Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Endpunkte (MDE)-Gerätenetzwerkereignissetabelle für das Szenario "Benutzerdefinierte Sammlung". Diese Tabelle enthält Informationen zu Netzwerkverbindungen und verwandten Ereignissen, die von Prozessen initiiert werden, die auf dem Endpunkt ausgeführt werden, für alle vom Kunden explizit für die Sammlung angeforderten Elemente.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | Protokollmanagement |
| Standardprotokoll | Ja |
| Transformation bei Ingestion | Nein |
| Beispielabfragen | - |
Spalten
| Kolumne | Typ | BESCHREIBUNG |
|---|---|---|
| Aktionstyp | Schnur | Typ der Aktivität, die das Ereignis ausgelöst hat. |
| Zusätzliche Felder | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId | Schnur | Bezeichner für den virtualisierten Container, der von Application Guard verwendet wird, um Browseraktivitäten zu isolieren. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| Geräte-ID | Schnur | Eindeutiger Bezeichner für das Gerät im Dienst. |
| Gerätename | Schnur | Vollqualifizierter Domänenname (FQDN) des Geräts. |
| InitiatingProcessAccountDomain | Schnur | Domäne des Kontos, das den initiierenden Prozess ausgeführt hat. |
| InitiatingProcessAccountName | Schnur | Benutzername des Kontos, das den initiierenden Prozess ausgeführt hat. |
| InitiatingProcessAccountObjectId | Schnur | Azure AD-Objekt-ID des Benutzerkontos, das den initiierenden Prozess ausgeführt hat. |
| Initiierung von ProcessAccountSid | Schnur | Sicherheits-ID (SID) des Kontos, das den initiierenden Prozess ausgeführt hat. |
| Initiieren von ProcessAccountUpn | Schnur | Benutzerprinzipalname (UPN) des Kontos, das den initiierenden Prozess ausgeführt hat. |
| InitiatingProcessCommandLine | Schnur | Befehlszeile, die zum Ausführen des initiierenden Prozesses verwendet wird. |
| Initiierung von ProcessCreationTime | Datum/Uhrzeit | Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| Name der initiierenden Prozessdatei | Schnur | Name des initiierenden Prozesses. |
| Starten von ProcessFileSize | long | Größe der Datei (Bytes), die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessFolderPath | Schnur | Ordner, der den Initiierenden Prozess (Bilddatei) enthält. |
| InitiierenderProzessId | long | Prozess-ID (PID) des initiierenden Prozesses. |
| Einleiten von Prozessintegritätsstufe | Schnur | Integritätsebene des initiierenden Prozesses. Windows weist Prozessen Auf der Grundlage bestimmter Merkmale Integritätsstufen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen wirken sich auf Berechtigungen für Ressourcen aus. |
| InitiatingProcessMD5 | Schnur | MD5-Hash des initiierenden Prozesses (Bilddatei). |
| InitiatingProcessParentCreationTime | Datum/Uhrzeit | Datum und Uhrzeit, zu dem das übergeordnete Element des Prozesses, der für das Ereignis verantwortlich ist, gestartet wurde |
| InitiatingProcessParentFileName | Schnur | Der Name des übergeordneten Prozesses, der den initiierenden Prozess ausgelöst hat. |
| Initiieren von ProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den initiierenden Prozess ausgelöst hat. |
| InitiatingProcessRemoteSessionDeviceName | Schnur | Gerätename des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| Initiieren von ProcessRemoteSessionIP | Schnur | IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| InitiatingProcessSessionId | long | Windows-Sitzungs-ID des initiierenden Prozesses. |
| Starten von ProcessSHA1 | Schnur | SHA-1-Hash des initiierenden Prozesses (Bilddatei). |
| Initiierungsprozess SHA256 | Schnur | SHA-256-Hash des initiierenden Prozesses (Bilddatei). In einigen Fällen wird diese Spalte möglicherweise nicht aufgefüllt . Verwenden Sie stattdessen die Spalte "InitiatingProcessSHA1". |
| Initiieren von ProcessTokenElevation | Schnur | Tokentyp, der angibt, dass die Rechteerweiterung der Benutzerzugriffskontrolle (User Access Control, UAC) auf den initiierenden Prozess angewendet wird oder nicht vorhanden ist. |
| InitiatingProcessVersionInfoCompanyName | Schnur | Firmenname in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich sind |
| InitiierungsprozessVersionsinfoDateibeschreibung | Schnur | Beschreibung in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich sind |
| InitiatingProcessVersionInfoInternalFileName | Schnur | Der interne Dateiname in den Versionsinformationen einer Bilddatei, der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoOriginalFileName | Schnur | Der ursprüngliche Dateiname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiierungsprozessVersionsinformationenProduktname | Schnur | Produktname in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich sind |
| InitiatingProcessVersionInfoProductVersion | Schnur | Die in den Versionsinformationen (Bilddatei) angegebene Produktversion, die für das Ereignis verantwortlich ist. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable den Wert false hat, wird die Erfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsInitiatingProcessRemoteSession | Boolesch | Gibt an, ob der Initiierenvorgang unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
| Lokale IP-Adresse | Schnur | IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird. |
| LokalerIPTyp | Schnur | Typ der IP-Adresse, z. B. "Öffentlich", "Privat", "Reserviert", "Loopback", "Teredo", "FourToSixMapping" und "Broadcast". |
| Lokaler Port | INT | TCP-Port auf dem lokalen Computer, der während der Kommunikation verwendet wird. |
| MaschinenGruppe | Schnur | Computergruppe des Computers Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| Protokoll | Schnur | Verwendetes IP-Protokoll, unabhängig davon, ob TCP oder UDP. |
| Fern-IP | Schnur | IP-Adresse, mit der eine Verbindung hergestellt wurde. |
| Fern-IP-Typ | Schnur | Typ der IP-Adresse, z. B. "Öffentlich", "Privat", "Reserviert", "Loopback", "Teredo", "FourToSixMapping" und "Broadcast". |
| RemotePort | INT | TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde. |
| RemoteUrl | Schnur | URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde. |
| ReportId | long | Ereignisbezeichner basierend auf einem fortlaufenden Zähler. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| RuleLastModificationTime | Datum/Uhrzeit | Datum und Uhrzeit der letzten Änderung der Regel, die das Ereignis erfasst hat. |
| Name der Regel | Schnur | Name der Regel, die das Ereignis erfasst hat |
| SourceSystem | Schnur | Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Datum und Uhrzeit der Aufzeichnung des Ereignisses durch den MDE-Agent auf dem Endpunkt. |
| Typ | Schnur | Der Name der Tabelle. |