DeviceImageLoadEventsDeviceImageLoadEvents

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Si applica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender per endpointMicrosoft Defender for Endpoint

La DeviceImageLoadEvents tabella nello schema di ricerca avanzata contiene informazioni sugli eventi di caricamento delle DLL.The DeviceImageLoadEvents table in the advanced hunting schema contains information about DLL loading events. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.Use this reference to construct queries that return information from this table.

Suggerimento

Per informazioni dettagliate sui tipi di eventi (valori) supportati da una tabella, utilizzare il riferimento allo schema predefinito ActionType disponibile nel Centro sicurezza.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

Nome colonnaColumn name Tipo di datiData type DescrizioneDescription
Timestamp datetimedatetime Data e ora di registrazione dell'eventoDate and time when the event was recorded
DeviceId stringastring Identificatore univoco per il computer nel servizioUnique identifier for the machine in the service
DeviceName stringastring Nome di dominio completo (FQDN) del computerFully qualified domain name (FQDN) of the machine
ActionType stringastring Tipo di attività che ha attivato l'evento.Type of activity that triggered the event. Per informazioni dettagliate, vedere informazioni di riferimento sullo schema nel portaleSee the in-portal schema reference for details
FileName stringastring Nome del file a cui è stata applicata l'azione registrataName of the file that the recorded action was applied to
FolderPath stringastring Cartella contenente il file a cui è stata applicata l'azione registrataFolder containing the file that the recorded action was applied to
SHA1 stringastring SHA-1 del file a cui è stata applicata l'azione registrataSHA-1 of the file that the recorded action was applied to
SHA256 stringastring SHA-256 del file a cui è stata applicata l'azione registrata.SHA-256 of the file that the recorded action was applied to. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile).This field is usually not populated — use the SHA1 column when available.
MD5 stringastring Hash MD5 del file a cui è stata applicata l'azione registrataMD5 hash of the file that the recorded action was applied to
FileSize longlong Dimensioni del file in byteSize of the file in bytes
InitiatingProcessAccountDomain stringastring Dominio dell'account che ha eseguito il processo responsabile dell'eventoDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName stringastring Nome utente dell'account che ha eseguito il processo responsabile dell'eventoUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid stringastring Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'eventoSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessAccountUpn stringastring Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'eventoUser principal name (UPN) of the account that ran the process responsible for the event
InitiatingProcessAccountObjectId stringastring ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'eventoAzure AD object ID of the user account that ran the process responsible for the event
InitiatingProcessIntegrityLevel stringastring Livello di integrità del processo che ha avviato l'evento.Integrity level of the process that initiated the event. Windows i livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. Questi livelli di integrità influenzano le autorizzazioni per le risorseThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation stringastring Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi UAC (User Access Control) applicata al processo che ha avviato l'eventoToken type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessSHA1 stringastring SHA-1 del processo (file di immagine) che ha avviato l'eventoSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 stringastring SHA-256 del processo (file di immagine) che ha avviato l'evento.SHA-256 of the process (image file) that initiated the event. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile).This field is usually not populated — use the SHA1 column when available.
InitiatingProcessMD5 stringastring Hash MD5 del processo (file di immagine) che ha avviato l'eventoMD5 hash of the process (image file) that initiated the event
InitiatingProcessFileName stringastring Nome del processo che ha avviato l'eventoName of the process that initiated the event
InitiatingProcessFileSize longlong Dimensioni del file che ha eseguito il processo responsabile dell'eventoSize of the file that ran the process responsible for the event
InitiatingProcessVersionInfoCompanyName stringastring Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'eventoCompany name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductName stringastring Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'eventoProduct name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductVersion stringastring Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'eventoProduct version from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoInternalFileName stringastring Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'eventoInternal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoOriginalFileName stringastring Nome del file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'eventoOriginal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoFileDescription stringastring Descrizione dalle informazioni sulla versione del processo (file immagine) responsabile dell'eventoDescription from the version information of the process (image file) responsible for the event
InitiatingProcessId intint ID processo (PID) del processo che ha avviato l'eventoProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine stringastring Riga di comando utilizzata per eseguire il processo che ha avviato l'eventoCommand line used to run the process that initiated the event
InitiatingProcessCreationTime datetimedatetime Data e ora di inizio del processo che ha avviato l'eventoDate and time when the process that initiated the event was started
InitiatingProcessFolderPath stringastring Cartella contenente il processo (file di immagine) che ha avviato l'eventoFolder containing the process (image file) that initiated the event
InitiatingProcessParentId intint ID processo (PID) del processo padre che ha generato il processo responsabile dell'eventoProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName stringastring Nome del processo padre che ha generato il processo responsabile dell'eventoName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime datetimedatetime Data e ora in cui l'elemento padre del processo responsabile dell'evento è stato avviatoDate and time when the parent of the process responsible for the event was started
ReportId longlong Identificatore di evento basato su un contatore ripetuto.Event identifier based on a repeating counter. Per identificare gli eventi univoci, è necessario utilizzare questa colonna insieme alle colonne DeviceName e TimestampTo identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns
AppGuardContainerId stringastring Identificatore del contenitore virtualizzato utilizzato da Application Guard per isolare l'attività del browserIdentifier for the virtualized container used by Application Guard to isolate browser activity