deviceprocessevents mde
MDE KQL 使用案例
查找程序的 网络通信情况 DeviceNetworkEvents | where Timestamp > ago(30d) | where InitiatingProcessFileName == "example.exe" | project Timestamp, DeviceName, Init ......
MDE告警
MDE 告警 Suspicious File Permission Modifications via Icacls "Suspicious File Permission Modifications via Icacls"(通过Icacls的可疑文件权限修改)指的是使用Windows系统中的ica ......
MDE DeviceProcessEvents
ActionType 在Microsoft Defender for Endpoint (MDE) 中,DeviceProcessEvents 表记录了与设备上进程相关的各种事件。这些事件涵盖了进程在设备上的不同操作或动作类型。以下是一些主要的动作类型及其说明: 进程创建(ProcessCreate ......
MDE DeviceFileEvents
在 Microsoft Defender for Endpoint (MDE) 中,可以监控和查询多种事件类型。这些事件类型覆盖了从设备安全、网络活动、软件和服务运行情况到用户行为等各个方面。以下是一些主要的事件类型,你可以在 MDE 使用 KQL 进行查询: 设备事件 (DeviceEvents) ......
MDE DeviceNetworkEvents
在Microsoft Defender for Endpoint (MDE) 中,DeviceNetworkEvents 表记录了与设备网络活动相关的各种事件。这些事件的 ActionType 字段描述了网络活动的具体类型。以下是一些常见的 ActionType(动作类型)及其说明: 网络连接(Ne ......