DeviceProcessEvents

Nota

Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como pode avaliar e pilotar a Microsoft 365 Defender.

Aplica-se a:

  • Microsoft 365 Defender
  • Microsoft Defender para Endpoint

A DeviceProcessEvents tabela no esquema de procura avançadas contém informações sobre a criação de processos e eventos relacionados. Utilize esta referência para construir consultas que devolvam informações desta tabela.

Dica

Para obter informações detalhadas sobre os tipos de eventos (ActionType valores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Defender para Nuvem.

Para obter informações sobre outras tabelas no esquema de procura avançado, consulte a referência de procura avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
DeviceId string Identificador exclusivo do aparelho no serviço
DeviceName string Nome de domínio completamente qualificado (FQDN) do máquina
ActionType string Tipo de atividade que acionou o evento. Consulte a referência de esquema no portal para obter detalhes
FileName string Nome do ficheiro a que a ação gravada foi aplicada
FolderPath string Pasta que contém o ficheiro a que a ação gravada foi aplicada
SHA1 string SHA-1 do ficheiro a que a ação gravada foi aplicada
SHA256 string SHA-256 do ficheiro a que a ação gravada foi aplicada. Normalmente, este campo não é preenchido: utilize a coluna SHA1 quando disponível.
MD5 string Hash MD5 do ficheiro a que a ação gravada foi aplicada
FileSize long Tamanho do ficheiro em bytes
ProcessVersionInfoCompanyName string Nome da empresa a partir das informações da versão do processo criado
ProcessVersionInfoProductName string Nome do produto a partir das informações da versão do processo criado recém-criado
ProcessVersionInfoProductVersion string Versão do produto a partir das informações da versão do processo criado recém-criado
ProcessVersionInfoInternalFileName string Nome de ficheiro interno das informações da versão do processo criado recém-criado
ProcessVersionInfoOriginalFileName string Nome de ficheiro original das informações da versão do processo criado recém-criado
ProcessVersionInfoFileDescription string Descrição das informações da versão do processo criado recém-criado
ProcessId int ID de Processo (PID) do processo criado recém-criado
ProcessCommandLine string Linha de comandos utilizada para criar o novo processo
ProcessIntegrityLevel string Nível de integridade do processo criado recém-criado. Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência de Internet. Estes níveis de integridade influenciam permissões para recursos
ProcessTokenElevation string Indica o tipo de elevação de token aplicada ao processo criado recém-criado. Valores possíveis: TokenElevationTypeLimited (restrito), TokenElevationTypeDefault (padrão) e TokenElevationTypeFull (elevado)
ProcessCreationTime datetime Data e hora em que o processo foi criado
AccountDomain string Domínio da conta
AccountName string Nome de utilizador da conta
AccountSid string Identificador de Segurança (SID) da conta
AccountUpn string Nome principal de utilizador (UPN) da conta
AccountObjectId string Identificador exclusivo da conta no Azure AD
LogonId string Identificador para uma sessão de início de sessão. Este identificador é exclusivo no mesmo aparelho apenas entre reinícios
InitiatingProcessAccountDomain string Domínio da conta que analisou o processo responsável pelo evento
InitiatingProcessAccountName string Nome de utilizador da conta que realou o processo responsável pelo evento
InitiatingProcessAccountSid string Identificador de Segurança (SID) da conta que analisou o processo responsável pelo evento
InitiatingProcessAccountUpn string Nome principal de utilizador (UPN) da conta que realou o processo responsável pelo evento
InitiatingProcessAccountObjectId string ID de objeto do Azure AD da conta de utilizador que analisou o processo responsável pelo evento
InitiatingProcessLogonId string Identificador de uma sessão de início de sessão do processo que iniciou o evento. Este identificador é exclusivo na mesma máquina apenas entre reinícios.
InitiatingProcessIntegrityLevel string Nível de integridade do processo que iniciou o evento. Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam permissões para recursos
InitiatingProcessTokenElevation string Tipo de token que indica a presença ou ausência de elevação de privilégio de Controlo de Acesso de Utilizador (UAC) aplicada ao processo que iniciou o evento
InitiatingProcessSHA1 string SHA-1 do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessSHA256 string SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Normalmente, este campo não é preenchido: utilize a coluna SHA1 quando disponível.
InitiatingProcessMD5 string Hash MD5 do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessFileName string Nome do processo que iniciou o evento
InitiatingProcessFileSize long Tamanho do ficheiro que analisou o processo responsável pelo evento
InitiatingProcessVersionInfoCompanyName string Nome da empresa a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoProductName string Nome do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoProductVersion string Versão do produto a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoInternalFileName string Nome de ficheiro interno das informações de versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoOriginalFileName string Nome de ficheiro original das informações de versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoFileDescription string Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessId int ID de Processo (PID) do processo que iniciou o evento
InitiatingProcessCommandLine string Linha de comandos utilizada para executar o processo que iniciou o evento
InitiatingProcessCreationTime datetime Data e hora em que o processo que iniciou o evento foi iniciado
InitiatingProcessFolderPath string Pasta que contém o processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessParentId int ID de Processo (PID) do processo principal que gerou o processo responsável pelo evento
InitiatingProcessParentFileName string Nome do processo principal que gerou o processo responsável pelo evento
InitiatingProcessParentCreationTime datetime Data e hora em que o encarregado de educação do processo responsável pelo evento foi iniciado
InitiatingProcessSignerType string Tipo de signatário do ficheiro do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessSignatureStatus string Informações sobre o estado da assinatura do processo (ficheiro de imagem) que iniciou o evento
ReportId long Identificador de evento com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp
AppGuardContainerId string Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser
AdditionalFields string Informações adicionais sobre o evento no formato de matriz JSON