DeviceEvents
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint
La tabella o DeviceEvents gli eventi di dispositivo vari nello schema di ricerca avanzata contiene informazioni sui vari tipi di eventi, inclusi gli eventi attivati dai controlli di sicurezza, ad esempio Microsoft Defender Antivirus e protezione dagli exploit. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
ActionType |
string |
Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale . |
FileName |
string |
Nome del file a cui è stata applicata l'azione registrata |
FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata |
SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata |
SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile). |
MD5 |
string |
Hash MD5 del file a cui è stata applicata l'azione registrata |
FileSize |
long |
Dimensioni del file in byte |
AccountDomain |
string |
Dominio dell'account |
AccountName |
string |
Nome utente dell'account; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato il nome utente dell'ID Entra dell'account |
AccountSid |
string |
Identificatore di sicurezza (SID) dell'account |
RemoteUrl |
string |
URL o nome di dominio completo (FQDN) connesso a |
RemoteDeviceName |
string |
Nome del dispositivo che ha eseguito un'operazione remota nel dispositivo interessato. A seconda dell'evento segnalato, questo nome potrebbe essere un nome di dominio completo (FQDN), un nome NetBIOS o un nome host senza informazioni sul dominio. |
ProcessId |
long |
ID processo (PID) del processo appena creato |
ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo |
ProcessCreationTime |
datetime |
Data e ora di creazione del processo |
ProcessTokenElevation |
string |
Indica il tipo di elevazione del token applicato al processo appena creato. Valori possibili: TokenElevationTypeLimited (con restrizioni), TokenElevationTypeDefault (standard) e TokenElevationTypeFull (con privilegi elevati) |
LogonId |
long |
Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso dispositivo solo tra un riavvio e l'altro. |
RegistryKey |
string |
Chiave del Registro di sistema a cui è stata applicata l'azione registrata |
RegistryValueName |
string |
Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata |
RegistryValueData |
string |
Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata |
RemoteIP |
string |
Indirizzo IP connesso a |
RemotePort |
int |
Porta TCP nel dispositivo remoto a cui era in corso la connessione |
LocalIP |
string |
Indirizzo IP assegnato al dispositivo locale usato durante la comunicazione |
LocalPort |
int |
Porta TCP nel dispositivo locale usato durante la comunicazione |
FileOriginUrl |
string |
URL da cui è stato scaricato il file |
FileOriginIP |
string |
Indirizzo IP da cui è stato scaricato il file |
InitiatingProcessSHA1 |
string |
SHA-1 del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessSHA256 |
string |
SHA-256 del processo (file di immagine) che ha avviato l'evento. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile). |
InitiatingProcessMD5 |
string |
Hash MD5 del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessFileName |
string |
Nome del file di processo che ha avviato l'evento; se non è disponibile, potrebbe essere visualizzato il nome del processo che ha avviato l'evento |
InitiatingProcessFileSize |
long |
Dimensioni del file che ha eseguito il processo responsabile dell'evento |
InitiatingProcessFolderPath |
string |
Cartella contenente il processo (file di immagine) che ha avviato l'evento |
InitiatingProcessId |
long |
ID processo (PID) del processo che ha avviato l'evento |
InitiatingProcessCommandLine |
string |
Riga di comando usata per eseguire il processo che ha avviato l'evento |
InitiatingProcessCreationTime |
datetime |
Data e ora di avvio del processo che ha avviato l'evento |
InitiatingProcessAccountDomain |
string |
Dominio dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountName |
string |
Nome utente dell'account che ha eseguito il processo responsabile dell'evento; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato il nome utente dell'ID Entra dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountSid |
string |
Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato l'UPN ENTRA ID dell'account che ha eseguito il processo responsabile dell'evento. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID oggetto dell'account utente che ha eseguito il processo responsabile dell'evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoProductName |
string |
Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrizione dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessParentId |
long |
ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento |
InitiatingProcessParentFileName |
string |
Nome o percorso completo del processo padre che ha generato il processo responsabile dell'evento |
InitiatingProcessParentCreationTime |
datetime |
Data e ora di avvio dell'elemento padre del processo responsabile dell'evento |
InitiatingProcessLogonId |
long |
Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso dispositivo solo tra un riavvio e l'altro. |
ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser |
AdditionalFields |
string |
Informazioni aggiuntive sull'evento in formato matrice JSON |
InitiatingProcessSessionId |
long |
ID sessione di Windows del processo di avvio |
IsInitiatingProcessRemoteSession |
bool |
Indica se il processo di avvio è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio |
InitiatingProcessRemoteSessionIP |
string |
Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio |
CreatedProcessSessionId |
long |
ID sessione di Windows del processo creato |
IsProcessRemoteSession |
bool |
Indica se il processo creato è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false) |
ProcessRemoteSessionDeviceName |
string |
Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo creato |
ProcessRemoteSessionIP |
string |
Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo creato |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.