Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Endpunkte (MDE)-Bildladeereignissetabelle für das Szenario für die benutzerdefinierte Auflistung. Diese Tabelle enthält DLL-Ladeereignisse auf dem Endpunkt für alle vom Kunden für die Sammlung explizit angeforderten Elemente.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | Protokollmanagement |
| Standardprotokoll | Yes |
| Transformation bei Ingestion | Nein |
| Beispielabfragen | - |
Spalten
| Kolumne | Typ | BESCHREIBUNG |
|---|---|---|
| Aktionstyp | Schnur | Typ der Aktivität, die das Ereignis ausgelöst hat. |
| AppGuardContainerId | Schnur | Bezeichner für den virtualisierten Container, der von Application Guard verwendet wird, um Browseraktivitäten zu isolieren. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| DeviceId | Schnur | Eindeutiger Bezeichner für das Gerät im Dienst. |
| Gerätename | Schnur | Vollqualifizierter Domänenname (FQDN) des Geräts. |
| Dateiname | Schnur | Domäne des Kontos. |
| Dateigröße | long | Größe der Datei in Byte. |
| FolderPath | Schnur | Domäne des Kontos. |
| InitiatingProcessAccountDomain | Schnur | Domäne des Kontos, das den für das Ereignis zuständigen Prozess ausgeführt hat. |
| InitiatingProcessAccountName | Schnur | Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessAccountObjectId | Schnur | Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiierung von ProcessAccountSid | Schnur | Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessAccountUpn | Schnur | Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessCommandLine | Schnur | Befehlszeile zum Ausführen des Prozesses, der das Ereignis initiiert hat. |
| Initiierung von ProcessCreationTime | Datum/Uhrzeit | Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| Name der initiierenden Prozessdatei | Schnur | Name des Prozesses, der das Ereignis initiiert hat. |
| Starten von ProcessFileSize | long | Größe in Byte des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessFolderPath | Schnur | Ordner mit dem Prozess (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessId | long | Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
| InitiatingProcessIntegrityLevel | Schnur | Integritätsebene des Prozesses, der das Ereignis initiiert hat. Windows weist Prozessen Auf der Grundlage bestimmter Merkmale Integritätsstufen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen wirken sich auf Berechtigungen für Ressourcen aus. |
| InitiatingProcessMD5 | Schnur | MD5-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessParentCreationTime | Datum/Uhrzeit | Datum und Uhrzeit, zu dem das übergeordnete Element des Prozesses, der für das Ereignis verantwortlich ist, gestartet wurde |
| InitiatingProcessParentFileName | Schnur | Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat. |
| Initiieren von ProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat. |
| InitiatingProcessRemoteSessionDeviceName | Schnur | Gerätename des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| Initiieren von ProcessRemoteSessionIP | Schnur | IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| InitiatingProcessSessionId | long | Windows-Sitzungs-ID des initiierenden Prozesses. |
| Starten von ProcessSHA1 | Schnur | SHA-1-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| Initiierungsprozess SHA256 | Schnur | SHA-256-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. Dieses Feld wird in der Regel nicht aufgefüllt – verwenden Sie die SHA1-Spalte, wenn verfügbar. |
| Initiieren von ProcessTokenElevation | Schnur | Tokentyp, der das Vorhandensein oder Fehlen einer Rechteerweiterung der Benutzerzugriffssteuerung (User Access Control, UAC) kennzeichnet, die auf den Prozess angewendet wird, der das Ereignis initiiert hat. |
| InitiatingProcessUniqueId | Schnur | Eindeutiger Bezeichner des initiierenden Prozesses; dies entspricht dem Prozessstartschlüssel auf Windows-Geräten. |
| InitiatingProcessVersionInfoCompanyName | Schnur | Firmenname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiierungsprozessVersionsinfoDateibeschreibung | Schnur | Beschreibung aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoInternalFileName | Schnur | Interner Dateiname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoOriginalFileName | Schnur | Der ursprüngliche Dateiname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiierungsprozessVersionsinformationenProduktname | Schnur | Produktname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoProductVersion | Schnur | Produktversion aus den Versionsinformationen des Prozesses (Imagedatei), der für das Event verantwortlich ist. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable den Wert false hat, wird die Erfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsInitiatingProcessRemoteSession | Boolesch | Gibt an, ob der Initiierenvorgang unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
| MaschinenGruppe | Schnur | Computergruppe des Computers Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| MD5 | Schnur | MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| ReportId | long | Ereignisbezeichner basierend auf einem fortlaufenden Zähler. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| RuleLastModificationTime | Datum/Uhrzeit | Datum und Uhrzeit der letzten Änderung der Regel, die das Ereignis erfasst hat. |
| Name der Regel | Schnur | Name der Regel, die das Ereignis erfasst hat |
| SHA1 | Schnur | SHA-1-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SHA256 | Schnur | SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SourceSystem | Schnur | Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Datum und Uhrzeit der Aufzeichnung des Ereignisses durch den MDE-Agent auf dem Endpunkt. |
| Typ | Schnur | Der Name der Tabelle. |