DeviceImageLoadEventsDeviceImageLoadEvents

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender para punto de conexiónMicrosoft Defender for Endpoint

La DeviceImageLoadEvents tabla del esquema de búsqueda avanzada contiene información acerca de los eventos de carga de DLL.The DeviceImageLoadEvents table in the advanced hunting schema contains information about DLL loading events. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.Use this reference to construct queries that return information from this table.

Sugerencia

Para obtener información detallada acerca de los tipos de eventos ( valores) admitidos por una tabla, use la referencia de esquema integrada ActionType disponible en el centro de seguridad.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

Nombre de columnaColumn name Tipo de datosData type DescripciónDescription
Timestamp datetimedatetime Fecha y hora en que se registró el evento.Date and time when the event was recorded
DeviceId cadenastring Identificador único para el equipo en servicioUnique identifier for the machine in the service
DeviceName cadenastring Nombre de dominio completo (FQDN, por sus siglas en inglés) del equipoFully qualified domain name (FQDN) of the machine
ActionType cadenastring Tipo de actividad que desencadenó el evento.Type of activity that triggered the event. Vea la referencia de esquema en el portal para obtener más informaciónSee the in-portal schema reference for details
FileName cadenastring Nombre del archivo donde se aplicó la acción registradaName of the file that the recorded action was applied to
FolderPath cadenastring Carpeta que contiene el archivo al que se aplicó la acción grabadaFolder containing the file that the recorded action was applied to
SHA1 cadenastring SHA-1 del archivo donde fue aplicada la acción registradaSHA-1 of the file that the recorded action was applied to
SHA256 cadenastring SHA-256 del archivo donde se aplicó la acción registrada.SHA-256 of the file that the recorded action was applied to. Este campo no suele estar rellenado; use la columna SHA1 cuando se encuentre disponible.This field is usually not populated — use the SHA1 column when available.
MD5 cadenastring Hash MD5 del archivo al que se aplicó la acción grabadaMD5 hash of the file that the recorded action was applied to
FileSize largolong Tamaño del archivo en bytesSize of the file in bytes
InitiatingProcessAccountDomain stringstring Dominio de la cuenta que ejecutó el proceso responsable del eventoDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName stringstring Nombre de usuario de la cuenta que ejecutó el proceso responsable del eventoUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid stringstring Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del eventoSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessAccountUpn stringstring Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del eventoUser principal name (UPN) of the account that ran the process responsible for the event
InitiatingProcessAccountObjectId stringstring Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del eventoAzure AD object ID of the user account that ran the process responsible for the event
InitiatingProcessIntegrityLevel stringstring Nivel de integridad del proceso que inició el evento.Integrity level of the process that initiated the event. Windows asigna niveles de integridad a procesos basados en determinadas características, como si se iniciaron desde una descarga de Internet.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. Estos niveles de integridad influyen en los permisos de los recursosThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation stringstring Tipo de token que indica la presencia o ausencia de elevación de privilegios del Control de acceso de usuario (UAC) aplicada al proceso que inició el eventoToken type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessSHA1 stringstring SHA-1 del proceso (archivo de imagen) que inició el eventoSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 stringstring SHA-256 del proceso (archivo de imagen) que inició el evento.SHA-256 of the process (image file) that initiated the event. Este campo no suele estar rellenado; use la columna SHA1 cuando se encuentre disponible.This field is usually not populated — use the SHA1 column when available.
InitiatingProcessMD5 cadenastring Hash MD5 del proceso (archivo de imagen) que inició el eventoMD5 hash of the process (image file) that initiated the event
InitiatingProcessFileName stringstring Nombre del proceso que inició el eventoName of the process that initiated the event
InitiatingProcessFileSize largolong Tamaño del archivo que ejecutó el proceso responsable del eventoSize of the file that ran the process responsible for the event
InitiatingProcessVersionInfoCompanyName stringstring Nombre de la compañía a partir de la información de versión del proceso (archivo de imagen) responsable del eventoCompany name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductName stringstring Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del eventoProduct name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductVersion stringstring Versión del producto de la información de versión del proceso (archivo de imagen) responsable del eventoProduct version from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoInternalFileName stringstring Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del eventoInternal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoOriginalFileName stringstring Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del eventoOriginal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoFileDescription stringstring Descripción de la información de versión del proceso (archivo de imagen) responsable del eventoDescription from the version information of the process (image file) responsible for the event
InitiatingProcessId Enteroint Identificador de proceso (PID) del proceso que inició el eventoProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine stringstring Línea de comandos usada para ejecutar el proceso que inició el eventoCommand line used to run the process that initiated the event
InitiatingProcessCreationTime datetimedatetime Fecha y hora en que se inició el proceso que inició el eventoDate and time when the process that initiated the event was started
InitiatingProcessFolderPath stringstring Carpeta que contiene el proceso (archivo de imagen) que inició el eventoFolder containing the process (image file) that initiated the event
InitiatingProcessParentId Enteroint Identificador de proceso (PID) del proceso primario que generó el proceso responsable del eventoProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName stringstring Nombre del proceso primario que generó el proceso responsable del eventoName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime datetimedatetime Fecha y hora en que se inició el elemento primario del proceso responsable del eventoDate and time when the parent of the process responsible for the event was started
ReportId largolong Identificador de eventos basado en un contador de repetición.Event identifier based on a repeating counter. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y TimestampTo identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns
AppGuardContainerId stringstring Identificador del contenedor virtualizado usado por Application Guard para aislar la actividad del exploradorIdentifier for the virtualized container used by Application Guard to isolate browser activity