DeviceProcessEvents
Gilt für:
- Microsoft Defender XDR
- Microsoft Defender für Endpunkt
Die DeviceProcessEvents Tabelle im Schema der erweiterten Suche enthält Informationen zur Prozesserstellung und zugehörige Ereignisse. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Tipp
Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
DeviceId |
string |
Eindeutiger Bezeichner für das Gerät im Dienst |
DeviceName |
string |
Vollqualifizierter Domänenname (FQDN) des Geräts |
ActionType |
string |
Typ der Aktivität, die das Ereignis ausgelöst hat. Ausführliche Informationen finden Sie in der Schemareferenz im Portal . |
FileName |
string |
Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
FolderPath |
string |
Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
SHA1 |
string |
SHA-1 der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
SHA256 |
string |
SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. Dieses Feld wird in der Regel nicht ausgefüllt – Verwenden Sie die SHA1-Spalte, wenn verfügbar. |
MD5 |
string |
MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
FileSize |
long |
Größe der Datei in Bytes |
ProcessVersionInfoCompanyName |
string |
Firmenname aus den Versionsinformationen des neu erstellten Prozesses |
ProcessVersionInfoProductName |
string |
Produktname aus den Versionsinformationen des neu erstellten Prozesses |
ProcessVersionInfoProductVersion |
string |
Produktversion aus den Versionsinformationen des neu erstellten Prozesses |
ProcessVersionInfoInternalFileName |
string |
Interner Dateiname aus den Versionsinformationen des neu erstellten Prozesses |
ProcessVersionInfoOriginalFileName |
string |
Ursprünglicher Dateiname aus den Versionsinformationen des neu erstellten Prozesses |
ProcessVersionInfoFileDescription |
string |
Beschreibung aus den Versionsinformationen des neu erstellten Prozesses |
ProcessId |
long |
Prozess-ID (PID) des neu erstellten Prozesses |
ProcessCommandLine |
string |
Zum Erstellen des neuen Prozesses verwendete Befehlszeile |
ProcessIntegrityLevel |
string |
Integritätsebene des neu erstellten Prozesses. Windows weist Prozessen Integritätsebenen basierend auf bestimmten Merkmalen zu, z. B. wenn sie aus einem heruntergeladenen Internet gestartet wurden. Diese Integritätsebenen wirken sich auf Berechtigungen für Ressourcen aus. |
ProcessTokenElevation |
string |
Gibt den Typ der Tokenerweiterung an, die auf den neu erstellten Prozess angewendet wird. Mögliche Werte: TokenElevationTypeLimited (eingeschränkt), TokenElevationTypeDefault (Standard) und TokenElevationTypeFull (mit erhöhten Rechten) |
ProcessCreationTime |
datetime |
Datum und Uhrzeit der Prozesserstellung |
AccountDomain |
string |
Domäne des Kontos |
AccountName |
string |
Benutzername des Kontos; Wenn das Gerät in Microsoft Entra ID registriert ist, wird stattdessen möglicherweise der Entra-ID-Benutzername des Kontos angezeigt. |
AccountSid |
string |
Sicherheits-ID (SID) des Kontos |
AccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos; Wenn das Gerät in Microsoft Entra ID registriert ist, wird stattdessen möglicherweise der Entra-ID-UPN des Kontos angezeigt. |
AccountObjectId |
string |
Eindeutiger Bezeichner für das Konto in Microsoft Entra ID |
LogonId |
long |
Bezeichner für eine Anmeldesitzung. Dieser Bezeichner ist nur zwischen Neustarts auf demselben Gerät eindeutig. |
InitiatingProcessAccountDomain |
string |
Domäne des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat |
InitiatingProcessAccountName |
string |
Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat; Wenn das Gerät in Microsoft Entra ID registriert ist, wird stattdessen möglicherweise der Entra-ID-Benutzername des Kontos angezeigt, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
InitiatingProcessAccountSid |
string |
Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat |
InitiatingProcessAccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat; Wenn das Gerät in Microsoft Entra ID registriert ist, wird stattdessen möglicherweise der Entra-ID-UPN des Kontos angezeigt, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat |
InitiatingProcessLogonId |
long |
Bezeichner für eine Anmeldesitzung des Prozesses, der das Ereignis initiiert hat. Dieser Bezeichner ist nur zwischen Neustarts auf demselben Gerät eindeutig. |
InitiatingProcessIntegrityLevel |
string |
Integritätsebene des Prozesses, der das Ereignis initiiert hat. Windows weist Prozessen Integritätsebenen basierend auf bestimmten Merkmalen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsebenen wirken sich auf Berechtigungen für Ressourcen aus. |
InitiatingProcessTokenElevation |
string |
Tokentyp, der angibt, dass auf den Prozess angewendet, der das Ereignis initiiert hat, das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (User Access Control, UAC) |
InitiatingProcessSHA1 |
string |
SHA-1-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat |
InitiatingProcessSHA256 |
string |
SHA-256 des Prozesses (Bilddatei), der das Ereignis initiiert hat. Dieses Feld wird in der Regel nicht ausgefüllt – Verwenden Sie die SHA1-Spalte, wenn verfügbar. |
InitiatingProcessMD5 |
string |
MD5-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat |
InitiatingProcessFileName |
string |
Name des Prozesses, der das Ereignis initiiert hat |
InitiatingProcessFileSize |
long |
Größe der Datei, die den für das Ereignis verantwortlichen Prozess ausgeführt hat |
InitiatingProcessVersionInfoCompanyName |
string |
Firmenname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist |
InitiatingProcessVersionInfoProductName |
string |
Produktname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversion aus den Versionsinformationen des Prozesses (Imagedatei), die für das Ereignis verantwortlich ist |
InitiatingProcessVersionInfoInternalFileName |
string |
Interner Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist |
InitiatingProcessVersionInfoOriginalFileName |
string |
Ursprünglicher Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist |
InitiatingProcessVersionInfoFileDescription |
string |
Beschreibung aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist |
InitiatingProcessId |
long |
Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat |
InitiatingProcessCommandLine |
string |
Befehlszeile, die zum Ausführen des Prozesses verwendet wird, der das Ereignis initiiert hat |
InitiatingProcessCreationTime |
datetime |
Datum und Uhrzeit des Beginns des Prozesses, der das Ereignis initiiert hat |
InitiatingProcessFolderPath |
string |
Ordner, der den Prozess (Bilddatei) enthält, der das Ereignis initiiert hat |
InitiatingProcessParentId |
long |
Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat |
InitiatingProcessParentFileName |
string |
Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat |
InitiatingProcessParentCreationTime |
datetime |
Datum und Uhrzeit des Startdatums des übergeordneten Prozesses, der für das Ereignis verantwortlich ist |
InitiatingProcessSignerType |
string |
Typ des Datei signierers des Prozesses (Bilddatei), der das Ereignis initiiert hat |
InitiatingProcessSignatureStatus |
string |
Informationen zur Signatur status des Prozesses (Bilddatei), der das Ereignis initiiert hat |
ReportId |
long |
Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden. |
AppGuardContainerId |
string |
Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird |
AdditionalFields |
string |
Zusätzliche Informationen zum Ereignis im JSON-Arrayformat |
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für