Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Alcune informazioni si riferiscono al prodotto pre-rilasciato che potrebbe essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
La DisruptionAndResponseEvents tabella nella ricerca avanzata contiene informazioni sugli eventi di interruzione automatica degli attacchi in Microsoft Defender XDR. Questi eventi includono sia eventi di applicazione di blocco che di criteri correlati ai criteri di interruzione degli attacchi attivati e azioni automatiche eseguite tra carichi di lavoro correlati.
Gli utenti possono usare questa tabella per aumentare la visibilità e la consapevolezza degli attacchi attivi e complessi interrotti dall'interruzione automatica degli attacchi. Comprendere l'ambito di attacchi anche complessi, il contesto, l'impatto e il motivo per cui sono state eseguite azioni di interruzione può aiutare gli utenti a prendere decisioni migliori e più veloci e ad allocare le risorse in modo più efficiente.
Questa tabella di ricerca avanzata viene popolata da record di vari servizi di sicurezza Microsoft. Se l'organizzazione non ha distribuito il servizio in Microsoft Defender XDR, le query che usano la tabella non funzioneranno o restituiscono risultati completi. Per altre informazioni su come distribuire i servizi supportati in Defender XDR, vedere Distribuire i servizi supportati.
Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
ActionType |
string |
Tipo di azione di interruzione eseguita, ad esempio: ContainedUserLogonBlocked, ContainedUserSmbFileOpenBlocked, SafeBootGuardApplied |
DeviceId |
string |
Identificatore univoco per il dispositivo che ha segnalato l'evento; il dispositivo di segnalazione può essere quello che ha bloccato l'accesso, il dispositivo compromesso stesso o anche un altro dispositivo che è a conoscenza dell'attacco |
SourceDeviceId |
string |
Identificatore univoco per il dispositivo da cui ha origine l'attacco |
TargetDeviceId |
string |
Identificatore univoco per il dispositivo che è stato preso di mira o attaccato |
TargetDeviceName |
string |
Nome del dispositivo che è stato preso di mira o attaccato |
TargetDomainName |
string |
Nome di dominio del dispositivo che è stato preso di mira o attaccato |
DeviceName |
string |
Nome del dispositivo che ha segnalato l'evento; il dispositivo di segnalazione può essere quello che ha bloccato l'accesso, il dispositivo compromesso stesso o anche un altro dispositivo che è a conoscenza dell'attacco |
DomainName |
string |
Nome di dominio a cui è aggiunto il dispositivo che ha segnalato l'evento; il dispositivo di segnalazione può essere quello che ha bloccato l'accesso, il dispositivo compromesso stesso o anche un altro dispositivo che è a conoscenza dell'attacco |
InitiatingProcessId |
integer |
ID processo (PID) del processo che ha attivato l'azione di blocco, in base alla prospettiva del dispositivo di segnalazione |
InitiatingProcessFileName |
string |
Nome del processo che ha attivato l'azione di blocco, in base alla prospettiva del dispositivo di segnalazione |
SourceUserSid |
string |
Identificatore di sicurezza dell'account che esegue l'attività dannosa |
SourceUserName |
string |
Nome utente dell'account che esegue l'attività dannosa |
SourceUserDomainName |
string |
Nome di dominio dell'account che esegue l'attività dannosa |
SourceIPAddress |
string |
Indirizzo IP da cui ha origine la comunicazione dell'utente malintenzionato ed è stato bloccato da un'interruzione automatica degli attacchi |
SourcePort |
integer |
Porta da cui ha origine la comunicazione dell'utente malintenzionato |
IPAddress |
string |
Indirizzo IP a cui l'utente malintenzionato ha tentato di accedere |
Port |
string |
Porta a cui l'utente malintenzionato ha tentato di accedere |
SourceDeviceName |
string |
Nome host del dispositivo da cui ha origine l'attacco |
SourceDomainName |
string |
Nome di dominio del dispositivo da cui ha avuto origine l'attacco |
AuthenticationProtocol |
string |
Protocollo di autenticazione usato dall'utente compromesso per l'accesso; valori possibili: Non definito, NTLM, Kerberos |
Service |
string |
Nome del servizio che l'utente malintenzionato ha tentato di usare, se l'utente malintenzionato ha eseguito l'accesso tramite Kerberos o NTLM; ad esempio: SMB, HTTP, cifs, SMB, host, ldap, SMB, krbtgt |
InterfaceUuidSourceDomainName |
string |
Identificatore univoco (UUID) per l'interfaccia RPC (Remote Procedure Call) a cui l'utente malintenzionato ha tentato di accedere |
InterfaceFriendlyName |
string |
Nome descrittivo dell'interfaccia rappresentata dall'UUID dell'interfaccia |
FileName |
string |
Nome del file a cui l'utente malintenzionato ha tentato di accedere |
ShareName |
string |
Nome della posizione di condivisione a cui l'utente malintenzionato ha tentato di accedere |
LogonType |
string |
Tipo di sessione di accesso tentata dall'utente; valori possibili: interattivo, remoto interattivo (RDP), rete, processo batch, servizio |
LogonId |
long |
Identificatore per una sessione di accesso; questo è univoco nello stesso dispositivo solo tra i riavvii |
SessionId |
long |
Numero univoco assegnato a un utente dal server di un sito Web per la durata della visita o della sessione |
CompromisedAccountCount |
integer |
Numero di account compromessi che fanno parte dei criteri |
PolicyId |
string |
Identificatore univoco per i criteri |
PolicyName |
string |
Nome del criterio |
PolicyVersion |
string |
Versione dei criteri |
PolicyHash |
string |
Hash univoco dei criteri |
DataSources |
array |
Prodotti o servizi che hanno fornito informazioni per l'evento; ad esempio: Microsoft Defender per endpoint |
IsPolicyOn |
boolean |
Indica lo stato corrente dei criteri nel dispositivo al momento dell'evento di interruzione; valori possibili: true (il criterio è attivo, quindi è stato applicato o applicato), false (il criterio è stato disattivato o revocato dal dispositivo) |
ReportType |
string |
La natura e il livello di impatto dell'evento segnalato; valori possibili: impedita (l'azione, ad esempio un tentativo di connessione o autenticazione, è stata completamente bloccata prima dell'esecuzione), Bloccato (una connessione attiva o una sessione è stata interrotta forzatamente, con impatto parziale sul dispositivo), PolicyUpdated (il client ha ricevuto ed eventualmente applicato un nuovo criterio) |