQDN), netBIOS-именем или именем узла без сведений о домене. |
ProcessId |
long |
Идентификатор процесса (PID) вновь созданного процесса |
ProcessCommandLine |
string |
Командная строка, используемая для создания нового процесса |
ProcessCreationTime |
datetime |
Дата и время создания процесса |
ProcessTokenElevation |
string |
Указывает тип повышения прав маркера, примененного к только что созданному процессу. Возможные значения: TokenElevationTypeLimited (restricted), TokenElevationTypeDefault (standard) и TokenElevationTypeFull (с повышенными привилегиями) |
LogonId |
long |
Идентификатор сеанса входа. Этот идентификатор уникален на одном и том же устройстве только между перезапусками. |
RegistryKey |
string |
Раздел реестра, к которому было применено записанное действие |
RegistryValueName |
string |
Имя значения реестра, к которому было применено записанное действие |
RegistryValueData |
string |
Данные значения реестра, к которому было применено записанное действие |
RemoteIP |
string |
IP-адрес, к которому выполнено подключение |
RemotePort |
int |
TCP-порт на удаленном устройстве, к которому было подключено |
LocalIP |
string |
IP-адрес, назначенный локальному устройству, используемому во время связи |
LocalPort |
int |
TCP-порт на локальном устройстве, используемом во время связи |
FileOriginUrl |
string |
URL-адрес, из которого был скачан файл |
FileOriginIP |
string |
IP-адрес, с которого был скачан файл |
InitiatingProcessSHA1 |
string |
SHA-1 процесса (файла изображения), который инициировал событие |
InitiatingProcessSHA256 |
string |
SHA-256 процесса (файла изображения), который инициировал событие. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен. |
InitiatingProcessMD5 |
string |
Хэш MD5 процесса (файла образа), который инициировал событие |
InitiatingProcessFileName |
string |
Имя процесса, который инициировал событие |
InitiatingProcessFileSize |
long |
Размер файла, в который был запущен процесс, ответственный за событие |
InitiatingProcessFolderPath |
string |
Папка, содержащая процесс (файл изображения), который инициировал событие |
InitiatingProcessId |
long |
Идентификатор процесса (PID) процесса, который инициировал событие |
InitiatingProcessCommandLine |
string |
Командная строка, используемая для запуска процесса, который инициировал событие |
InitiatingProcessCreationTime |
datetime |
Дата и время запуска процесса, инициирующего событие |
InitiatingProcessAccountDomain |
string |
Домен учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountName |
string |
Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи, которая выполнила процесс, ответственный за событие. |
InitiatingProcessAccountSid |
string |
Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя участника-пользователя Entra ID для учетной записи, которая выполнила процесс, отвечающий за событие. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra идентификатор объекта учетной записи пользователя, запустившего процесс, отвечающий за событие |
InitiatingProcessVersionInfoCompanyName |
string |
Название компании из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoProductName |
string |
Название продукта из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoProductVersion |
string |
Версия продукта из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoInternalFileName |
string |
Внутреннее имя файла из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoOriginalFileName |
string |
Исходное имя файла из сведений о версии процесса (файл изображения), ответственного за событие |
InitiatingProcessVersionInfoFileDescription |
string |
Описание из сведений о версии процесса (файла изображения), ответственного за событие |
InitiatingProcessParentId |
long |
Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие |
InitiatingProcessParentFileName |
string |
Имя или полный путь родительского процесса, который породил процесс, ответственный за событие |
InitiatingProcessParentCreationTime |
datetime |
Дата и время запуска родительского элемента процесса, ответственного за событие |
InitiatingProcessLogonId |
long |
Идентификатор сеанса входа в процесс, который инициировал событие. Этот идентификатор уникален на одном и том же устройстве только между перезапусками. |
ReportId |
long |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
AppGuardContainerId |
string |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера |
AdditionalFields |
string |
Дополнительные сведения о событии в формате массива JSON |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по