DeviceProcessEvents
Bemærk
Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.
Gælder for:
- Microsoft 365 Defender
- Microsoft Defender til Slutpunkt
Tabellen DeviceProcessEvents
i det avancerede søgeskema indeholder oplysninger om procesoprettelse og relaterede begivenheder. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Tip
Du kan finde detaljerede oplysninger om de hændelsestyper (ActionType
værdier), der understøttes af en tabel, ved at bruge den indbyggede skemareference, der er tilgængelig i Defender for Cloud.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i den avancerede jagtreference.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for, hvornår begivenheden blev optaget |
DeviceId |
string |
Entydigt id for computeren i tjenesten |
DeviceName |
string |
Fuldt kvalificeret domænenavn på computeren |
ActionType |
string |
Aktivitetstype, der udløste hændelsen. Se skemareferencen i portalen for at få mere at vide |
FileName |
string |
Navnet på den fil, som den optagede handling blev anvendt på |
FolderPath |
string |
Mappe, der indeholder den fil, som den optagede handling blev anvendt på |
SHA1 |
string |
SHA-1 i den fil, som den optagede handling blev anvendt på |
SHA256 |
string |
SHA-256 af den fil, som den optagede handling blev anvendt på. Dette felt udfyldes normalt ikke – brug kolonnen SHA1, når den er tilgængelig. |
MD5 |
string |
MD5-hash for den fil, som den optagede handling blev anvendt på |
FileSize |
long |
Filens størrelse i byte |
ProcessVersionInfoCompanyName |
string |
Firmanavn fra versionsoplysningerne i den netop oprettede proces |
ProcessVersionInfoProductName |
string |
Produktnavn fra versionsoplysningerne for den nyoprettede proces |
ProcessVersionInfoProductVersion |
string |
Produktversion fra versionsoplysningerne fra den nyoprettede proces |
ProcessVersionInfoInternalFileName |
string |
Internt filnavn fra versionsoplysningerne for den nyoprettede proces |
ProcessVersionInfoOriginalFileName |
string |
Oprindeligt filnavn fra versionsoplysningerne for den nyoprettede proces |
ProcessVersionInfoFileDescription |
string |
Beskrivelse fra versionsoplysningerne for den nyoprettede proces |
ProcessId |
int |
Proces-id (PID) for den netop oprettede proces |
ProcessCommandLine |
string |
Kommandolinje, der bruges til at oprette den nye proces |
ProcessIntegrityLevel |
string |
Integritetsniveauet for den netop oprettede proces. Windows tildeler integritetsniveauer til processer, der er baseret på bestemte egenskaber, f.eks. hvis de blev startet fra en internet-download. Disse integritetsniveauer påvirker tilladelser til ressourcer |
ProcessTokenElevation |
string |
Angiver den type tokenhøjde, der er anvendt på den netop oprettede proces. Mulige værdier: TokenElevationTypeLimited (begrænset), TokenElevationTypeDefault (standard) og TokenElevationTypeFull (elever) |
ProcessCreationTime |
datetime |
Dato og klokkeslæt for oprettelse af processen |
AccountDomain |
string |
Kontoens domæne |
AccountName |
string |
Brugernavn på kontoen |
AccountSid |
string |
Kontoens sikkerheds-id (SID) |
AccountUpn |
string |
Brugerens hovednavn (UPN) for kontoen |
AccountObjectId |
string |
Entydigt id for kontoen i Azure AD |
LogonId |
string |
Id for en logonsession. Dette id er entydigt på den samme maskine, kun mellem genstart |
InitiatingProcessAccountDomain |
string |
Domæne for den konto, der kørte processen, der er ansvarlig for begivenheden |
InitiatingProcessAccountName |
string |
Brugernavnet på den konto, der kørte den proces, der er ansvarlig for begivenheden |
InitiatingProcessAccountSid |
string |
Security Identifier (SID) for den konto, der kørte den proces, der er ansvarlig for hændelsen |
InitiatingProcessAccountUpn |
string |
Brugerens hovednavn (UPN) for den konto, der kørte processen med ansvar for begivenheden |
InitiatingProcessAccountObjectId |
string |
Azure AD-objekt-id'et for den brugerkonto, der kørte den proces, der er ansvarlig for begivenheden |
InitiatingProcessLogonId |
string |
Id for en logonsession for den proces, der startede hændelsen. Dette id er kun entydigt på den samme computer mellem genstart. |
InitiatingProcessIntegrityLevel |
string |
Integritetsniveauet for den proces, der startede hændelsen. Windows tildeler integritetsniveauer til processer, der er baseret på bestemte egenskaber, f.eks. hvis de blev startet fra en internetoverførsel. Disse integritetsniveauer påvirker tilladelser til ressourcer |
InitiatingProcessTokenElevation |
string |
Tokentype, der angiver tilstedeværelse eller fravær af UAC-rettighedskontering anvendt på den proces, der startede hændelsen |
InitiatingProcessSHA1 |
string |
SHA-1 af den proces (billedfil), der startede hændelsen |
InitiatingProcessSHA256 |
string |
SHA-256 af den proces (billedfil), der startede hændelsen. Dette felt udfyldes normalt ikke – brug kolonnen SHA1, når den er tilgængelig. |
InitiatingProcessMD5 |
string |
MD5-hash for den proces (billedfil), der startede hændelsen |
InitiatingProcessFileName |
string |
Navnet på den proces, der startede hændelsen |
InitiatingProcessFileSize |
long |
Størrelsen på den fil, der kørte den proces, der er ansvarlig for begivenheden |
InitiatingProcessVersionInfoCompanyName |
string |
Firmanavn fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden |
InitiatingProcessVersionInfoProductName |
string |
Produktnavn fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversion fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnavn fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oprindeligt filnavn fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivelse fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for begivenheden |
InitiatingProcessId |
int |
Proces-id (PID) for den proces, der startede hændelsen |
InitiatingProcessCommandLine |
string |
Kommandolinje, der bruges til at køre den proces, der startede hændelsen |
InitiatingProcessCreationTime |
datetime |
Dato og klokkeslæt for den proces, der startede hændelsen blev startet |
InitiatingProcessFolderPath |
string |
Mappe, der indeholder den proces (billedfil), som startede hændelsen |
InitiatingProcessParentId |
int |
Proces-id (PID) for den overordnede proces, der identificerede den proces, der er ansvarlig for begivenheden |
InitiatingProcessParentFileName |
string |
Navnet på den overordnede proces, hvor den proces, der er ansvarlig for begivenheden, blev vist |
InitiatingProcessParentCreationTime |
datetime |
Dato og klokkeslæt, hvor den overordnede for den proces, der er ansvarlig for begivenheden, blev startet |
InitiatingProcessSignerType |
string |
Filtype for den proces (billedfil), der startede hændelsen |
InitiatingProcessSignatureStatus |
string |
Oplysninger om signaturstatus for den proces (billedfil), der startede hændelsen |
ReportId |
long |
Hændelses-id baseret på en gentagende tæller. For at identificere entydige hændelser skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp |
AppGuardContainerId |
string |
Id for den virtualiserede beholder, der bruges af Application Guard til at isolere browseraktivitet |
AdditionalFields |
string |
Yderligere oplysninger om hændelsen i JSON-matrixformat |
Relaterede emner
Feedback
Indsend og få vist feedback om