DeviceImageLoadEventsDeviceImageLoadEvents

Importante

O aperfeiçoado Centro de segurança do Microsoft 365 está agora disponível.The improved Microsoft 365 security center is now available. Esta nova experiência traz o Defender para Ponto de Extremidade, Defender para Office 365, Microsoft 365 Defender e muito mais para o Centro de segurança do Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Conheça as novidades.Learn what's new.

Aplica-se a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender para Ponto de ExtremidadeMicrosoft Defender for Endpoint

A DeviceImageLoadEvents tabela no esquema de busca avançada contém informações sobre eventos de carregamento de DLL.The DeviceImageLoadEvents table in the advanced hunting schema contains information about DLL loading events. Use essa referência para criar consultas que retornam informações dessa tabela.Use this reference to construct queries that return information from this table.

Dica

Para obter informações detalhadas sobre os tipos de eventos ( valores) suportados por uma tabela, use a referência de ActionType esquema interna disponível no centro de segurança.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

Nome da colunaColumn name Tipo de dadosData type DescriçãoDescription
Timestamp datetimedatetime A data e a hora em que o evento foi gravadoDate and time when the event was recorded
DeviceId cadeia de caracteresstring Identificador exclusivo da máquina no serviçoUnique identifier for the machine in the service
DeviceName cadeia de caracteresstring Nome de domínio totalmente qualificado (FQDN) da máquinaFully qualified domain name (FQDN) of the machine
ActionType cadeia de caracteresstring Tipo de atividade que disparou o evento.Type of activity that triggered the event. Consulte a referência de esquema no portal para obter detalhesSee the in-portal schema reference for details
FileName cadeia de caracteresstring Nome do arquivo ao qual a ação gravada foi aplicadaName of the file that the recorded action was applied to
FolderPath cadeia de caracteresstring Pasta que contém o arquivo ao que a ação gravada foi aplicadaFolder containing the file that the recorded action was applied to
SHA1 cadeia de caracteresstring SHA-1 do arquivo ao qual a ação gravada foi aplicadaSHA-1 of the file that the recorded action was applied to
SHA256 cadeia de caracteresstring SHA-256 do arquivo ao qual a ação gravada foi aplicada.SHA-256 of the file that the recorded action was applied to. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível.This field is usually not populated — use the SHA1 column when available.
MD5 stringstring Hash MD5 do arquivo ao que a ação gravada foi aplicadaMD5 hash of the file that the recorded action was applied to
FileSize longlong Tamanho do arquivo em bytesSize of the file in bytes
InitiatingProcessAccountDomain cadeia de caracteresstring Domínio da conta que correu o processo responsável pelo eventoDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName cadeia de caracteresstring Nome de usuário da conta que correu o processo responsável pelo eventoUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid cadeia de caracteresstring Identificador de Segurança (SID) da conta que correu o processo responsável pelo eventoSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessAccountUpn cadeia de caracteresstring Nome principal do usuário (UPN) da conta que correu o processo responsável pelo eventoUser principal name (UPN) of the account that ran the process responsible for the event
InitiatingProcessAccountObjectId cadeia de caracteresstring ID do objeto do Azure AD da conta de usuário que correu o processo responsável pelo eventoAzure AD object ID of the user account that ran the process responsible for the event
InitiatingProcessIntegrityLevel cadeia de caracteresstring Nível de integridade do processo que iniciou o evento.Integrity level of the process that initiated the event. Windows atribui níveis de integridade a processos com base em determinadas características, como se eles foram lançados de um download da Internet.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. Esses níveis de integridade influenciam permissões para recursosThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation cadeia de caracteresstring Tipo de token que indica a presença ou ausência da elevação de privilégio de Controle de Acesso para Usuário (UAC) aplicada ao processo que iniciou o eventoToken type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessSHA1 cadeia de caracteresstring SHA-1 do processo (arquivo de imagem) que iniciou o eventoSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 cadeia de caracteresstring SHA-256 do processo (arquivo de imagem) que iniciou o evento.SHA-256 of the process (image file) that initiated the event. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível.This field is usually not populated — use the SHA1 column when available.
InitiatingProcessMD5 stringstring Hash MD5 do processo (arquivo de imagem) que iniciou o eventoMD5 hash of the process (image file) that initiated the event
InitiatingProcessFileName cadeia de caracteresstring Nome do processo que iniciou o eventoName of the process that initiated the event
InitiatingProcessFileSize longlong Tamanho do arquivo que correu o processo responsável pelo eventoSize of the file that ran the process responsible for the event
InitiatingProcessVersionInfoCompanyName cadeia de caracteresstring Nome da empresa a partir das informações de versão do processo (arquivo de imagem) responsável pelo eventoCompany name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductName cadeia de caracteresstring Nome do produto das informações de versão do processo (arquivo de imagem) responsável pelo eventoProduct name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductVersion cadeia de caracteresstring Versão do produto das informações de versão do processo (arquivo de imagem) responsável pelo eventoProduct version from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoInternalFileName cadeia de caracteresstring Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo eventoInternal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoOriginalFileName cadeia de caracteresstring Nome do arquivo original das informações de versão do processo (arquivo de imagem) responsável pelo eventoOriginal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoFileDescription cadeia de caracteresstring Descrição das informações de versão do processo (arquivo de imagem) responsável pelo eventoDescription from the version information of the process (image file) responsible for the event
InitiatingProcessId intint ID do processo (PID) do processo que iniciou o eventoProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine cadeia de caracteresstring Linha de comando usada para executar o processo que iniciou o eventoCommand line used to run the process that initiated the event
InitiatingProcessCreationTime datetimedatetime Data e hora em que o processo que iniciou o evento foi iniciadoDate and time when the process that initiated the event was started
InitiatingProcessFolderPath cadeia de caracteresstring Pasta contendo o processo (arquivo de imagem) que iniciou o eventoFolder containing the process (image file) that initiated the event
InitiatingProcessParentId intint ID do processo (PID) do processo pai que gerou o processo responsável pelo eventoProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName cadeia de caracteresstring Nome do processo pai que gerou o processo responsável pelo eventoName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime datetimedatetime Data e hora em que o pai do processo responsável pelo evento foi iniciadoDate and time when the parent of the process responsible for the event was started
ReportId longlong Identificador de evento baseado em um contador de repetição.Event identifier based on a repeating counter. Para identificar eventos exclusivos, essa coluna deve ser usada em conjunto com as colunas DeviceName e TimestampTo identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns
AppGuardContainerId cadeia de caracteresstring Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegadorIdentifier for the virtualized container used by Application Guard to isolate browser activity