DeviceProcessEvents
Microsoft Defender para a tabela de eventos de processos de dispositivos de Pontos Finais (MDE). Esta tabela contém informações sobre a criação de processos e eventos relacionados no ponto final.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | - |
Categorias | Segurança |
Soluções | SecurityInsights |
Registo básico | No |
Transformação do tempo de ingestão | Yes |
Consultas de Exemplo | - |
Colunas
Coluna | Tipo | Description |
---|---|---|
AccountDomain | string | Domínio da conta. |
AccountName | string | Nome de utilizador da conta. |
AccountObjectId | string | Identificador exclusivo da conta no Azure AD. |
AccountSid | string | Identificador de Segurança (SID) da conta. |
AccountUpn | string | Nome principal de utilizador (UPN) da conta. |
ActionType | string | Tipo de atividade que acionou o evento. |
Campos Adicionais | dynamic | Informações adicionais sobre a entidade ou evento. |
AppGuardContainerId | string | Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser. |
_BilledSize | real | O tamanho do registo em bytes |
DeviceId | string | Identificador exclusivo do dispositivo no serviço. |
DeviceName | string | Nome de domínio completamente qualificado (FQDN) do dispositivo. |
NomedoFicheiro | string | Nome do ficheiro ao qual a ação gravada foi aplicada. |
FileSize | long | Tamanho do ficheiro em bytes. |
FolderPath | string | Pasta que contém o ficheiro ao qual a ação gravada foi aplicada. |
InitiatingProcessAccountDomain | string | Domínio da conta que executou o processo responsável pelo evento. |
InitiatingProcessAccountName | string | Nome de utilizador da conta que executou o processo responsável pelo evento. |
InitiatingProcessAccountObjectId | string | Azure AD ID do objeto da conta de utilizador que executou o processo responsável pelo evento. |
InitiatingProcessAccountSid | string | Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento. |
InitiatingProcessAccountUpn | string | Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento. |
InitiatingProcessCommandLine | string | Linha de comandos utilizada para executar o processo que iniciou o evento. |
InitiatingProcessCreationTime | datetime | Data e hora em que o processo que iniciou o evento foi iniciado. |
InitiatingProcessFileName | string | Nome do processo que iniciou o evento. |
IniciarProcessFileSize | long | O tamanho do ficheiro (bytes) que executou o processo responsável pelo evento. |
InitiatingProcessFolderPath | string | Pasta que contém o processo (ficheiro de imagem) que iniciou o evento. |
InitiatingProcessId (IniciarProcessId) | long | ID do Processo (PID) do processo que iniciou o evento. |
InitiatingProcessIntegrityLevel | string | Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões para recursos.. |
InitiatingProcessLogonId | long | Identificador para uma sessão de início de sessão do processo que iniciou o evento. Este identificador é exclusivo no mesmo computador apenas entre reinícios.. |
IniciarProcessMD5 | string | Hash MD5 do processo (ficheiro de imagem) que iniciou o evento. |
InitiatingProcessParentCreationTime | datetime | Data e hora em que o principal do processo responsável pelo evento foi iniciado. |
InitiatingProcessParentFileName | string | Nome do processo principal que gerou o processo responsável pelo evento. |
InitiatingProcessParentId | long | ID do Processo (PID) do processo principal que gerou o processo responsável pelo evento. |
InitiatingProcessSHA1 | string | Hash SHA-1 do processo (ficheiro de imagem) que iniciou o evento. |
IniciarProcessSHA256 | string | Hash SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Em alguns casos, esta coluna pode não ser preenchida . Em alternativa, utilize a coluna InitiatingProcessSHA1. |
InitiatingProcessSignatureStatus | string | Informações sobre o estado da assinatura do processo (ficheiro de imagem) que iniciou o evento. |
InitiatingProcessSignerType | string | Tipo de signatário de ficheiros do processo (ficheiro de imagem) que iniciou o evento. |
InitiatingProcessTokenElevation (IniciarProcessTokenElevation) | string | Tipo de token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso de Utilizador (UAC) aplicada ao processo que iniciou o evento. |
InitiatingProcessVersionInfoCompanyName | string | O nome da empresa nas informações de versão (ficheiro de imagem) responsáveis pelo evento. |
InitiatingProcessVersionInfoFileDescription | string | A descrição nas informações da versão (ficheiro de imagem) responsável pelo evento. |
InitiatingProcessVersionInfoInternalFileName | string | O nome de ficheiro interno nas informações de versão (ficheiro de imagem) responsáveis pelo evento. |
InitiatingProcessVersionInfoOriginalFileName | string | O nome de ficheiro original nas informações de versão (ficheiro de imagem) responsáveis pelo evento. |
InitiatingProcessVersionInfoProductName | string | O nome do produto nas informações de versão (ficheiro de imagem) responsáveis pelo evento. |
InitiatingProcessVersionInfoProductVersion | string | A versão do produto nas informações da versão (ficheiro de imagem) responsável pelo evento. |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
LogonId | long | Identificador para uma sessão de início de sessão. Este identificador é exclusivo no mesmo computador apenas entre reinícios. |
MachineGroup | string | Grupo de máquinas do computador. Este grupo é utilizado pelo controlo de acesso baseado em funções para determinar o acesso ao computador. |
MD5 | string | Hash MD5 do ficheiro no qual foi aplicada a ação registada. |
ProcessCommandLine | string | Linha de comandos utilizada para criar o novo processo. |
ProcessCreationTime | datetime | Data e hora em que o processo foi criado. |
ProcessId | long | ID do Processo (PID) do processo criado recentemente. |
Integridade do ProcessoLevel | string | Nível de integridade do processo recentemente criado. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma internet transferida. Estes níveis de integridade influenciam as permissões para recursos.. |
ProcessTokenElevation | string | Tipo de token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso do Utilizador (UAC) aplicada ao processo recentemente criado. |
ProcessVersionInfoCompanyName | string | Nome da empresa a partir das informações de versão do processo recentemente criado. |
ProcessVersionInfoFileDescription | string | Descrição das informações de versão do processo recentemente criado. |
ProcessVersionInfoInternalFileName | string | Nome de ficheiro interno a partir das informações de versão do processo recentemente criado. |
ProcessVersionInfoOriginalFileName | string | Nome de ficheiro original a partir das informações de versão do processo recentemente criado. |
ProcessVersionInfoProductName | string | Nome do produto a partir das informações de versão do processo recentemente criado. |
ProcessVersionInfoProductVersion | string | Versão do produto a partir das informações de versão do processo recentemente criado. |
ReportId | long | Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas ComputerName e EventTime. |
SHA1 | string | Hash SHA-1 do ficheiro no qual foi aplicada a ação registada. |
SHA256 | string | SHA-256 do ficheiro ao qual a ação gravada foi aplicada. |
SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
TenantId | string | O ID da área de trabalho do Log Analytics |
TimeGenerated | datetime | Data e hora em que o evento foi registado pelo agente MDE no ponto final. |
Tipo | string | O nome da tabela |
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários