DeviceProcessEvents
Microsoft Defender för händelsetabellen för slutpunkter (MDE). Den här tabellen innehåller information om processskapande och relaterade händelser på slutpunkten.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AccountDomain | sträng | Domän för kontot. |
| AccountName | sträng | Användarkontots namn. |
| AccountObjectId | sträng | Unik identifierare för kontot i Azure AD. |
| AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn | sträng | Användarens huvudnamn (UPN) för kontot. |
| ActionType | sträng | Typ av aktivitet som utlöste händelsen. |
| AdditionalFields | dynamisk | Ytterligare information om entiteten eller händelsen. |
| AppGuardContainerId | sträng | Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet. |
| _BilledSize | real | Poststorleken i byte |
| DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
| DeviceName | sträng | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| Filnamn | sträng | Namnet på filen som den inspelade åtgärden tillämpades på. |
| Filstorlek | long | Filens storlek i byte. |
| FolderPath | sträng | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| InitieraProcessAccountDomain | sträng | Domän för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountName | sträng | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountObjectId | sträng | Azure AD objekt-ID för användarkontot som körde processen som ansvarar för händelsen. |
| InitieraProcessAccountSid | sträng | Säkerhetsidentifierare (SID) för kontot som körde processen som ansvarar för händelsen. |
| InitieraProcessAccountUpn | sträng | Användarens huvudnamn (UPN) för kontot som körde processen som ansvarar för händelsen. |
| InitieraProcessCommandLine | sträng | Kommandorad som används för att köra processen som initierade händelsen. |
| InitieraProcessCreationTime | datetime | Datum och tid då processen som initierade händelsen startades. |
| InitieraProcessFileName | sträng | Namnet på den process som initierade händelsen. |
| InitieraProcessFileSize | long | Storleken på filen (byte) som körde processen som var ansvarig för händelsen. |
| InitieraProcessFolderPath | sträng | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| InitieraProcessId | long | Process-ID (PID) för processen som initierade händelsen. |
| InitieraProcessIntegrityLevel | sträng | Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser.. |
| InitieraProcessLogonId | long | Identifierare för en inloggningssession för processen som initierade händelsen. Den här identifieraren är unik på samma dator endast mellan omstarter.. |
| InitieraProcessMD5 | sträng | MD5-hash för processen (bildfilen) som initierade händelsen. |
| InitieraProcessParentCreationTime | datetime | Datum och tid då den överordnade processen som ansvarar för händelsen startades. |
| InitieraProcessParentFileName | sträng | Namnet på den överordnade processen som skapade processen som ansvarar för händelsen. |
| InitieraProcessParentId | long | Process-ID (PID) för den överordnade processen som skapade processen som ansvarar för händelsen. |
| InitieraProcessSHA1 | sträng | SHA-1-hash för processen (bildfilen) som initierade händelsen. |
| InitieraProcessSHA256 | sträng | SHA-256-hash för processen (bildfilen) som initierade händelsen. I vissa fall kanske den här kolumnen inte fylls i – använd kolumnen InitieraProcessSHA1 i stället. |
| InitieraProcessSignatureStatus | sträng | Information om signaturstatusen för processen (bildfilen) som initierade händelsen. |
| InitieraProcessSignerType | sträng | Typ av filsignerare för den process (bildfil) som initierade händelsen. |
| InitieraProcessTokenElevation | sträng | Tokentyp som anger förekomsten eller frånvaron av UAC(User Access Control) behörighetshöjning som tillämpas på den process som initierade händelsen. |
| InitieraProcessVersionInfoCompanyName | sträng | Företagsnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoFileDescription | sträng | Beskrivningen i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoInternalFileName | sträng | Det interna filnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoOriginalFileName | sträng | Det ursprungliga filnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoProductName | sträng | Produktnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoProductVersion | sträng | Den produktversion i versionsinformation (bildfil) som ansvarar för händelsen. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| Inloggnings-ID | long | Identifierare för en inloggningssession. Den här identifieraren är unik på samma dator endast mellan omstarter. |
| MachineGroup | sträng | Datorns datorgrupp. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
| MD5 | sträng | MD5-hash för filen som den registrerade åtgärden tillämpades på. |
| ProcessCommandLine | sträng | Kommandorad som används för att skapa den nya processen. |
| ProcessCreationTime | datetime | Datum och tid då processen skapades. |
| Processid | long | Process-ID (PID) för den nya processen. |
| ProcessIntegrityLevel | sträng | Integritetsnivå för den nya processen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från ett nedladdat Internet. Dessa integritetsnivåer påverkar behörigheter till resurser.. |
| ProcessTokenElevation | sträng | Tokentyp som anger förekomsten eller frånvaron av behörighetshöjning för användare Access Control (UAC) som tillämpas på den nyligen skapade processen. |
| ProcessVersionInfoCompanyName | sträng | Företagsnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoFileDescription | sträng | Beskrivning från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoInternalFileName | sträng | Internt filnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoOriginalFileName | sträng | Ursprungligt filnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoProductName | sträng | Produktnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoProductVersion | sträng | Produktversion från versionsinformationen för den nyligen skapade processen. |
| ReportId | long | Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna ComputerName och EventTime. |
| SHA1 | sträng | SHA-1-hash för filen som den registrerade åtgärden tillämpades på. |
| SHA256 | sträng | SHA-256 av filen som den registrerade åtgärden tillämpades på. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för