DeviceProcessEvents
Microsoft Defender för händelsetabellen för slutpunkter (MDE). Den här tabellen innehåller information om processskapande och relaterade händelser på slutpunkten.
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | - |
Kategorier | Säkerhet |
Lösningar | SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | - |
Kolumner
Kolumn | Typ | Description |
---|---|---|
AccountDomain | sträng | Domän för kontot. |
AccountName | sträng | Användarkontots namn. |
AccountObjectId | sträng | Unik identifierare för kontot i Azure AD. |
AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
AccountUpn | sträng | Användarens huvudnamn (UPN) för kontot. |
ActionType | sträng | Typ av aktivitet som utlöste händelsen. |
AdditionalFields | dynamisk | Ytterligare information om entiteten eller händelsen. |
AppGuardContainerId | sträng | Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet. |
_BilledSize | real | Poststorleken i byte |
DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
DeviceName | sträng | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
Filnamn | sträng | Namnet på filen som den inspelade åtgärden tillämpades på. |
Filstorlek | long | Filens storlek i byte. |
FolderPath | sträng | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
InitieraProcessAccountDomain | sträng | Domän för det konto som körde processen som var ansvarig för händelsen. |
InitieraProcessAccountName | sträng | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
InitieraProcessAccountObjectId | sträng | Azure AD objekt-ID för användarkontot som körde processen som ansvarar för händelsen. |
InitieraProcessAccountSid | sträng | Säkerhetsidentifierare (SID) för kontot som körde processen som ansvarar för händelsen. |
InitieraProcessAccountUpn | sträng | Användarens huvudnamn (UPN) för kontot som körde processen som ansvarar för händelsen. |
InitieraProcessCommandLine | sträng | Kommandorad som används för att köra processen som initierade händelsen. |
InitieraProcessCreationTime | datetime | Datum och tid då processen som initierade händelsen startades. |
InitieraProcessFileName | sträng | Namnet på den process som initierade händelsen. |
InitieraProcessFileSize | long | Storleken på filen (byte) som körde processen som var ansvarig för händelsen. |
InitieraProcessFolderPath | sträng | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
InitieraProcessId | long | Process-ID (PID) för processen som initierade händelsen. |
InitieraProcessIntegrityLevel | sträng | Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser.. |
InitieraProcessLogonId | long | Identifierare för en inloggningssession för processen som initierade händelsen. Den här identifieraren är unik på samma dator endast mellan omstarter.. |
InitieraProcessMD5 | sträng | MD5-hash för processen (bildfilen) som initierade händelsen. |
InitieraProcessParentCreationTime | datetime | Datum och tid då den överordnade processen som ansvarar för händelsen startades. |
InitieraProcessParentFileName | sträng | Namnet på den överordnade processen som skapade processen som ansvarar för händelsen. |
InitieraProcessParentId | long | Process-ID (PID) för den överordnade processen som skapade processen som ansvarar för händelsen. |
InitieraProcessSHA1 | sträng | SHA-1-hash för processen (bildfilen) som initierade händelsen. |
InitieraProcessSHA256 | sträng | SHA-256-hash för processen (bildfilen) som initierade händelsen. I vissa fall kanske den här kolumnen inte fylls i – använd kolumnen InitieraProcessSHA1 i stället. |
InitieraProcessSignatureStatus | sträng | Information om signaturstatusen för processen (bildfilen) som initierade händelsen. |
InitieraProcessSignerType | sträng | Typ av filsignerare för den process (bildfil) som initierade händelsen. |
InitieraProcessTokenElevation | sträng | Tokentyp som anger förekomsten eller frånvaron av UAC(User Access Control) behörighetshöjning som tillämpas på den process som initierade händelsen. |
InitieraProcessVersionInfoCompanyName | sträng | Företagsnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
InitieraProcessVersionInfoFileDescription | sträng | Beskrivningen i versionsinformationen (bildfilen) som ansvarar för händelsen. |
InitieraProcessVersionInfoInternalFileName | sträng | Det interna filnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
InitieraProcessVersionInfoOriginalFileName | sträng | Det ursprungliga filnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
InitieraProcessVersionInfoProductName | sträng | Produktnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
InitieraProcessVersionInfoProductVersion | sträng | Den produktversion i versionsinformation (bildfil) som ansvarar för händelsen. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
Inloggnings-ID | long | Identifierare för en inloggningssession. Den här identifieraren är unik på samma dator endast mellan omstarter. |
MachineGroup | sträng | Datorns datorgrupp. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
MD5 | sträng | MD5-hash för filen som den registrerade åtgärden tillämpades på. |
ProcessCommandLine | sträng | Kommandorad som används för att skapa den nya processen. |
ProcessCreationTime | datetime | Datum och tid då processen skapades. |
Processid | long | Process-ID (PID) för den nya processen. |
ProcessIntegrityLevel | sträng | Integritetsnivå för den nya processen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från ett nedladdat Internet. Dessa integritetsnivåer påverkar behörigheter till resurser.. |
ProcessTokenElevation | sträng | Tokentyp som anger förekomsten eller frånvaron av behörighetshöjning för användare Access Control (UAC) som tillämpas på den nyligen skapade processen. |
ProcessVersionInfoCompanyName | sträng | Företagsnamn från versionsinformationen för den nyligen skapade processen. |
ProcessVersionInfoFileDescription | sträng | Beskrivning från versionsinformationen för den nyligen skapade processen. |
ProcessVersionInfoInternalFileName | sträng | Internt filnamn från versionsinformationen för den nyligen skapade processen. |
ProcessVersionInfoOriginalFileName | sträng | Ursprungligt filnamn från versionsinformationen för den nyligen skapade processen. |
ProcessVersionInfoProductName | sträng | Produktnamn från versionsinformationen för den nyligen skapade processen. |
ProcessVersionInfoProductVersion | sträng | Produktversion från versionsinformationen för den nyligen skapade processen. |
ReportId | long | Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna ComputerName och EventTime. |
SHA1 | sträng | SHA-1-hash för filen som den registrerade åtgärden tillämpades på. |
SHA256 | sträng | SHA-256 av filen som den registrerade åtgärden tillämpades på. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
TenantId | sträng | Log Analytics-arbetsytans ID |
TimeGenerated | datetime | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
Typ | sträng | Namnet på tabellen |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för