DeviceEvents
Эта таблица является частью Microsoft Defender для конечных точек с Azure Sentinel. Эта таблица содержит несколько типов событий, включая события, активируемые элементами управления безопасностью, такими как Защитник Windows антивирусная программа и защита от эксплойтов.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AccountDomain | строка | Домен учетной записи. |
| AccountName | строка | Имя пользователя учетной записи. |
| AccountSid | строка | Идентификатор безопасности (SID) учетной записи. |
| Тип действия | строка | Тип действия, активировав это событие. |
| AdditionalFields | Динамический | Дополнительные сведения о сущности или событии. |
| AppGuardContainerId | строка | Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize | real | Размер записи в байтах |
| DeviceId | строка | Уникальный идентификатор устройства в службе. |
| DeviceName | строка | Полное доменное имя (FQDN) устройства. |
| FileName | строка | Домен учетной записи. |
| FileOriginIP | строка | IP-адрес, с которого был скачан файл. |
| FileOriginUrl | строка | URL-адрес, с которого был скачан файл. |
| FileSize | long | Размер файла в байтах. |
| FolderPath | строка | Домен учетной записи. |
| InitiatingProcessAccountDomain | строка | Домен учетной записи, которая запустила процесс, отвечающий за событие. |
| InitiatingProcessAccountName | строка | Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие. |
| InitiatingProcessAccountObjectId | строка | Azure AD идентификатор объекта учетной записи пользователя, которая запустила процесс, отвечающий за событие. |
| InitiatingProcessAccountSid | строка | Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие. |
| InitiatingProcessAccountUpn | строка | Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие. |
| InitiatingProcessCommandLine | строка | Командная строка, используемая для запуска процесса, который инициировал событие. |
| InitiatingProcessCreationTime | DATETIME | Дата и время запуска процесса, инициирующего событие. |
| InitiatingProcessFileName | строка | Имя процесса, который инициировал событие. |
| InitiatingProcessFileSize | long | Размер в байтах файла, который выполнял процесс, отвечающий за событие. |
| InitiatingProcessFolderPath | строка | Папка, содержащая процесс (файл образа), который инициировал событие. |
| InitiatingProcessId | long | Идентификатор процесса (PID) процесса, который инициировал событие. |
| InitiatingProcessLogonId | long | Идентификатор сеанса входа в процесс, который инициировал событие. Этот идентификатор уникален на том же компьютере только между перезапусками. |
| InitiatingProcessMD5 | строка | MD5-хэш процесса (файла образа), который инициировал событие. |
| InitiatingProcessParentCreationTime | DATETIME | Дата и время запуска родительского элемента процесса, ответственного за событие. |
| InitiatingProcessParentFileName | строка | Имя родительского процесса, который породил процесс, ответственный за событие. |
| InitiatingProcessParentId | long | Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
| InitiatingProcessSHA1 | строка | Хэш SHA-1 процесса (файла изображения), который инициировал событие. |
| InitiatingProcessSHA256 | строка | Хэш SHA-256 процесса (файла изображения), который инициировал событие. Обычно это поле не заполняется— используйте столбец SHA1, если он доступен. |
| InitiatingProcessVersionInfoCompanyName | строка | Название компании из сведений о версии процесса (файла образа), ответственного за событие. |
| InitiatingProcessVersionInfoFileDescription | строка | Описание из сведений о версии процесса (файла образа), ответственного за событие. |
| InitiatingProcessVersionInfoInternalFileName | строка | Внутреннее имя файла из сведений о версии процесса (файл образа), ответственного за событие. |
| InitiatingProcessVersionInfoOriginalFileName | строка | Исходное имя файла из сведений о версии процесса (файл образа), ответственного за событие. |
| InitiatingProcessVersionInfoProductName | строка | Название продукта из сведений о версии процесса (файла образа), ответственного за событие. |
| InitiatingProcessVersionInfoProductVersion | строка | Версия продукта из сведений о версии процесса (файл образа), ответственного за событие. |
| _IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
| LocalIP | строка | IP-адрес, назначенный локальному компьютеру, используемому во время обмена данными. |
| Локальный порт | INT | TCP-порт на локальном компьютере, используемый во время обмена данными. |
| LogonId | long | Идентификатор сеанса входа. Этот идентификатор уникален на том же компьютере только между перезапусками. |
| MachineGroup | строка | Группа компьютеров компьютера. Эта группа используется при управлении доступом на основе ролей для определения доступа к компьютеру. |
| MD5 | строка | MD5-хэш файла, к которому было применено записанное действие. |
| ProcessCommandLine | строка | Командная строка, используемая для создания нового процесса. |
| ProcessCreationTime | DATETIME | Дата и время создания процесса. |
| ProcessId | long | Идентификатор процесса (PID) созданного процесса. |
| ProcessTokenElevation | строка | Тип маркера, указывающий на наличие или отсутствие повышения привилегий контроль доступа пользователей (UAC), применяемых к только что созданному процессу. |
| RegistryKey | строка | Раздел реестра, к которому было применено записанное действие. |
| RegistryValueData | строка | Данные значения реестра, к которому было применено записанное действие. |
| RegistryValueName | строка | Имя значения реестра, к которому было применено записанное действие. |
| RemoteDeviceName | строка | Имя устройства, выполняющего удаленную операцию на затронутом компьютере. В зависимости от сообщаемого события это имя может быть полным доменным именем (FQDN), netBIOS-именем или именем узла без сведений о домене. |
| RemoteIP | строка | IP-адрес, к которому было подключено подключение. |
| Удаленный порт | INT | TCP-порт на удаленном устройстве, к которому было подключено. |
| RemoteUrl | строка | URL-адрес или полное доменное имя ( FQDN), к которому было подключено. |
| ReportId | long | Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| SHA1 | строка | Хэш SHA-1 файла, к которому было применено записанное действие. |
| SHA256 | строка | SHA-256 файла, к которому было применено записанное действие. |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Дата и время записи события агентом MDE на конечной точке. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по