PerangkatProsesAcara
Microsoft Defender untuk tabel peristiwa proses perangkat Titik Akhir (MDE). Tabel ini berisi informasi tentang pembuatan proses dan peristiwa terkait pada titik akhir.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | - |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| AccountDomain | string | Domain akun. |
| Nama Akun | string | Nama pengguna akun. |
| AccountObjectId | string | Pengidentifikasi unik untuk akun dalam Azure AD. |
| AccountSid | string | Pengidentifikasi Keamanan (SID) akun. |
| AccountUpn | string | Nama prinsipal pengguna (UPN) akun. |
| ActionType | string | Jenis aktivitas yang memicu peristiwa. |
| AdditionalFields | dinamis | Informasi tambahan tentang entitas atau peristiwa. |
| AppGuardContainerId | string | Pengidentifikasi untuk kontainer virtual yang digunakan oleh Application Guard untuk mengisolasi aktivitas browser. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DeviceId | string | Pengidentifikasi unik untuk perangkat dalam layanan. |
| DeviceName | string | Nama domain yang sepenuhnya memenuhi syarat (FQDN) perangkat. |
| FileName | string | Nama file tempat tindakan yang direkam diterapkan. |
| FileSize | long | Ukuran file dalam byte. |
| FolderPath | string | Folder yang berisi file tempat tindakan yang direkam diterapkan. |
| InitiatingProcessAccountDomain | string | Domain akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessAccountName | string | Nama pengguna akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessAccountObjectId | string | Azure AD ID objek akun pengguna yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessAccountSid | string | Pengidentifikasi Keamanan (SID) akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessAccountUpn | string | Nama prinsipal pengguna (UPN) akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses yang memulai peristiwa. |
| InitiatingProcessCreationTime | tanggalwaktu | Tanggal dan waktu ketika proses yang memulai peristiwa dimulai. |
| InitiatingProcessFileName | string | Nama proses yang memulai peristiwa. |
| InitiatingProcessFileSize | long | Ukuran file (byte) yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessFolderPath | string | Folder yang berisi proses (file gambar) yang memulai peristiwa. |
| InitiatingProcessId | long | ID Proses (PID) dari proses yang memulai peristiwa. |
| InitiatingProcessIntegrityLevel | string | Tingkat integritas proses yang memulai peristiwa. Windows menetapkan tingkat integritas ke proses berdasarkan karakteristik tertentu, seperti jika diluncurkan dari unduhan internet. Tingkat integritas ini memengaruhi izin ke sumber daya.. |
| InitiatingProcessLogonId | long | Pengidentifikasi untuk sesi masuk proses yang memulai peristiwa. Pengidentifikasi ini unik pada komputer yang sama hanya antara mulai ulang.. |
| InitiatingProcessMD5 | string | Hash MD5 dari proses (file gambar) yang memulai peristiwa. |
| InitiatingProcessParentCreationTime | tanggalwaktu | Tanggal dan waktu ketika induk proses yang bertanggung jawab atas peristiwa dimulai. |
| InitiatingProcessParentFileName | string | Nama proses induk yang menelurkan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessParentId | long | ID Proses (PID) dari proses induk yang melahirkan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessSHA1 | string | Hash SHA-1 dari proses (file gambar) yang memulai peristiwa. |
| InisiatingProcessSHA256 | string | Hash SHA-256 dari proses (file gambar) yang memulai peristiwa. Dalam beberapa kasus, kolom ini mungkin tidak diisi - silakan gunakan kolom InitiatingProcessSHA1 sebagai gantinya. |
| InitiatingProcessSignatureStatus | string | Informasi tentang status tanda tangan proses (file gambar) yang memulai peristiwa. |
| InitiatingProcessSignerType | string | Jenis penanda tangan file proses (file gambar) yang memulai peristiwa. |
| InitiatingProcessTokenElevation | string | Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa User Access Control (UAC) yang diterapkan pada proses yang memulai peristiwa. |
| InitiatingProcessVersionInfoCompanyName | string | Nama perusahaan dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoFileDescription | string | Deskripsi dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoInternalFileName | string | Nama file internal dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nama file asli dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoProductName | string | Nama produk dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoProductVersion | string | Versi produk dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| LogonId | long | Pengidentifikasi untuk sesi masuk. Pengidentifikasi ini unik pada komputer yang sama hanya di antara mulai ulang. |
| MachineGroup | string | Grup mesin mesin. Grup ini digunakan oleh kontrol akses berbasis peran untuk menentukan akses ke komputer. |
| MD5 | string | Hash MD5 dari file tempat tindakan yang direkam diterapkan. |
| ProcessCommandLine | string | Baris perintah yang digunakan untuk membuat proses baru. |
| ProcessCreationTime | tanggalwaktu | Tanggal dan waktu proses dibuat. |
| ProcessId | long | ID Proses (PID) dari proses yang baru dibuat. |
| ProcessIntegrityLevel | string | Tingkat integritas proses yang baru dibuat. Windows menetapkan tingkat integritas ke proses berdasarkan karakteristik tertentu, seperti jika diluncurkan dari internet yang diunduh. Tingkat integritas ini memengaruhi izin ke sumber daya.. |
| ProcessTokenElevation | string | Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa User Access Control (UAC) yang diterapkan pada proses yang baru dibuat. |
| ProcessVersionInfoCompanyName | string | Nama perusahaan dari informasi versi proses yang baru dibuat. |
| ProcessVersionInfoFileDescription | string | Deskripsi dari informasi versi proses yang baru dibuat. |
| ProcessVersionInfoInternalFileName | string | Nama file internal dari informasi versi proses yang baru dibuat. |
| ProcessVersionInfoOriginalFileName | string | Nama file asli dari informasi versi proses yang baru dibuat. |
| ProcessVersionInfoProductName | string | Nama produk dari informasi versi proses yang baru dibuat. |
| ProcessVersionInfoProductVersion | string | Versi produk dari informasi versi proses yang baru dibuat. |
| ReportId | long | Pengidentifikasi peristiwa berdasarkan penghitung berulang. Untuk mengidentifikasi peristiwa unik, kolom ini harus digunakan bersama dengan kolom ComputerName dan EventTime.. |
| SHA1 | string | Hash SHA-1 dari file tempat tindakan yang direkam diterapkan. |
| SHA256 | string | SHA-256 dari file tempat tindakan yang direkam diterapkan. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| TenantId | string | ID ruang kerja Analitik Log |
| TimeGenerated | tanggalwaktu | Tanggal dan waktu peristiwa direkam oleh agen MDE pada titik akhir. |
| Jenis | string | Nama tabel |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk