Microsoft Defender终结点(MDE)表,用于中断和响应事件。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
Categories |
安全性 |
|
Solutions |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
No |
|
仅湖引入 |
是的 |
|
示例查询 |
- |
列
| 列 |
类型 |
Description |
| 操作类型 |
字符串 |
采取的中断操作类型 |
| 身份验证协议 |
字符串 |
已泄露用户用于登录的身份验证协议 |
| _BilledSize |
real |
记录大小(字节) |
| CompromisedAccountCount |
int |
属于策略的已泄露帐户数 |
| 数据源 |
字符串 |
为事件提供信息的产品或服务 |
| DeviceId |
字符串 |
报告事件的设备的唯一标识符 |
| DeviceName |
字符串 |
报告事件的设备的名称 |
| 域名 |
字符串 |
报告事件的设备加入到的域名 |
| 文件名 |
字符串 |
攻击者尝试访问的文件的名称 |
| 启动进程文件名 (InitiatingProcessFileName) |
字符串 |
触发块操作的进程的名称 |
| InitiatingProcessId |
int |
触发该阻止操作的进程的进程 ID (PID) |
| InterfaceFriendlyName |
字符串 |
接口 UUID 表示的接口的友好名称 |
| InterfaceUuid |
字符串 |
攻击者尝试访问的 RPC 接口的唯一标识符 (UUID) |
| IP地址 |
字符串 |
攻击者尝试访问的 IP 地址 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsPolicyOn |
bool |
指示中断事件时设备上的策略的当前状态 |
| 登录ID |
long |
登录会话的标识符 |
| 登录类型 |
字符串 |
用户尝试的登录会话的类型 |
| PolicyHash |
字符串 |
策略的唯一哈希 |
| PolicyId |
字符串 |
策略的唯一标识符 |
| PolicyName |
字符串 |
策略的名称 |
| PolicyVersion |
字符串 |
策略的版本 |
| 港口 |
字符串 |
攻击者尝试访问的端口 |
| ReportType |
字符串 |
报告事件的性质和影响级别 |
| Service |
字符串 |
攻击者尝试使用的服务的名称 |
| SessionId |
long |
网站服务器在访问或会话期间分配给用户的唯一号码 |
| 共享名称 |
字符串 |
攻击者尝试访问的共享位置的名称 |
| SourceDeviceId |
字符串 |
发起攻击的设备的唯一标识符 |
| SourceDeviceName |
字符串 |
攻击来源设备的主机名 |
| SourceDomainName |
字符串 |
攻击来源设备的域名 |
| 来源IP地址 |
字符串 |
攻击者通信源自的 IP 地址 |
| SourcePort |
int |
攻击者通信来源的端口 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| SourceUserDomainName |
字符串 |
执行恶意活动的帐户的域名 |
| SourceUserName |
字符串 |
进行恶意活动的帐户的用户名 |
| SourceUserSid |
字符串 |
执行恶意活动的帐户的安全标识符 |
| TargetDeviceId |
字符串 |
目标或受到攻击的设备的唯一标识符 |
| 目标设备名称 |
字符串 |
被攻击或攻击的设备的名称 |
| 目标域名 |
字符串 |
目标或受到攻击的设备域名 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
MDE 代理在终端设备上记录事件的日期和时间。 |
| 类型 |
字符串 |
表的名称 |