DeviceProcessEvents
Microsoft Defender pro tabulku událostí procesů zařízení s koncovými body (MDE). Tato tabulka obsahuje informace o vytváření procesů a souvisejících událostech na koncovém bodu.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | No |
| Transformace doby příjmu dat | Yes |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| Doména účtu | řetězec | Doména účtu. |
| AccountName | řetězec | Uživatelské jméno účtu. |
| Id objektu účtu | řetězec | Jedinečný identifikátor účtu v Azure AD. |
| Id účtu | řetězec | Identifikátor zabezpečení (SID) účtu. |
| AccountUpn | řetězec | Hlavní název uživatele (UPN) účtu. |
| ActionType | řetězec | Typ aktivity, která událost aktivovala. |
| Další pole | dynamic | Další informace o entitě nebo události |
| AppGuardContainerId | řetězec | Identifikátor virtualizovaného kontejneru, který Ochrana Application Guard používá k izolaci aktivity prohlížeče. |
| _BilledSize | real | Velikost záznamu v bajtech |
| DeviceId | řetězec | Jedinečný identifikátor zařízení ve službě. |
| DeviceName | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
| FileName | řetězec | Název souboru, u kterého byla zaznamenaná akce použita. |
| Velikost | long | Velikost souboru v bajtech |
| Cesta ke složce | řetězec | Složka obsahující soubor, u kterého byla zaznamenaná akce použita. |
| InitiatingProcessAccountDomain | řetězec | Doména účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountObjectId | řetězec | Azure AD ID objektu uživatelského účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountSid | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. |
| InitiatingProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu, který událost inicioval. |
| InitiatingProcessCreationTime | datetime | Datum a čas, kdy byl proces, který událost inicioval, spuštěn. |
| InitiatingProcessFileName | řetězec | Název procesu, který událost inicioval. |
| InitiatingProcessFileSize | long | Velikost souboru (bajtů), který spustil proces zodpovědný za událost. |
| InitiatingProcessFolderPath | řetězec | Složka obsahující proces (soubor obrázku), který událost inicioval. |
| InitiatingProcessId | long | ID procesu (PID) procesu, který událost inicioval. |
| InitiatingProcessIntegrityLevel | řetězec | Úroveň integrity procesu, který událost inicioval. Systém Windows přiřazuje procesům úrovně integrity na základě určitých charakteristik, například pokud byly spuštěny ze stahování z internetu. Tyto úrovně integrity ovlivňují oprávnění k prostředkům. |
| InitiatingProcessLogonId | long | Identifikátor přihlašovací relace procesu, který událost inicioval. Tento identifikátor je jedinečný na stejném počítači pouze mezi restartováními. |
| InitiatingProcessMD5 | řetězec | Hodnota hash MD5 procesu (soubor obrázku), který událost inicioval. |
| InitiatingProcessParentCreationTime | datetime | Datum a čas, kdy byl spuštěn nadřazený proces zodpovědný za událost. |
| InitiatingProcessParentFileName | řetězec | Název nadřazeného procesu, ze kterého vznikl proces zodpovědný za událost. |
| InitiatingProcessParentId | long | ID procesu (PID) nadřazeného procesu, který vytvořila proces zodpovědný za událost. |
| InitiatingProcessSHA1 | řetězec | Sha-1 hash procesu (soubor obrázku), který událost inicioval. |
| InicializováníProcessSHA256 | řetězec | SHA-256 hash procesu (soubor obrázku), který inicioval událost. V některých případech nemusí být tento sloupec vyplněný – místo toho použijte sloupec InitiatingProcessSHA1. |
| InitiatingProcessSignatureStatus | řetězec | Informace o stavu podpisu procesu (souboru obrázku), který událost inicioval. |
| InitiatingProcessSignerType | řetězec | Typ podepisujícího soubor procesu (soubor obrázku), který událost inicioval. |
| InicializaceProcessTokenElevation | řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění uživatelského Access Control (UAC) použitého u procesu, který událost inicioval. |
| InitiatingProcessVersionInfoCompanyName | řetězec | Název společnosti v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| InitiatingProcessVersionInfoFileDescription | řetězec | Popis v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| InitiatingProcessVersionInfoInternalFileName | řetězec | Interní název souboru v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| InitiatingProcessVersionInfoOriginalFileName | řetězec | Původní název souboru v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| InitiatingProcessVersionInfoProductName | řetězec | Název produktu v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| InitiatingProcessVersionInfoProductVersion | řetězec | Verze produktu v informacích o verzi (soubor obrázku) zodpovědná za událost. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
| Id přihlášení | long | Identifikátor přihlašovací relace. Tento identifikátor je jedinečný na stejném počítači pouze mezi restartováními. |
| MachineGroup | řetězec | Skupina počítačů počítače. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
| MD5 | řetězec | Hodnota hash MD5 souboru, u kterého byla zaznamenaná akce použita. |
| ProcessCommandLine | řetězec | Příkazový řádek použitý k vytvoření nového procesu. |
| ProcessCreationTime | datetime | Datum a čas vytvoření procesu |
| Processid | long | ID procesu (PID) nově vytvořeného procesu. |
| ProcessIntegrityLevel | řetězec | Úroveň integrity nově vytvořeného procesu. Systém Windows přiřazuje procesům úrovně integrity na základě určitých charakteristik, například pokud byly spuštěny z internetu stažené. Tyto úrovně integrity ovlivňují oprávnění k prostředkům. |
| ProcessTokenElevation | řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění uživatelského Access Control (UAC) použitého u nově vytvořeného procesu. |
| ProcessVersionInfoCompanyName | řetězec | Název společnosti z informací o verzi nově vytvořeného procesu. |
| ProcessVersionInfoFileDescription | řetězec | Popis z informací o verzi nově vytvořeného procesu. |
| ProcessVersionInfoInternalFileName | řetězec | Název interního souboru z informací o verzi nově vytvořeného procesu. |
| ProcessVersionInfoOriginalFileName | řetězec | Původní název souboru z informací o verzi nově vytvořeného procesu. |
| ProcessVersionInfoProductName | řetězec | Název produktu z informací o verzi nově vytvořeného procesu. |
| ProcessVersionInfoProductVersion | řetězec | Verze produktu z informací o verzi nově vytvořeného procesu. |
| Id sestavy | long | Identifikátor události na základě opakujícího se čítače. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci ComputerName a EventTime. |
| SHA1 | řetězec | Hodnota hash SHA-1 souboru, u kterého byla zaznamenaná akce použita. |
| SHA256 | řetězec | SHA-256 souboru, u kterého byla zaznamenaná akce použita. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Datum a čas, kdy byla událost zaznamenána agentem MDE v koncovém bodu. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro