DeviceImageLoadEvents
Poznámka
Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotovat Microsoft 365 Defender.
Platí pro:
- Microsoft 365 Defender
- Microsoft Defender for Endpoint
Tabulka DeviceImageLoadEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o událostech načítání knihovny DLL. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Tip
Podrobné informace o typech událostí (ActionTypehodnotách) podporovaných tabulkou najdete v referenčních informacích o předdefinovaných schématech, které jsou k dispozici v Microsoft 365 Defender.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
DeviceId |
string |
Jedinečný identifikátor počítače ve službě |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) počítače |
ActionType |
string |
Typ aktivity, která aktivovala událost. Podrobnosti najdete v referenčních informacích o schématu na portálu . |
FileName |
string |
Název souboru, na který se zaznamenaná akce použila |
FolderPath |
string |
Složka obsahující soubor, u kterého byla zaznamenána akce použita |
SHA1 |
string |
SHA-1 souboru, u kterého byla zaznamenaná akce použita |
SHA256 |
string |
SHA-256 souboru, na který byla zaznamenaná akce použita. Toto pole se obvykle nevyplní – pokud je k dispozici, použijte sloupec SHA1. |
MD5 |
string |
Hodnota hash MD5 souboru, u kterého byla zaznamenaná akce použita |
FileSize |
long |
Velikost souboru v bajtech |
InitiatingProcessAccountDomain |
string |
Doména účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountName |
string |
Uživatelské jméno účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountSid |
string |
Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountUpn |
string |
Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountObjectId |
string |
Azure AD ID objektu uživatelského účtu, který spustil proces zodpovědný za událost. |
InitiatingProcessIntegrityLevel |
string |
Úroveň integrity procesu, který událost inicioval. Systém Windows přiřazuje procesům úrovně integrity na základě určitých charakteristik, například pokud byly spuštěny z internetu ke stažení. Tyto úrovně integrity ovlivňují oprávnění k prostředkům. |
InitiatingProcessTokenElevation |
string |
Typ tokenu označující přítomnost nebo nepřítomnost zvýšení oprávnění user Access Control (UAC) použitého u procesu, který událost inicioval |
InitiatingProcessSHA1 |
string |
SHA-1 procesu (souboru obrázku), který událost inicioval |
InitiatingProcessSHA256 |
string |
SHA-256 procesu (souboru obrázku), který událost inicioval. Toto pole se obvykle nevyplní – pokud je k dispozici, použijte sloupec SHA1. |
InitiatingProcessMD5 |
string |
Hodnota hash MD5 procesu (souboru obrázku), který událost inicioval |
InitiatingProcessFileName |
string |
Název procesu, který událost inicioval |
InitiatingProcessFileSize |
long |
Velikost souboru, který spustil proces zodpovědný za událost |
InitiatingProcessVersionInfoCompanyName |
string |
Název společnosti z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoProductName |
string |
Název produktu z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoProductVersion |
string |
Verze produktu z informací o verzi procesu (soubor obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoInternalFileName |
string |
Název interního souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoOriginalFileName |
string |
Původní název souboru z informací o verzi procesu (soubor obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoFileDescription |
string |
Popis z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessId |
int |
ID procesu (PID) procesu, který událost inicioval |
InitiatingProcessCommandLine |
string |
Příkazový řádek použitý ke spuštění procesu, který událost inicioval |
InitiatingProcessCreationTime |
datetime |
Datum a čas spuštění procesu, který událost inicioval |
InitiatingProcessFolderPath |
string |
Složka obsahující proces (soubor obrázku), který událost inicioval |
InitiatingProcessParentId |
int |
ID procesu (PID) nadřazeného procesu, ze kterého vznikl proces zodpovědný za událost |
InitiatingProcessParentFileName |
string |
Název nadřazeného procesu, ze kterého vznikl proces zodpovědný za událost |
InitiatingProcessParentCreationTime |
datetime |
Datum a čas spuštění nadřazeného procesu zodpovědného za událost |
ReportId |
long |
Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí je nutné tento sloupec použít ve spojení se sloupci DeviceName a Timestamp. |
AppGuardContainerId |
string |
Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivity prohlížeče |