DeviceProcessEvents
Microsoft Defender tabel met apparaatprocessen voor eindpunten (MDE). Deze tabel bevat informatie over het maken van processen en gerelateerde gebeurtenissen op het eindpunt.
Tabelkenmerken
| Kenmerk | Waarde |
|---|---|
| Resourcetypen | - |
| Categorieën | Beveiliging |
| Oplossingen | SecurityInsights |
| Basislogboek | No |
| Opnametijdtransformatie | Yes |
| Voorbeeldquery's | - |
Kolommen
| Kolom | Type | Description |
|---|---|---|
| AccountDomain | tekenreeks | Domein van het account. |
| AccountName | tekenreeks | Gebruikersnaam van het account. |
| AccountObjectId | tekenreeks | Unieke id voor het account in Azure AD. |
| AccountSid | tekenreeks | Beveiligings-id (SID) van het account. |
| AccountUpn | tekenreeks | UPN (User Principal Name) van het account. |
| ActionType | tekenreeks | Type activiteit dat de gebeurtenis heeft geactiveerd. |
| AdditionalFields | dynamisch | Aanvullende informatie over de entiteit of gebeurtenis. |
| AppGuardContainerId | tekenreeks | Id voor de gevirtualiseerde container die door Application Guard wordt gebruikt om browseractiviteit te isoleren. |
| _BilledSize | werkelijk | De recordgrootte in bytes |
| DeviceId | tekenreeks | Unieke id voor het apparaat in de service. |
| DeviceName | tekenreeks | Fully Qualified Domain Name (FQDN) van het apparaat. |
| Bestandsnaam | tekenreeks | Naam van het bestand waarop de vastgelegde actie is toegepast. |
| Bestandsgrootte | long | Grootte van het bestand in bytes. |
| FolderPath | tekenreeks | Map met het bestand waarop de vastgelegde actie is toegepast. |
| InitiatingProcessAccountDomain | tekenreeks | Domein van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessAccountName | tekenreeks | Gebruikersnaam van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessAccountObjectId | tekenreeks | Azure AD object-id van het gebruikersaccount dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessAccountSid | tekenreeks | Beveiligings-id (SID) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessAccountUpn | tekenreeks | UPN (User Principal Name) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessCommandLine | tekenreeks | Opdrachtregel die wordt gebruikt om het proces uit te voeren dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessCreationTime | datum/tijd | De datum en tijd waarop het proces waarmee de gebeurtenis is gestart, is gestart. |
| InitiatingProcessFileName | tekenreeks | Naam van het proces dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessFileSize | long | De grootte van het bestand (bytes) dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessFolderPath | tekenreeks | Map met het proces (afbeeldingsbestand) waarmee de gebeurtenis is gestart. |
| InitiatingProcessId | long | Proces-id (PID) van het proces dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessIntegrityLevel | tekenreeks | Integriteitsniveau van het proces dat de gebeurtenis heeft geïnitieerd. Windows wijst integriteitsniveaus toe aan processen op basis van bepaalde kenmerken, bijvoorbeeld als ze zijn gestart vanuit een internetdownload. Deze integriteitsniveaus zijn van invloed op machtigingen voor resources. |
| InitiatingProcessLogonId | long | Id voor een aanmeldingssessie van het proces dat de gebeurtenis heeft geïnitieerd. Deze id is alleen uniek op dezelfde computer tussen het opnieuw opstarten. |
| InitiatingProcessMD5 | tekenreeks | MD5-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessParentCreationTime | datum/tijd | De datum en tijd waarop de bovenliggende instantie van het proces dat verantwoordelijk is voor de gebeurtenis is gestart. |
| InitiatingProcessParentFileName | tekenreeks | Naam van het bovenliggende proces waaruit het proces is voortgebracht dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessParentId | long | Proces-id (PID) van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessSHA1 | tekenreeks | SHA-1-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessSHA256 | tekenreeks | SHA-256-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. In sommige gevallen wordt deze kolom mogelijk niet ingevuld. Gebruik in plaats daarvan de kolom InitiatingProcessSHA1. |
| InitiatingProcessSignatureStatus | tekenreeks | Informatie over de handtekeningstatus van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessSignerType | tekenreeks | Type ondertekenaar van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessTokenElevation | tekenreeks | Tokentype dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het proces dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessVersionInfoCompanyName | tekenreeks | De bedrijfsnaam in versiegegevens (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoFileDescription | tekenreeks | De beschrijving in versie-informatie (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoInternalFileName | tekenreeks | De interne bestandsnaam in versiegegevens (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoOriginalFileName | tekenreeks | De oorspronkelijke bestandsnaam in versiegegevens (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoProductName | tekenreeks | De productnaam in versiegegevens (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoProductVersion | tekenreeks | De productversie in versiegegevens (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis. |
| _IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable opname niet wordt false gefactureerd voor uw Azure-account |
| LogonId | long | Id voor een aanmeldingssessie. Deze id is alleen uniek op dezelfde computer tussen het opnieuw opstarten. |
| MachineGroup | tekenreeks | Computergroep van de machine. Deze groep wordt gebruikt door op rollen gebaseerd toegangsbeheer om toegang tot de computer te bepalen. |
| MD5 | tekenreeks | MD5-hash van het bestand waarop de vastgelegde actie is toegepast. |
| ProcessCommandLine | tekenreeks | Opdrachtregel die wordt gebruikt om het nieuwe proces te maken. |
| ProcessCreationTime | datum/tijd | Datum en tijd waarop het proces is gemaakt. |
| ProcessId | long | Proces-id (PID) van het zojuist gemaakte proces. |
| ProcessIntegrityLevel | tekenreeks | Integriteitsniveau van het zojuist gemaakte proces. Windows wijst integriteitsniveaus toe aan processen op basis van bepaalde kenmerken, bijvoorbeeld als ze zijn gestart vanaf een gedownload internet. Deze integriteitsniveaus zijn van invloed op machtigingen voor resources. |
| ProcessTokenElevation | tekenreeks | Tokentype dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het zojuist gemaakte proces. |
| ProcessVersionInfoCompanyName | tekenreeks | Bedrijfsnaam uit de versiegegevens van het zojuist gemaakte proces. |
| ProcessVersionInfoFileDescription | tekenreeks | Beschrijving van de versie-informatie van het zojuist gemaakte proces. |
| ProcessVersionInfoInternalFileName | tekenreeks | Interne bestandsnaam uit de versiegegevens van het zojuist gemaakte proces. |
| ProcessVersionInfoOriginalFileName | tekenreeks | Oorspronkelijke bestandsnaam uit de versiegegevens van het zojuist gemaakte proces. |
| ProcessVersionInfoProductName | tekenreeks | Productnaam uit de versiegegevens van het zojuist gemaakte proces. |
| ProcessVersionInfoProductVersion | tekenreeks | Productversie van de versiegegevens van het zojuist gemaakte proces. |
| ReportId | long | Gebeurtenis-id op basis van een herhalend teller. Als u unieke gebeurtenissen wilt identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen ComputerName en EventTime. |
| SHA1 | tekenreeks | SHA-1-hash van het bestand waarop de vastgelegde actie is toegepast. |
| SHA256 | tekenreeks | SHA-256 van het bestand waarop de vastgelegde actie is toegepast. |
| SourceSystem | tekenreeks | Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
| TimeGenerated | datum/tijd | De datum en tijd waarop de gebeurtenis is vastgelegd door de MDE-agent op het eindpunt. |
| Type | tekenreeks | De naam van de tabel |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor