DeviceProcessEvents
ينطبق على:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceProcessEvents يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول إنشاء العملية والأحداث ذات الصلة. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
تلميح
للحصول على معلومات مفصلة حول أنواع الأحداث (ActionTypeالقيم) التي يدعمها جدول، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
DeviceId |
string |
معرف فريد للجهاز في الخدمة |
DeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث. راجع مرجع مخطط المدخل للحصول على التفاصيل. |
FileName |
string |
اسم الملف الذي تم تطبيق الإجراء المسجل عليه |
FolderPath |
string |
مجلد يحتوي على الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA1 |
string |
SHA-1 من الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA256 |
string |
SHA-256 من الملف الذي تم تطبيق الإجراء المسجل عليه. عادة ما لا يتم ملء هذا الحقل — استخدم عمود SHA1 عند توفره. |
MD5 |
string |
تجزئة MD5 للملف الذي تم تطبيق الإجراء المسجل عليه |
FileSize |
long |
حجم الملف بالبايت |
ProcessVersionInfoCompanyName |
string |
اسم الشركة من معلومات إصدار العملية التي تم إنشاؤها حديثا |
ProcessVersionInfoProductName |
string |
اسم المنتج من معلومات الإصدار للعملية التي تم إنشاؤها حديثا |
ProcessVersionInfoProductVersion |
string |
إصدار المنتج من معلومات الإصدار للعملية التي تم إنشاؤها حديثا |
ProcessVersionInfoInternalFileName |
string |
اسم الملف الداخلي من معلومات إصدار العملية التي تم إنشاؤها حديثا |
ProcessVersionInfoOriginalFileName |
string |
اسم الملف الأصلي من معلومات إصدار العملية التي تم إنشاؤها حديثا |
ProcessVersionInfoFileDescription |
string |
وصف من معلومات الإصدار للعملية التي تم إنشاؤها حديثا |
ProcessId |
long |
معرف العملية (PID) للعملية التي تم إنشاؤها حديثا |
ProcessCommandLine |
string |
سطر الأوامر المستخدم لإنشاء العملية الجديدة |
ProcessIntegrityLevel |
string |
مستوى تكامل العملية التي تم إنشاؤها حديثا. يعين Windows مستويات التكامل للعمليات استنادا إلى خصائص معينة، مثل ما إذا تم تشغيلها من الإنترنت الذي تم تنزيله. تؤثر مستويات التكامل هذه على أذونات الموارد. |
ProcessTokenElevation |
string |
يشير إلى نوع رفع الرمز المميز المطبق على العملية التي تم إنشاؤها حديثا. القيم المحتملة: TokenElevationTypeLimited (مقيد)، TokenElevationTypeDefault (قياسي)، و TokenElevationTypeFull (مرتفع) |
ProcessCreationTime |
datetime |
تاريخ ووقت إنشاء العملية |
AccountDomain |
string |
مجال الحساب |
AccountName |
string |
اسم المستخدم للحساب؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم مستخدم معرف Entra للحساب بدلا من ذلك |
AccountSid |
string |
معرف الأمان (SID) للحساب |
AccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم المستخدم الأساسي لمعرف Entra للحساب بدلا من ذلك |
AccountObjectId |
string |
معرف فريد للحساب في Microsoft Entra ID |
LogonId |
long |
معرف جلسة تسجيل الدخول. هذا المعرف فريد على نفس الجهاز فقط بين عمليات إعادة التشغيل. |
InitiatingProcessAccountDomain |
string |
مجال الحساب الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessAccountName |
string |
اسم المستخدم للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم مستخدم معرف Entra للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث بدلا من ذلك |
InitiatingProcessAccountSid |
string |
معرف الأمان (SID) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessAccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم المستخدم الأساسي لمعرف Entra للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث بدلا من ذلك |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra معرف الكائن لحساب المستخدم الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessLogonId |
long |
معرف جلسة تسجيل الدخول للعملية التي بدأت الحدث. هذا المعرف فريد على نفس الجهاز فقط بين عمليات إعادة التشغيل. |
InitiatingProcessIntegrityLevel |
string |
مستوى تكامل العملية التي بدأت الحدث. يعين Windows مستويات تكامل للعمليات استنادا إلى خصائص معينة، مثل ما إذا تم تشغيلها من تنزيل الإنترنت. تؤثر مستويات التكامل هذه على أذونات الموارد. |
InitiatingProcessTokenElevation |
string |
نوع الرمز المميز الذي يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية التي بدأت الحدث |
InitiatingProcessSHA1 |
string |
تجزئة SHA-1 للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessSHA256 |
string |
SHA-256 للعملية (ملف الصورة) التي بدأت الحدث. عادة ما لا يتم ملء هذا الحقل — استخدم عمود SHA1 عند توفره. |
InitiatingProcessMD5 |
string |
تجزئة MD5 للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessFileName |
string |
اسم ملف العملية الذي بدأ الحدث؛ إذا لم يكن متوفرا، فقد يظهر اسم العملية التي بدأت الحدث بدلا من ذلك |
InitiatingProcessFileSize |
long |
حجم الملف الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessVersionInfoCompanyName |
string |
اسم الشركة من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoProductName |
string |
اسم المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoProductVersion |
string |
إصدار المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoInternalFileName |
string |
اسم الملف الداخلي من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث |
InitiatingProcessVersionInfoOriginalFileName |
string |
اسم الملف الأصلي من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoFileDescription |
string |
وصف من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث |
InitiatingProcessId |
long |
معرف العملية (PID) للعملية التي بدأت الحدث |
InitiatingProcessCommandLine |
string |
سطر الأوامر المستخدم لتشغيل العملية التي بدأت الحدث |
InitiatingProcessCreationTime |
datetime |
تاريخ ووقت بدء العملية التي بدأت الحدث |
InitiatingProcessFolderPath |
string |
مجلد يحتوي على العملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessParentId |
long |
معرف العملية (PID) للعملية الأصل التي ولدت العملية المسؤولة عن الحدث |
InitiatingProcessParentFileName |
string |
اسم العملية الأصل التي ولدت العملية المسؤولة عن الحدث |
InitiatingProcessParentCreationTime |
datetime |
تاريخ ووقت بدء تشغيل أصل العملية المسؤولة عن الحدث |
InitiatingProcessSignerType |
string |
نوع الموقع على الملف للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessSignatureStatus |
string |
معلومات حول حالة توقيع العملية (ملف الصورة) التي بدأت الحدث |
ReportId |
long |
معرف الحدث استنادا إلى عداد مكرر. لتحديد الأحداث الفريدة، يجب استخدام هذا العمود بالاقتران مع عمودي DeviceName و Timestamp. |
AppGuardContainerId |
string |
معرف الحاوية الظاهرية المستخدمة من قبل حماية التطبيقات لعزل نشاط المستعرض |
AdditionalFields |
string |
معلومات إضافية حول الحدث بتنسيق صفيف JSON |
InitiatingProcessSessionId |
long |
معرف جلسة Windows لعملية البدء |
IsInitiatingProcessRemoteSession |
bool |
يشير إلى ما إذا كان قد تم تشغيل عملية البدء ضمن جلسة عمل بروتوكول سطح المكتب البعيد (RDP) (صحيح) أو محليا (خطأ) |
InitiatingProcessRemoteSessionDeviceName |
string |
اسم الجهاز للجهاز البعيد الذي تم بدء جلسة RDP الخاصة بعملية البدء منه |
InitiatingProcessRemoteSessionIP |
string |
عنوان IP للجهاز البعيد الذي تم بدء جلسة RDP لعملية البدء منه |
CreatedProcessSessionId |
long |
معرف جلسة عمل Windows للعملية التي تم إنشاؤها |
IsProcessRemoteSession |
bool |
يشير إلى ما إذا كان قد تم تشغيل العملية التي تم إنشاؤها ضمن جلسة عمل بروتوكول سطح المكتب البعيد (RDP) (صحيح) أو محليا (خطأ) |
ProcessRemoteSessionDeviceName |
string |
اسم الجهاز للجهاز البعيد الذي تم بدء جلسة RDP للعملية التي تم إنشاؤها منها |
ProcessRemoteSessionIP |
string |
عنوان IP للجهاز البعيد الذي تم بدء جلسة RDP للعملية التي تم إنشاؤها منها |
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.