DeviceProcessEvents
Microsoft Defender для таблицы событий процесса для конечных точек (MDE). Эта таблица содержит сведения о создании процесса и связанных событиях в конечной точке.
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | - |
Категории | Безопасность |
Решения | SecurityInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | - |
Столбцы
Столбец | Type | Описание |
---|---|---|
AccountDomain | строка | Домен учетной записи. |
AccountName | строка | Имя пользователя учетной записи. |
AccountObjectId | строка | Уникальный идентификатор учетной записи в Azure AD. |
AccountSid | строка | Идентификатор безопасности (SID) учетной записи. |
AccountUpn | строка | Имя участника-пользователя (UPN) учетной записи. |
Тип действия | строка | Тип действия, активировав это событие. |
AdditionalFields | Динамический | Дополнительные сведения о сущности или событии. |
AppGuardContainerId | строка | Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
_BilledSize | real | Размер записи в байтах |
DeviceId | строка | Уникальный идентификатор устройства в службе. |
DeviceName | строка | Полное доменное имя (FQDN) устройства. |
FileName | строка | Имя файла, к которому было применено записанное действие. |
FileSize | long | Размер файла в байтах. |
FolderPath | строка | Папка, содержащая файл, к которому было применено записанное действие. |
InitiatingProcessAccountDomain | строка | Домен учетной записи, которая запустила процесс, отвечающий за событие. |
InitiatingProcessAccountName | строка | Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие. |
InitiatingProcessAccountObjectId | строка | Azure AD идентификатор объекта учетной записи пользователя, которая запустила процесс, отвечающий за событие. |
InitiatingProcessAccountSid | строка | Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие. |
InitiatingProcessAccountUpn | строка | Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие. |
InitiatingProcessCommandLine | строка | Командная строка, используемая для запуска процесса, который инициировал событие. |
InitiatingProcessCreationTime | DATETIME | Дата и время запуска процесса, инициирующего событие. |
InitiatingProcessFileName | строка | Имя процесса, который инициировал событие. |
InitiatingProcessFileSize | long | Размер файла (байтов), выполняющего процесс, отвечающий за событие. |
InitiatingProcessFolderPath | строка | Папка, содержащая процесс (файл образа), который инициировал событие. |
InitiatingProcessId | long | Идентификатор процесса (PID) процесса, который инициировал событие. |
InitiatingProcessIntegrityLevel | строка | Уровень целостности процесса, который инициировал событие. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов. |
InitiatingProcessLogonId | long | Идентификатор сеанса входа в процесс, который инициировал событие. Этот идентификатор уникален на том же компьютере только между перезапусками. |
InitiatingProcessMD5 | строка | MD5-хэш процесса (файла образа), который инициировал событие. |
InitiatingProcessParentCreationTime | DATETIME | Дата и время запуска родительского процесса, ответственного за событие. |
InitiatingProcessParentFileName | строка | Имя родительского процесса, который породил процесс, ответственный за событие. |
InitiatingProcessParentId | long | Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие. |
InitiatingProcessSHA1 | строка | Хэш SHA-1 процесса (файла изображения), который инициировал событие. |
InitiatingProcessSHA256 | строка | Хэш SHA-256 процесса (файла изображения), который инициировал событие. В некоторых случаях этот столбец может не заполняться. Используйте вместо него столбец InitiatingProcessSHA1. |
InitiatingProcessSignatureStatus | строка | Сведения о состоянии подписи процесса (файла изображения), который инициировал событие. |
InitiatingProcessSignerType | строка | Тип файла, подписывающего процесс (файл изображения), который инициировал событие. |
InitiatingProcessTokenElevation | строка | Тип токена, указывающий на наличие или отсутствие повышения привилегий контроль доступа пользователя (UAC), примененного к процессу, который инициировал событие. |
InitiatingProcessVersionInfoCompanyName | строка | Название компании в сведениях о версии (файле образа), ответственное за событие. |
InitiatingProcessVersionInfoFileDescription | строка | Описание в сведениях о версии (файле образа), ответственное за событие. |
InitiatingProcessVersionInfoInternalFileName | строка | Имя внутреннего файла в сведениях о версии (файл образа), ответственное за событие. |
InitiatingProcessVersionInfoOriginalFileName | строка | Исходное имя файла в сведениях о версии (файл изображения), ответственное за событие. |
InitiatingProcessVersionInfoProductName | строка | Имя продукта в сведениях о версии (файле образа), ответственное за событие. |
InitiatingProcessVersionInfoProductVersion | строка | Версия продукта в сведениях о версии (файле образа), ответственных за событие. |
_IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
LogonId | long | Идентификатор сеанса входа. Этот идентификатор уникален на одном компьютере только между перезапусками. |
MachineGroup | строка | Группа компьютеров компьютера. Эта группа используется управлением доступом на основе ролей для определения доступа к компьютеру. |
MD5 | строка | Хэш MD5 файла, к которому было применено записанное действие. |
ProcessCommandLine | строка | Командная строка, используемая для создания нового процесса. |
ProcessCreationTime | DATETIME | Дата и время создания процесса. |
ProcessId | long | Идентификатор процесса (PID) созданного процесса. |
ProcessIntegrityLevel | строка | Уровень целостности вновь созданного процесса. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов. |
ProcessTokenElevation | строка | Тип маркера, указывающий на наличие или отсутствие повышения привилегий контроль доступа пользователей (UAC), примененных к только что созданному процессу. |
ProcessVersionInfoCompanyName | строка | Название компании из сведений о версии только что созданного процесса. |
ProcessVersionInfoFileDescription | строка | Описание из сведений о версии только что созданного процесса. |
ProcessVersionInfoInternalFileName | строка | Имя внутреннего файла из сведений о версии только что созданного процесса. |
ProcessVersionInfoOriginalFileName | строка | Исходное имя файла из сведений о версии только что созданного процесса. |
ProcessVersionInfoProductName | строка | Имя продукта из сведений о версии только что созданного процесса. |
ProcessVersionInfoProductVersion | строка | Версия продукта из сведений о версии только что созданного процесса. |
ReportId | long | Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
SHA1 | строка | Хэш SHA-1 файла, к которому было применено записанное действие. |
SHA256 | строка | SHA-256 файла, к которому было применено записанное действие. |
SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
TenantId | строка | Идентификатор рабочей области Log Analytics |
TimeGenerated | DATETIME | Дата и время записи события агентом MDE в конечной точке. |
Тип | строка | Имя таблицы. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по