مشاركة عبر

DeviceEvents

  • مقالة

هذا الجدول هو جزء من Microsoft Defender لنقطة النهاية مع Azure Sentinel. يحتوي هذا الجدول على أنواع أحداث متعددة، بما في ذلك الأحداث التي يتم تشغيلها بواسطة عناصر التحكم في الأمان مثل برنامج الحماية من الفيروسات ل Windows Defender والحماية من الهجمات.

سمات الجدول

السمة القيمة‬
أنواع الموارد -
الفئات الأمان
الحلول SecurityInsights
السجل الأساسي لا
تحويل وقت الاستيعاب ‏‏نعم‬
نماذج الاستعلامات -

الأعمدة

Column نوع ‏‏الوصف
AccountDomain سلسلة مجال الحساب.
AccountName سلسلة اسم المستخدم للحساب.
معرف الحساب سلسلة معرف الأمان (SID) للحساب.
ActionType سلسلة نوع النشاط الذي قام بتشغيل الحدث.
AdditionalFields ديناميكي معلومات إضافية حول الكيان أو الحدث.
معرف AppGuardContainer سلسلة معرف الحاوية الظاهرية المستخدمة من قبل حماية التطبيقات لعزل نشاط المستعرض.
_BilledSize real حجم السجل بالبايت
معرف عمليات الإنشاء طويل معرف جلسة عمل Windows للعملية التي تم إنشاؤها.
DeviceId سلسلة معرف فريد للجهاز في الخدمة.
DeviceName سلسلة اسم المجال المؤهل بالكامل (FQDN) للجهاز.
FileName سلسلة مجال الحساب.
FileOriginIP سلسلة عنوان IP حيث تم تنزيل الملف منه.
FileOriginUrl سلسلة عنوان URL الذي تم تنزيل الملف منه.
FileSize طويل حجم الملف بالبايت.
مسار المجلد سلسلة مجال الحساب.
بدءProcessAccountDomain سلسلة مجال الحساب الذي قام بتشغيل العملية المسؤولة عن الحدث.
بدءProcessAccountName سلسلة اسم المستخدم للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث.
بدءProcessAccountObjectId سلسلة معرف كائن Azure AD لحساب المستخدم الذي قام بتشغيل العملية المسؤولة عن الحدث.
بدءProcessAccountSid سلسلة معرف الأمان (SID) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث.
بدءProcessAccountUpn سلسلة اسم المستخدم الأساسي (UPN) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث.
بدءProcessCommandLine سلسلة سطر الأوامر المستخدم لتشغيل العملية التي بدأت الحدث.
بدءProcessCreationTime datetime تاريخ ووقت بدء العملية التي بدأت الحدث.
بدءProcessFileName سلسلة اسم العملية التي بدأت الحدث.
بدءProcessFileSize طويل الحجم بالبايت للملف الذي قام بتشغيل العملية المسؤولة عن الحدث.
بدءProcessFolderPath سلسلة مجلد يحتوي على العملية (ملف الصورة) التي بدأت الحدث.
بدءProcessId طويل معرف العملية (PID) للعملية التي بدأت الحدث.
بدءProcessLogonId طويل معرف جلسة تسجيل الدخول للعملية التي بدأت الحدث. هذا المعرف فريد على نفس الجهاز فقط بين عمليات إعادة التشغيل.
بدءProcessMD5 سلسلة تجزئة MD5 للعملية (ملف الصورة) التي بدأت الحدث.
بدءProcessParentCreationTime datetime تاريخ ووقت بدء تشغيل أصل العملية المسؤولة عن الحدث.
بدءProcessParentFileName سلسلة اسم العملية الأصل التي ولدت العملية المسؤولة عن الحدث.
بدءProcessParentId طويل معرف العملية (PID) للعملية الأصل التي ولدت العملية المسؤولة عن الحدث.
بدءProcessRemoteSessionDeviceName سلسلة اسم الجهاز للجهاز البعيد الذي تم بدء جلسة RDP لعملية البدء منه.
بدءProcessRemoteSessionIP سلسلة عنوان IP للجهاز البعيد الذي تم بدء جلسة RDP لعملية البدء منه.
بدءProcessSessionId طويل معرف جلسة عمل Windows لعملية البدء.
بدءProcessSHA1 سلسلة تجزئة SHA-1 للعملية (ملف الصورة) التي بدأت الحدث.
بدءProcessSHA256 سلسلة تجزئة SHA-256 للعملية (ملف الصورة) التي بدأت الحدث. عادة ما لا يتم ملء هذا الحقل - استخدم عمود SHA1 عند توفره.
بدءProcessVersionInfoCompanyName سلسلة اسم الشركة من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث.
بدءProcessVersionInfoFileDescription سلسلة وصف من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث.
بدءProcessVersionInfoInternalFileName سلسلة اسم الملف الداخلي من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث.
بدءProcessVersionInfoOriginalFileName سلسلة اسم الملف الأصلي من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث.
بدءProcessVersionInfoProductName سلسلة اسم المنتج من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث.
بدءProcessVersionInfoProductVersion سلسلة إصدار المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث.
_IsBillable سلسلة تحديد ما إذا كان استيعاب البيانات قابلا للفوترة. عندما _IsBillable لا false تتم فوترة الاستيعاب إلى حساب Azure الخاص بك
IsInitiatingProcessRemoteSession منطقي يشير إلى ما إذا كانت عملية البدء قد تم تشغيلها ضمن جلسة عمل بروتوكول سطح المكتب البعيد (RDP) (صحيح) أو محليا (خطأ).
IsProcessRemoteSession منطقي يشير إلى ما إذا كانت العملية التي تم إنشاؤها قد تم تشغيلها ضمن جلسة عمل بروتوكول سطح المكتب البعيد (RDP) (صحيح) أو محليا (خطأ).
LocalIP سلسلة عنوان IP المعين للجهاز المحلي المستخدم أثناء الاتصال.
منفذ محلي العدد الصحيح منفذ TCP على الجهاز المحلي المستخدم أثناء الاتصال.
معرف تسجيل الدخول طويل معرف جلسة تسجيل الدخول. هذا المعرف فريد على نفس الجهاز فقط بين عمليات إعادة التشغيل.
مجموعة الأجهزة سلسلة مجموعة الجهاز للجهاز. يتم استخدام هذه المجموعة بواسطة التحكم في الوصول المستند إلى الدور لتحديد الوصول إلى الجهاز.
MD5 سلسلة تجزئة MD5 للملف الذي تم تطبيق الإجراء المسجل عليه.
ProcessCommandLine سلسلة سطر الأوامر المستخدم لإنشاء العملية الجديدة.
وقت إنشاء العملية datetime تاريخ ووقت إنشاء العملية.
ProcessId طويل معرف العملية (PID) للعملية التي تم إنشاؤها حديثا.
ProcessRemoteSessionDeviceName سلسلة اسم الجهاز للجهاز البعيد الذي تم بدء جلسة RDP للعملية التي تم إنشاؤها منها.
ProcessRemoteSessionIP سلسلة عنوان IP للجهاز البعيد الذي تم بدء جلسة RDP للعملية التي تم إنشاؤها منها.
ترقية رمز العملية سلسلة نوع الرمز المميز الذي يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية التي تم إنشاؤها حديثا.
RegistryKey سلسلة مفتاح التسجيل الذي تم تطبيق الإجراء المسجل عليه.
RegistryValueData سلسلة بيانات قيمة التسجيل التي تم تطبيق الإجراء المسجل عليها.
RegistryValueName سلسلة اسم قيمة التسجيل التي تم تطبيق الإجراء المسجل عليها.
RemoteDeviceName سلسلة اسم الجهاز الذي أجرى عملية عن بعد على الجهاز المتأثر. اعتمادا على الحدث الذي يتم الإبلاغ عنه، قد يكون هذا الاسم اسم مجال مؤهل بالكامل (FQDN) أو اسم NetBIOS أو اسم مضيف بدون معلومات المجال.
RemoteIP سلسلة عنوان IP الذي كان يتم الاتصال به.
RemotePort العدد الصحيح منفذ TCP على الجهاز البعيد الذي كان يتم الاتصال به.
RemoteUrl سلسلة URL أو اسم المجال المؤهل بالكامل (FQDN) الذي كان يتم الاتصال به.
ReportId طويل معرف الحدث استنادا إلى عداد متكرر. لتعريف الأحداث الفريدة، يجب استخدام هذا العمود بالاقتران مع عمودي ComputerName وEventTime.
SHA1 سلسلة تجزئة SHA-1 للملف الذي تم تطبيق الإجراء المسجل عليه.
SHA256 سلسلة SHA-256 للملف الذي تم تطبيق الإجراء المسجل عليه.
نظام المصدر سلسلة نوع العامل الذي تم جمع الحدث من قبله. على سبيل المثال، OpsManager بالنسبة لعامل Windows، إما الاتصال المباشر أو Operations Manager، Linux لجميع عوامل Linux، أو Azure لتشخيص Azure
TenantId سلسلة معرف مساحة عمل Log Analytics
TimeGenerated datetime تاريخ ووقت تسجيل الحدث بواسطة عامل MDE على نقطة النهاية.
نوع سلسلة اسم الجدول