DeviceProcessEvents
Microsoft Defender für MDE-Geräteprozessereignisse (Endpoints). Diese Tabelle enthält Informationen zur Prozesserstellung und zugehörigen Ereignissen auf dem Endpunkt.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AccountDomain | Zeichenfolge | Domäne des Kontos. |
| AccountName | Zeichenfolge | Benutzername des Kontos. |
| AccountObjectId | Zeichenfolge | Eindeutiger Bezeichner für das Konto in Azure AD. |
| AccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos. |
| AccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos. |
| ActionType | Zeichenfolge | Typ der Aktivität, die das Ereignis ausgelöst hat. |
| AdditionalFields | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId | Zeichenfolge | Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| deviceId | Zeichenfolge | Eindeutiger Bezeichner für das Gerät im Dienst. |
| DeviceName | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts. |
| Dateiname | Zeichenfolge | Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| FileSize | long | Die Länge der Datei in Bytes. |
| FolderPath | Zeichenfolge | Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| InitialingProcessAccountDomain | Zeichenfolge | Domäne des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountName | Zeichenfolge | Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountObjectId | Zeichenfolge | Die Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessCommandLine | Zeichenfolge | Die Befehlszeile wird verwendet, um den Prozess auszuführen, der das Ereignis initiiert hat. |
| InitialingProcessCreationTime | datetime | Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| Initiieren vonProcessFileName | Zeichenfolge | Name des Prozesses, der das Ereignis initiiert hat. |
| Initiieren vonProcessFileSize | long | Die Größe der Datei (Bytes), die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessFolderPath | Zeichenfolge | Ordner mit dem Prozess (Bilddatei), der das Ereignis initiiert hat. |
| Initiieren vonProcessId | long | Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
| Initiieren vonProcessIntegrityLevel | Zeichenfolge | Integritätsebene des Prozesses, der das Ereignis initiiert hat. Windows weist Prozessen Integritätsebenen zu, die auf bestimmten Merkmalen basieren, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen beeinflussen Berechtigungen für Ressourcen. |
| InitiatingProcessLogonId | long | Bezeichner für eine Anmeldesitzung des Prozesses, der das Ereignis initiiert hat. Dieser Bezeichner ist nur zwischen Neustarts auf demselben Computer eindeutig. |
| InitiierenProcessMD5 | Zeichenfolge | MD5-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitialingProcessParentCreationTime | datetime | Datum und Uhrzeit des Startpunkts des übergeordneten Prozesses, der für das Ereignis verantwortlich ist. |
| InitialingProcessParentFileName | Zeichenfolge | Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat. |
| InitialingProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat. |
| Initiieren VonProcessSHA1 | Zeichenfolge | SHA-1-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. |
| InitiierenProcessSHA256 | Zeichenfolge | SHA-256-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. In einigen Fällen wird diese Spalte möglicherweise nicht aufgefüllt. Verwenden Sie stattdessen die Spalte InitiatingProcessSHA1. |
| InitialingProcessSignatureStatus | Zeichenfolge | Informationen zur Signatur status des Prozesses (Imagedatei), der das Ereignis initiiert hat. |
| InitialingProcessSignerType | Zeichenfolge | Typ des Datei signierers des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| Initiieren vonProcessTokenElevation | Zeichenfolge | Tokentyp, der das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (UAC) angibt, die auf den Prozess angewendet wird, der das Ereignis initiiert hat. |
| Initiieren vonProcessVersionInfoCompanyName | Zeichenfolge | Der Firmenname in den Versionsinformationen (Imagedatei), der für das Ereignis verantwortlich ist. |
| Initiieren vonProcessVersionInfoFileDescription | Zeichenfolge | Die Beschreibung in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
| Initiieren vonProcessVersionInfoInternalFileName | Zeichenfolge | Der interne Dateiname in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoOriginalFileName | Zeichenfolge | Der ursprüngliche Dateiname in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
| Initiieren vonProcessVersionInfoProductName | Zeichenfolge | Der Produktname in den Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
| Initiieren vonProcessVersionInfoProductVersion | Zeichenfolge | Die Produktversion in den Versionsinformationen (Imagedatei), die für das Ereignis verantwortlich ist. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LogonId | long | Bezeichner für eine Anmeldesitzung. Dieser Bezeichner ist nur zwischen Neustarts auf demselben Computer eindeutig. |
| MachineGroup | Zeichenfolge | Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| MD5 | Zeichenfolge | MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| ProcessCommandLine | Zeichenfolge | Zum Erstellen des neuen Prozesses verwendete Befehlszeile. |
| ProcessCreationTime | datetime | Datum und Uhrzeit der Prozesserstellung. |
| ProcessId | long | Prozess-ID (PID) des neu erstellten Prozesses. |
| ProcessIntegrityLevel | Zeichenfolge | Integritätsebene des neu erstellten Prozesses. Windows weist Prozessen Integritätsebenen zu, die auf bestimmten Merkmalen basieren, z. B. wenn sie aus einem heruntergeladenen Internet gestartet wurden. Diese Integritätsstufen beeinflussen Berechtigungen für Ressourcen. |
| ProcessTokenElevation | Zeichenfolge | Tokentyp, der das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (UAC) angibt, die auf den neu erstellten Prozess angewendet werden. |
| ProcessVersionInfoCompanyName | Zeichenfolge | Firmenname aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoFileDescription | Zeichenfolge | Beschreibung aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoInternalFileName | Zeichenfolge | Interner Dateiname aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoOriginalFileName | Zeichenfolge | Ursprünglicher Dateiname aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoProductName | Zeichenfolge | Produktname aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoProductVersion | Zeichenfolge | Produktversion aus den Versionsinformationen des neu erstellten Prozesses. |
| ReportId | long | Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| SHA1 | Zeichenfolge | SHA-1-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SHA256 | Zeichenfolge | SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Datum und Uhrzeit, zu der das Ereignis vom MDE-Agent auf dem Endpunkt aufgezeichnet wurde. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für