MDE

MDE KQL 使用案例

查找程序的网络通信情况 DeviceNetworkEvents | where Timestamp > ago(30d) | where InitiatingProcessFileName == "example.exe" | project Timestamp, DeviceName, Init ......

案例 MDE KQL更新时间 2024-01-08

MDE告警

MDE 告警 Suspicious File Permission Modifications via Icacls "Suspicious File Permission Modifications via Icacls"（通过Icacls的可疑文件权限修改）指的是使用Windows系统中的ica ......

MDE更新时间 2024-01-03

MDE DeviceFileEvents

在 Microsoft Defender for Endpoint (MDE) 中，可以监控和查询多种事件类型。这些事件类型覆盖了从设备安全、网络活动、软件和服务运行情况到用户行为等各个方面。以下是一些主要的事件类型，你可以在 MDE 使用 KQL 进行查询：设备事件 (DeviceEvents) ......

DeviceFileEvents MDE更新时间 2024-01-03

MDE DeviceProcessEvents

ActionType 在Microsoft Defender for Endpoint (MDE) 中，DeviceProcessEvents 表记录了与设备上进程相关的各种事件。这些事件涵盖了进程在设备上的不同操作或动作类型。以下是一些主要的动作类型及其说明：进程创建(ProcessCreate ......

DeviceProcessEvents MDE更新时间 2024-01-03

MDE DeviceNetworkEvents

在Microsoft Defender for Endpoint (MDE) 中，DeviceNetworkEvents 表记录了与设备网络活动相关的各种事件。这些事件的 ActionType 字段描述了网络活动的具体类型。以下是一些常见的 ActionType（动作类型）及其说明：网络连接(Ne ......

DeviceNetworkEvents MDE更新时间 2024-01-03

共5篇 :1/1页 首页上一页1下一页尾页

526互联

MDE

MDE KQL 使用案例

MDE告警

MDE DeviceFileEvents

MDE DeviceProcessEvents

MDE DeviceNetworkEvents