DeviceEvents
Bu tablo, Azure Sentinel ile Uç Noktalar için Microsoft Defender bir parçasıdır. Bu tablo, Windows Defender Virüsten Koruma ve açıklardan yararlanma koruması gibi güvenlik denetimleri tarafından tetiklenen olaylar da dahil olmak üzere birden çok olay türünü içerir.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | - |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Veri alımı-zaman dönüşümü | Yes |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| AccountDomain | string | Hesabın etki alanı. |
| AccountName | string | Hesabın kullanıcı adı. |
| AccountSid | string | Hesabın güvenlik tanımlayıcısı (SID). |
| EylemTürü | string | Olayı tetikleyen etkinliğin türü. |
| EkAlanlar | dynamic | Varlık veya olay hakkında ek bilgiler. |
| AppGuardContainerId | string | tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DeviceId | string | Hizmetteki cihazın benzersiz tanımlayıcısı. |
| DeviceName | string | Cihazın tam etki alanı adı (FQDN). |
| FileName | string | Hesabın etki alanı. |
| FileOriginIP | string | Dosyanın indirildiği IP adresi. |
| FileOriginUrl | string | Dosyanın indirildiği URL. |
| Filesize | long | Dosyanın bayt cinsinden boyutu. |
| Klasör Yolu | string | Hesabın etki alanı. |
| InitiatingProcessAccountDomain | string | Olaydan sorumlu işlemi çalıştıran hesabın etki alanı. |
| InitiatingProcessAccountName | string | Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı adı. |
| InitiatingProcessAccountObjectId | string | olaydan sorumlu işlemi çalıştıran kullanıcı hesabının nesne kimliğini Azure AD. |
| InitiatingProcessAccountSid | string | Olaydan sorumlu işlemi çalıştıran hesabın Güvenlik Tanımlayıcısı (SID). |
| InitiatingProcessAccountUpn | string | Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı asıl adı (UPN). |
| InitiatingProcessCommandLine | string | Olayı başlatan işlemi çalıştırmak için kullanılan komut satırı. |
| InitiatingProcessCreationTime | datetime | Olayı başlatan işlemin başlatıldığı tarih ve saat. |
| InitiatingProcessFileName | string | Olayı başlatan işlemin adı. |
| InitiatingProcessFileSize | long | Olaydan sorumlu işlemi çalıştıran dosyanın bayt cinsinden boyutu. |
| InitiatingProcessFolderPath | string | Olayı başlatan işlemi (görüntü dosyası) içeren klasör. |
| InitiatingProcessId | long | Olayı başlatan işlemin İşlem Kimliği (PID). |
| InitiatingProcessLogonId | long | Olayı başlatan işlemin oturum açma oturumunun tanımlayıcısı. Bu tanımlayıcı aynı makinede yalnızca yeniden başlatmalar arasında benzersizdir. |
| InitiatingProcessMD5 | string | Olayı başlatan işlemin (görüntü dosyası) MD5 karması. |
| InitiatingProcessParentCreationTime | datetime | Olaydan sorumlu işlemin üst öğesinin başlatıldığı tarih ve saat. |
| InitiatingProcessParentFileName | string | Olaydan sorumlu işlemi oluşturan üst işlemin adı. |
| InitiatingProcessParentId | long | Olaydan sorumlu işlemi oluşturan üst işlemin İşlem Kimliği (PID). |
| InitiatingProcessSHA1 | string | Olayı başlatan işlemin (görüntü dosyası) SHA-1 karması. |
| InitiatingProcessSHA256 | string | Olayı başlatan işlemin (görüntü dosyası) SHA-256 karması. Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın. |
| InitiatingProcessVersionInfoCompanyName | string | Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) şirket adı. |
| InitiatingProcessVersionInfoFileDescription | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) açıklama. |
| InitiatingProcessVersionInfoInternalFileName | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) iç dosya adı. |
| InitiatingProcessVersionInfoOriginalFileName | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) özgün dosya adı. |
| InitiatingProcessVersionInfoProductName | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün adı. |
| InitiatingProcessVersionInfoProductVersion | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün sürümü. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| LocalIP | string | İletişim sırasında kullanılan yerel makineye atanan IP adresi. |
| Yerel Bağlantı Noktası | int | İletişim sırasında kullanılan yerel makinede TCP bağlantı noktası. |
| LogonId | long | Oturum açma oturumlarının tanımlayıcısı. Bu tanımlayıcı aynı makinede yalnızca yeniden başlatmalar arasında benzersizdir. |
| MachineGroup | string | Makinenin makine grubu. Bu grup, makineye erişimi belirlemek için rol tabanlı erişim denetimi tarafından kullanılır. |
| MD5 | string | Kaydedilen eylemin uygulandığı dosyanın MD5 karması. |
| İşlemKomand Çizgisi | string | Yeni işlemi oluşturmak için kullanılan komut satırı. |
| ProcessCreationTime | datetime | İşlemin oluşturulduğu tarih ve saat. |
| Processıd | long | Yeni oluşturulan işlemin işlem kimliği (PID). |
| ProcessTokenElevation | string | Yeni oluşturulan işleme Uygulanan Kullanıcı Access Control (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç türü. |
| RegistryKey | string | Kaydedilen eylemin uygulandığı kayıt defteri anahtarı. |
| RegistryValueData | string | Kaydedilen eylemin uygulandığı kayıt defteri değerinin verileri. |
| RegistryValueName | string | Kaydedilen eylemin uygulandığı kayıt defteri değerinin adı. |
| RemoteDeviceName | string | Etkilenen makinede uzak işlem gerçekleştiren cihazın adı. Bildirilen olaya bağlı olarak, bu ad tam etki alanı adı (FQDN), NetBIOS adı veya etki alanı bilgisi olmayan bir ana bilgisayar adı olabilir.. |
| RemoteIP | string | Bağlanılmakta olan IP adresi. |
| RemotePort | int | Bağlanmakta olan uzak cihazdaki TCP bağlantı noktası. |
| RemoteUrl | string | Bağlanmakta olan URL veya tam etki alanı adı (FQDN). |
| ReportId | long | Yinelenen bir sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun ComputerName ve EventTime sütunlarıyla birlikte kullanılması gerekir. |
| SHA1 | string | Kaydedilen eylemin uygulandığı dosyanın SHA-1 karması. |
| SHA256 | string | Kaydedilen eylemin uygulandığı dosyanın SHA-256'sı. |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| TimeGenerated | datetime | Olayın uç noktada MDE aracısı tarafından kaydedildiği tarih ve saat. |
| Tür | string | Tablonun adı |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin