DeviceProcessEvents

Er denne side nyttig?

Har du yderligere feedback?

Feedback sendes til Microsoft: Når du trykker på knappen Indsend, bruges din feedback til at forbedre Microsofts produkter og tjenester. Politik om beskyttelse af personlige oplysninger.

Bemærk

Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.

Gælder for:

• Microsoft 365 Defender
• Microsoft Defender til Slutpunkt

Tabellen DeviceProcessEvents i det avancerede søgeskema indeholder oplysninger om procesoprettelse og relaterede begivenheder. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.

Tip

Du kan finde detaljerede oplysninger om de hændelsestyper (ActionType værdier), der understøttes af en tabel, ved at bruge den indbyggede skemareference, der er tilgængelig i Defender for Cloud.

Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i den avancerede jagtreference.

Kolonnenavn	Datatype	Beskrivelse
Timestamp	datetime	Dato og klokkeslæt for, hvornår begivenheden blev optaget
DeviceId	string	Entydigt id for computeren i tjenesten
DeviceName	string	Fuldt kvalificeret domænenavn på computeren
ActionType	string	Aktivitetstype, der udløste hændelsen. Se skemareferencen i portalen for at få mere at vide
FileName	string	Navnet på den fil, som den optagede handling blev anvendt på
FolderPath	string	Mappe, der indeholder den fil, som den optagede handling blev anvendt på
SHA1	string	SHA-1 i den fil, som den optagede handling blev anvendt på
SHA256	string	SHA-256 af den fil, som den optagede handling blev anvendt på. Dette felt udfyldes normalt ikke – brug kolonnen SHA1, når den er tilgængelig.
MD5	string	MD5-hash for den fil, som den optagede handling blev anvendt på
FileSize	long	Filens størrelse i byte
ProcessVersionInfoCompanyName	string	Firmanavn fra versionsoplysningerne i den netop oprettede proces
ProcessVersionInfoProductName	string	Produktnavn fra versionsoplysningerne for den nyoprettede proces
ProcessVersionInfoProductVersion	string	Produktversion fra versionsoplysningerne fra den nyoprettede proces
ProcessVersionInfoInternalFileName	string	Internt filnavn fra versionsoplysningerne for den nyoprettede proces
ProcessVersionInfoOriginalFileName	string	Oprindeligt filnavn fra versionsoplysningerne for den nyoprettede proces
ProcessVersionInfoFileDescription	string	Beskrivelse fra versionsoplysningerne for den nyoprettede proces
ProcessId	int	Proces-id (PID) for den netop oprettede proces
ProcessCommandLine	string	Kommandolinje, der bruges til at oprette den nye proces
ProcessIntegrityLevel	string	Integritetsniveauet for den netop oprettede proces. Windows tildeler integritetsniveauer til processer, der er baseret på bestemte egenskaber, f.eks. hvis de blev startet fra en internet-download. Disse integritetsniveauer påvirker tilladelser til ressourcer
ProcessTokenElevation	string	Angiver den type tokenhøjde, der er anvendt på den netop oprettede proces. Mulige værdier: TokenElevationTypeLimited (begrænset), TokenElevationTypeDefault (standard) og TokenElevationTypeFull (elever)
ProcessCreationTime	datetime	Dato og klokkeslæt for oprettelse af processen
AccountDomain	string	Kontoens domæne
AccountName	string	Brugernavn på kontoen
AccountSid	string	Kontoens sikkerheds-id (SID)
AccountUpn	string	Brugerens hovednavn (UPN) for kontoen
AccountObjectId	string	Entydigt id for kontoen i Azure AD
LogonId	string	Id for en logonsession. Dette id er entydigt på den samme maskine, kun mellem genstart
InitiatingProcessAccountDomain	string	Domæne for den konto, der kørte processen, der er ansvarlig for begivenheden
InitiatingProcessAccountName	string	Brugernavnet på den konto, der kørte den proces, der er ansvarlig for begivenheden
InitiatingProcessAccountSid	string	Security Identifier (SID) for den konto, der kørte den proces, der er ansvarlig for hændelsen
InitiatingProcessAccountUpn	string	Brugerens hovednavn (UPN) for den konto, der kørte processen med ansvar for begivenheden
InitiatingProcessAccountObjectId	string	Azure AD-objekt-id'et for den brugerkonto, der kørte den proces, der er ansvarlig for begivenheden
InitiatingProcessLogonId	string	Id for en logonsession for den proces, der startede hændelsen. Dette id er kun entydigt på den samme computer mellem genstart.
InitiatingProcessIntegrityLevel	string	Integritetsniveauet for den proces, der startede hændelsen. Windows tildeler integritetsniveauer til processer, der er baseret på bestemte egenskaber, f.eks. hvis de blev startet fra en internetoverførsel. Disse integritetsniveauer påvirker tilladelser til ressourcer
InitiatingProcessTokenElevation	string	Tokentype, der angiver tilstedeværelse eller fravær af UAC-rettighedskontering anvendt på den proces, der startede hændelsen
InitiatingProcessSHA1	string	SHA-1 af den proces (billedfil), der startede hændelsen
InitiatingProcessSHA256	string	SHA-256 af den proces (billedfil), der startede hændelsen. Dette felt udfyldes normalt ikke – brug kolonnen SHA1, når den er tilgængelig.
InitiatingProcessMD5	string	MD5-hash for den proces (billedfil), der startede hændelsen
InitiatingProcessFileName	string	Navnet på den proces, der startede hændelsen
InitiatingProcessFileSize	long	Størrelsen på den fil, der kørte den proces, der er ansvarlig for begivenheden
InitiatingProcessVersionInfoCompanyName	string	Firmanavn fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden
InitiatingProcessVersionInfoProductName	string	Produktnavn fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden
InitiatingProcessVersionInfoProductVersion	string	Produktversion fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden
InitiatingProcessVersionInfoInternalFileName	string	Internt filnavn fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden
InitiatingProcessVersionInfoOriginalFileName	string	Oprindeligt filnavn fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden
InitiatingProcessVersionInfoFileDescription	string	Beskrivelse fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden
InitiatingProcessId	int	Proces-id (PID) for den proces, der startede hændelsen
InitiatingProcessCommandLine	string	Kommandolinje, der bruges til at køre den proces, der startede hændelsen
InitiatingProcessCreationTime	datetime	Dato og klokkeslæt for den proces, der startede hændelsen blev startet
InitiatingProcessFolderPath	string	Mappe, der indeholder den proces (billedfil), som startede hændelsen
InitiatingProcessParentId	int	Proces-id (PID) for den overordnede proces, der identificerede den proces, der er ansvarlig for begivenheden
InitiatingProcessParentFileName	string	Navnet på den overordnede proces, hvor den proces, der er ansvarlig for begivenheden, blev vist
InitiatingProcessParentCreationTime	datetime	Dato og klokkeslæt, hvor den overordnede for den proces, der er ansvarlig for begivenheden, blev startet
InitiatingProcessSignerType	string	Filtype for den proces (billedfil), der startede hændelsen
InitiatingProcessSignatureStatus	string	Oplysninger om signaturstatus for den proces (billedfil), der startede hændelsen
ReportId	long	Hændelses-id baseret på en gentagende tæller. For at identificere entydige hændelser skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp
AppGuardContainerId	string	Id for den virtualiserede beholder, der bruges af Application Guard til at isolere browseraktivitet
AdditionalFields	string	Yderligere oplysninger om hændelsen i JSON-matrixformat

Relaterede emner

• Avanceret jagtoversigt
• Lær forespørgselssproget
• Brug delte forespørgsler
• Lede på tværs af enheder, mails, apps og identiteter
• Forstå skemaet
• Anvend bedste fremgangsmåder for forespørgsler