在 Microsoft Defender for Endpoint (MDE) 中,可以监控和查询多种事件类型。这些事件类型覆盖了从设备安全、网络活动、软件和服务运行情况到用户行为等各个方面。以下是一些主要的事件类型,你可以在 MDE 使用 KQL 进行查询:
设备事件 (DeviceEvents): 包括关于设备上的各种活动和状态的信息,如安全事件、系统事件等。
网络事件 (DeviceNetworkEvents): 包括有关设备网络活动的信息,如网络连接、数据传输等。
进程事件 (DeviceProcessEvents): 包括关于设备上进程启动和结束的信息,这对于监控可疑或恶意进程特别有用。
登录事件 (DeviceLogonEvents): 包括有关用户登录尝试的信息,无论成功与否。
文件事件 (DeviceFileEvents): 包括有关文件创建、修改、删除等活动的信息。
注册表事件 (DeviceRegistryEvents): 包括有关设备上注册表更改的信息。
邮箱事件 (EmailEvents): 如果集成了电子邮件保护,包括有关邮件交流的信息。
警报 (AlertInfo): 包括由系统生成的安全警报,如威胁检测和可疑活动。
漏洞和风险管理 (DeviceTvmSoftwareVulnerabilities): 包括关于设备上已知软件漏洞的信息。
合规性和审计 (DeviceCompliance): 包括有关设备合规性状态的信息。
先进威胁狩猎 (AdvancedHunting): 用于更高级的查询,针对复杂威胁。
DeviceFileEvents
在 Microsoft Defender for Endpoint (MDE) 中,DeviceFileEvents 表记录了与文件相关的各种事件。这些事件涵盖了文件在设备上的不同操作或动作类型。下面是一些主要的动作类型及其说明:
文件创建 (FileCreated): 记录文件被创建的事件。
例:查询在特定时间内创建的文件。
DeviceFileEvents
| where ActionType == 'FileCreated'
| project DeviceName, FileName, Timestamp
文件修改 (FileModified): 记录文件内容被修改的事件。
例:查找最近被修改的文件。
DeviceFileEvents
| where ActionType == 'FileModified'
| project DeviceName, FileName, Timestamp
文件删除 (FileDeleted): 记录文件被删除的事件。
例:检索最近删除的文件。
DeviceFileEvents
| where ActionType == 'FileDeleted'
| project DeviceName, FileName, Timestamp
文件复制 (FileCopied): 记录文件被复制的事件(在某些情况下可能被捕获)。
例:查找特定文件或路径的复制事件。
DeviceFileEvents
| where ActionType == 'FileCopied'
| project DeviceName, SourceFileName, DestinationFileName, Timestamp
文件重命名 (FileRenamed): 记录文件名称更改的事件。
例:追踪特定文件或路径的重命名活动。
DeviceFileEvents
| where ActionType == 'FileRenamed'
| project DeviceName, OldFileName, NewFileName, Timestamp
文件执行 (FileExecuted): 记录文件被执行的事件。
例:查找最近被执行的可执行文件。
DeviceFileEvents
| where ActionType == 'FileExecuted'
| project DeviceName, FileName, InitiatingProcessCommandLine, Timestamp
这些事件类型为安全分析师提供了宝贵的信息,用于监控和分析文件在设备上的活动,以便检测潜在的恶意行为或不正常的文件操作。通过 KQL 查询,可以更细致地分析这些文件事件,以便及时发现并响应可能的安全威胁。
在 Microsoft Defender for Endpoint (MDE) 中,DeviceFileEvents 表提供了丰富的信息,不仅包括文件事件的基本细节,还包括与这些事件相关的多种维度的关联信息。这些信息有助于更深入地理解和分析文件事件的上下文。下面是一些主要的关联维度及其说明:
- 设备信息:
- 包括文件事件发生的设备名称、设备ID、操作系统信息等。
- 例:设备名称(DeviceName)、设备ID(DeviceId)。
- 文件详细信息:
- 包括文件名称、文件路径、文件类型等。
- 例:文件名称(FileName)、文件路径(FolderPath)、文件类型(FileType)。
- 时间戳:
- 记录事件发生的具体时间。
- 例:事件时间戳(Timestamp)。
- 用户账户信息:
- 包括执行文件操作的用户账户信息。
- 例:用户域(InitiatingProcessAccountDomain)、用户名(InitiatingProcessAccountName)。
- 进程信息:
- 包括启动文件事件的进程信息,如进程名称、命令行参数等。
- 例:进程名称(InitiatingProcessFileName)、进程命令行(InitiatingProcessCommandLine)。
- 网络信息:
- 如果文件事件涉及网络活动,可能包括与此相关的网络信息。
- 例:远程IP地址(RemoteIP)、远程URL(RemoteUrl)。
- 安全相关标识:
- 如与文件事件相关的安全警告或风险标识。
- 例:威胁名称(ThreatName)、安全警报(AlertId)。
- 文件哈希值:
- 提供文件的哈希值,用于唯一标识文件。
- 例:SHA1、SHA256、MD5 哈希值。
这些维度的关联信息允许安全团队从多个角度分析文件事件,帮助他们更好地理解事件的性质、可能的风险以及事件的整体影响。通过对这些维度的综合分析,可以更有效地进行威胁狩猎和安全事件响应。