DeviceNetworkEvents
Microsoft Defender для таблицы сетевых событий устройств конечных точек (MDE). Эта таблица содержит сведения о сетевых подключениях и связанных событиях, инициированных процессами, запущенными в конечной точке.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| Тип действия | строка | Тип действия, которое активировало событие. |
| AdditionalFields | Динамический | Дополнительные сведения о сущности или событии. |
| AppGuardContainerId | строка | Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize | real | Размер записи в байтах |
| DeviceId | строка | Уникальный идентификатор устройства в службе. |
| DeviceName | строка | Полное доменное имя (FQDN) устройства. |
| InitiatingProcessAccountDomain | строка | Домен учетной записи, которая запустила процесс инициации. |
| InitiatingProcessAccountName | строка | Имя пользователя учетной записи, которая запустила процесс инициации. |
| InitiatingProcessAccountObjectId | строка | Azure AD идентификатор объекта учетной записи пользователя, которая запустила процесс инициации. |
| InitiatingProcessAccountSid | строка | Идентификатор безопасности (SID) учетной записи, которая запустила процесс инициации. |
| InitiatingProcessAccountUpn | строка | Имя участника-пользователя (UPN) учетной записи, которая запустила процесс инициации. |
| InitiatingProcessCommandLine | строка | Командная строка, используемая для запуска процесса инициации. |
| InitiatingProcessCreationTime | DATETIME | Дата и время запуска процесса, который инициировал событие. |
| InitiatingProcessFileName | строка | Имя инициирующего процесса. |
| InitiatingProcessFileSize | long | Размер файла (байтов), который запустил процесс, ответственный за событие. |
| InitiatingProcessFolderPath | строка | Папка, содержащая инициирующий процесс (файл изображения). |
| InitiatingProcessId | long | Идентификатор процесса (PID) инициирующего процесса. |
| InitiatingProcessIntegrityLevel | строка | Уровень целостности инициирующего процесса. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов. |
| InitiatingProcessMD5 | строка | Хэш MD5 инициирующего процесса (файл изображения). |
| InitiatingProcessParentCreationTime | DATETIME | Дата и время запуска родительского процесса, ответственного за событие. |
| InitiatingProcessParentFileName | строка | Имя родительского процесса, порожденного процессом-инициатором. |
| InitiatingProcessParentId | long | Идентификатор процесса (PID) родительского процесса, который породил инициирующий процесс. |
| InitiatingProcessSHA1 | строка | Хэш SHA-1 инициирующего процесса (файл изображения). |
| InitiatingProcessSHA256 | строка | Хэш SHA-256 инициирующего процесса (файл изображения). В некоторых случаях этот столбец может не заполняться. Используйте вместо него столбец InitiatingProcessSHA1. |
| InitiatingProcessTokenElevation | строка | Тип маркера, указывающий на наличие или отсутствие повышения привилегий контроль доступа пользователей (UAC), примененных к инициируемой процедуре. |
| InitiatingProcessVersionInfoCompanyName | строка | Название компании в сведениях о версии (файле образа), ответственное за событие. |
| InitiatingProcessVersionInfoFileDescription | строка | Описание в сведениях о версии (файле образа), ответственное за событие. |
| InitiatingProcessVersionInfoInternalFileName | строка | Имя внутреннего файла в сведениях о версии (файл образа), ответственное за событие. |
| InitiatingProcessVersionInfoOriginalFileName | строка | Исходное имя файла в сведениях о версии (файл изображения), ответственное за событие. |
| InitiatingProcessVersionInfoProductName | строка | Имя продукта в сведениях о версии (файле образа), ответственное за событие. |
| InitiatingProcessVersionInfoProductVersion | строка | Версия продукта в сведениях о версии (файле образа), ответственных за событие. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| LocalIP | строка | IP-адрес, назначенный локальному компьютеру, используемому во время обмена данными. |
| LocalIPType | строка | Тип IP-адреса, например Public, Private, Reserved, Loopback, Teredo, FourToSixMapping и Broadcast. |
| Локальный порт | INT | TCP-порт на локальном компьютере, используемый во время связи. |
| MachineGroup | строка | Группа компьютеров компьютера. Эта группа используется управлением доступом на основе ролей для определения доступа к компьютеру. |
| Протокол | строка | Используемый ПРОТОКОЛ IP, будь то TCP или UDP. |
| RemoteIP | строка | IP-адрес, к которому подключалось подключение. |
| RemoteIPType | строка | Тип IP-адреса, например Public, Private, Reserved, Loopback, Teredo, FourToSixMapping и Broadcast. |
| Удаленный порт | INT | TCP-порт на удаленном устройстве, к которому было подключено подключение. |
| RemoteUrl | строка | URL-адрес или полное доменное имя (FQDN), к которому подключалось подключение. |
| ReportId | long | Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Дата и время записи события агентом MDE на конечной точке. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по