Eventos
Compilación de Intelligent Apps
17 mar, 21 - 21 mar, 10
Únase a la serie de reuniones para crear soluciones de inteligencia artificial escalables basadas en casos de uso reales con compañeros desarrolladores y expertos.
Regístrese ahoraEste explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Esta tabla forma parte de Microsoft Defender para punto de conexión con Azure Sentinel. Esta tabla contiene eventos de carga de DLL.
Attribute | Valor |
---|---|
Tipos de recursos | - |
Categorías | Seguridad |
Soluciones | Información de seguridad |
Registro básico | No |
Transformación en tiempo de ingesta | Sí |
Consultas de ejemplo | - |
Columna | Type | Descripción |
---|---|---|
ActionType | string | Tipo de actividad que desencadenó el evento. |
AppGuardContainerId | string | Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
_BilledSize | real | Tamaño del registro en bytes |
DeviceId | string | Identificador único del dispositivo en el servicio. |
DeviceName | string | Nombre de dominio completo (FQDN) del dispositivo. |
FileName | string | Dominio de la cuenta. |
FileSize | long | Tamaño del archivo en bytes. |
FolderPath | string | Dominio de la cuenta. |
InitiatingProcessAccountDomain | string | Dominio de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountName | string | Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountObjectId | string | Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountSid | string | Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountUpn | string | Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessCommandLine | string | Línea de comandos usada para ejecutar el proceso que inició el evento. |
InitiatingProcessCreationTime | datetime | Fecha y hora en que se inició el proceso que inició el evento. |
InitiatingProcessFileName | string | Nombre del proceso que inició el evento. |
InitiatingProcessFileSize | long | Tamaño en bytes del proceso (archivo de imagen) que inició el evento. |
InitiatingProcessFolderPath | string | Carpeta que contiene el proceso (archivo de imagen) que inició el evento. |
InitiatingProcessId | long | Id. de proceso (PID) del proceso que inició el evento. |
InitiatingProcessIntegrityLevel | string | Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos. |
IniciandoProcessMD5 | string | Hash MD5 del proceso (archivo de imagen) que inició el evento. |
InitiatingProcessParentCreationTime | datetime | Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
InitiatingProcessParentFileName | string | Nombre del proceso primario que generó el proceso responsable del evento. |
IniciandoProcessParentId | long | Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento. |
InitiatingProcessRemoteSessionDeviceName | string | Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciador. |
InitiatingProcessRemoteSessionIP | string | Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciado. |
InitiatingProcessSessionId | long | Identificador de sesión de Windows del proceso de inicio. |
IniciandoProcessSHA1 | string | Hash SHA-1 del proceso (archivo de imagen) que inició el evento. |
IniciandoProcessSHA256 | string | Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible. |
IniciandoProcessTokenElevation | string | Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que inició el evento. |
InitiatingProcessVersionInfoCompanyName | string | Nombre de la empresa a partir de la información de versión del proceso (archivo de imagen) responsable del evento. |
IniciandoProcessVersionInfoFileDescription | string | Descripción de la información de versión del proceso (archivo de imagen) responsable del evento. |
InitiatingProcessVersionInfoInternalFileName | string | Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento. |
InitiatingProcessVersionInfoOriginalFileName | string | Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento. |
InitiatingProcessVersionInfoProductName | string | Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento. |
IniciandoProcessVersionInfoProductVersion | string | Versión del producto de la información de versión del proceso (archivo de imagen) responsable del evento. |
_IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
IsInitiatingProcessRemoteSession | bool | Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false). |
MachineGroup | string | Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
MD5 | string | Hash MD5 del archivo al que se aplicó la acción grabada. |
ReportId | long | Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
SHA1 | string | Hash SHA-1 del archivo al que se aplicó la acción grabada. |
SHA256 | string | SHA-256 del archivo al que se aplicó la acción grabada. |
SourceSystem | string | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
TenantId | string | Id. del área de trabajo de Log Analytics |
TimeGenerated | datetime | Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
Tipo | string | Nombre de la tabla. |
Eventos
Compilación de Intelligent Apps
17 mar, 21 - 21 mar, 10
Únase a la serie de reuniones para crear soluciones de inteligencia artificial escalables basadas en casos de uso reales con compañeros desarrolladores y expertos.
Regístrese ahoraCursos
Módulo
Realización de investigaciones de dispositivos en Microsoft Defender para punto de conexión
Certificación
Microsoft Certified: Security Operations Analyst Associate - Certifications
Investigue, busque y mitigue amenazas mediante Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft 365 Defender.
Documentación
Referencia de registros de Azure Monitor: DeviceEvents - Azure Monitor
Referencia de la tabla DeviceEvents en los registros de Azure Monitor.
Referencia de registros de Azure Monitor: DeviceNetworkEvents - Azure Monitor
Referencia de la tabla DeviceNetworkEvents en los registros de Azure Monitor.
Referencia de registros de Azure Monitor: DeviceRegistryEvents - Azure Monitor
Referencia de la tabla DeviceRegistryEvents en los registros de Azure Monitor.