在Microsoft Defender for Endpoint (MDE) 中,DeviceNetworkEvents 表记录了与设备网络活动相关的各种事件。这些事件的 ActionType 字段描述了网络活动的具体类型。以下是一些常见的 ActionType(动作类型)及其说明:
网络连接(NetworkConnection): 记录设备建立的网络连接。
例如,一个进程连接到外部服务器。
网络请求(NetworkRequest): 记录网络请求事件,如 HTTP 请求。
例如,一个进程发起的 HTTP 或 HTTPS 请求。
网络错误(NetworkError): 记录网络活动中出现的错误事件。
例如,网络连接失败或数据传输错误。
DNS 查询 (DnsQuery): 记录设备上发起的 DNS 查询。
例如,解析域名以进行网络连接。
文件下载(FileDownload): 记录通过网络下载文件的事件。
例如,从互联网下载文件的活动。
这些动作类型反映了设备在网络上的各种交互和行为,它们对于监控和分析网络安全事件至关重要。通过分析这些不同类型的网络事件,可以帮助识别潜在的安全威胁,例如非法数据泄露、恶意软件通信或其他可疑网络活动。通过 KQL 查询,安全分析师可以深入探索网络活动的细节,以发现和响应网络层面的安全事件。
在 Microsoft Defender for Endpoint (MDE) 中,DeviceNetworkEvents表提供了与网络事件相关的多种维度的关联信息。这些信息有助于深入理解网络活动的上下文和背景。以下是一些主要的关联维度及其说明:
- 设备信息:
- 包括事件发生的设备名称、设备ID、操作系统信息等。
- 例:设备名称(DeviceName)、设备ID(DeviceId)。
- 网络事件详情:
- 包括目标IP地址、端口、网络协议、URL等。
- 例:目标IP地址(RemoteIP)、目标端口(RemotePort)、网络协议(Protocol)、URL(RemoteUrl)。
- 时间戳:
- 记录事件发生的具体时间。
- 例:事件时间戳(Timestamp)。
- 用户账户信息:
- 包括执行网络操作的用户账户信息。
- 例:用户账户名称(InitiatingProcessAccountName)、用户域(InitiatingProcessAccountDomain)。
- 进程信息:
- 包括发起网络事件的进程名称、路径、命令行参数等。
- 例:进程名称(InitiatingProcessFileName)、进程路径(InitiatingProcessFolderPath)、进程命令行(InitiatingProcessCommandLine)。
- 安全相关标识:
- 如与网络事件相关的安全警告或风险标识。
- 例:威胁名称(ThreatName)、安全警报ID(AlertId)。
- 网络连接详细信息:
- 包括网络连接的详细信息,如连接状态、持续时间等。
- 例:连接状态(ConnectionStatus)、连接持续时间(ConnectionDurationSeconds)。
通过分析这些维度的关联信息,安全团队可以全面理解网络事件的性质、潜在风险以及事件的整体影响。KQL 查询使得对这些数据的深入分析成为可能,从而更有效地进行威胁狩猎和安全事件响应。