Eventos do dispositivo
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
A tabela ou DeviceEvents
eventos de dispositivo diversos no esquema de caça avançado contém informações sobre vários tipos de eventos, incluindo eventos disparados por controles de segurança, como Microsoft Defender Antivírus e proteção de exploração. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionType
valores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
ActionType |
string |
Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes. |
FileName |
string |
Nome do arquivo ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o arquivo ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do arquivo ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do arquivo ao qual a ação gravada foi aplicada. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
MD5 |
string |
Hash MD5 do arquivo ao qual a ação gravada foi aplicada |
FileSize |
long |
Tamanho do arquivo em bytes |
AccountDomain |
string |
Domínio da conta |
AccountName |
string |
Nome de usuário da conta; se o dispositivo estiver registrado em Microsoft Entra ID, o nome de usuário da ID de Entra da conta poderá ser mostrado em vez disso |
AccountSid |
string |
Sid (Identificador de Segurança) da conta |
RemoteUrl |
string |
URL ou FQDN (nome de domínio totalmente qualificado) que estava sendo conectado à |
RemoteDeviceName |
string |
Nome do dispositivo que realizou uma operação remota no dispositivo afetado. Dependendo do evento que está sendo relatado, esse nome pode ser um FQDN (nome de domínio totalmente qualificado), um nome NetBIOS ou um nome de host sem informações de domínio. |
ProcessId |
long |
ID do processo (PID) do processo recém-criado |
ProcessCommandLine |
string |
Linha de comando usada para criar o novo processo |
ProcessCreationTime |
datetime |
Data e hora em que o processo foi criado |
ProcessTokenElevation |
string |
Indica o tipo de elevação de token aplicada ao processo recém-criado. Valores possíveis: TokenElevationTypeLimited (restrito), TokenElevationTypeDefault (standard) e TokenElevationTypeFull (elevado) |
LogonId |
long |
Identificador para uma sessão de logon. Esse identificador é exclusivo no mesmo dispositivo somente entre reinicializações. |
RegistryKey |
string |
Chave do registro à qual a ação registrada foi aplicada |
RegistryValueName |
string |
Nome do valor do registro ao qual a ação registrada foi aplicada |
RegistryValueData |
string |
Dados do valor do registro ao qual a ação registrada foi aplicada |
RemoteIP |
string |
Endereço IP que estava sendo conectado ao |
RemotePort |
int |
Porta TCP no dispositivo remoto ao qual estava sendo conectado |
LocalIP |
string |
Endereço IP atribuído ao dispositivo local usado durante a comunicação |
LocalPort |
int |
Porta TCP no dispositivo local usado durante a comunicação |
FileOriginUrl |
string |
URL de onde o arquivo foi baixado |
FileOriginIP |
string |
Endereço IP de onde o arquivo foi baixado |
InitiatingProcessSHA1 |
string |
SHA-1 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do processo que iniciou o evento |
InitiatingProcessFileSize |
long |
Tamanho do arquivo que executou o processo responsável pelo evento |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessId |
long |
ID do processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comando usada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de usuário da conta que executou o processo responsável pelo evento; se o dispositivo estiver registrado no Microsoft Entra ID, o nome de usuário da ID da conta que executou o processo responsável pelo evento poderá ser mostrado em vez disso |
InitiatingProcessAccountSid |
string |
SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome da entidade de usuário (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registrado em Microsoft Entra ID, o UPN da ID de Entra da conta que executou o processo responsável pelo evento poderá ser mostrado em vez disso |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID do objeto da conta de usuário que executou o processo responsável pelo evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome do arquivo original das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessParentId |
long |
ID do processo (PID) do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentFileName |
string |
Nome ou caminho completo do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado |
InitiatingProcessLogonId |
long |
Identificador para uma sessão de logon do processo que iniciou o evento. Esse identificador é exclusivo no mesmo dispositivo somente entre reinicializações. |
ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado por Application Guard para isolar a atividade do navegador |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.