DeviceProcessEvents
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Kehittyneen DeviceProcessEventsmetsästysrakenteen taulukko sisältää tietoja prosessin luomisesta ja liittyvistä tapahtumista. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
DeviceId |
string |
Palvelun laitteen yksilöllinen tunniste |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittaus -kohdassa . |
FileName |
string |
Sen tiedoston nimi, jossa tallennettua toimintoa käytettiin |
FolderPath |
string |
Kansio, joka sisältää tiedoston, jossa tallennettua toimintoa käytettiin |
SHA1 |
string |
Sen tiedoston SHA-1, jossa tallennettua toimintoa sovellettiin |
SHA256 |
string |
Sen tiedoston SHA-256, jossa tallennettua toimintoa sovellettiin. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä. |
MD5 |
string |
Sen tiedoston MD5-hajautusarvo, johon tallennettu toiminto suoritettiin |
FileSize |
long |
Tiedoston koko tavuina |
ProcessVersionInfoCompanyName |
string |
Yrityksen nimi juuri luodun prosessin versiotiedoista |
ProcessVersionInfoProductName |
string |
Tuotteen nimi juuri luodun prosessin versiotiedoista |
ProcessVersionInfoProductVersion |
string |
Tuoteversio juuri luodun prosessin versiotiedoista |
ProcessVersionInfoInternalFileName |
string |
Sisäinen tiedostonimi juuri luodun prosessin versiotiedoista |
ProcessVersionInfoOriginalFileName |
string |
Alkuperäinen tiedostonimi juuri luodun prosessin versiotiedoista |
ProcessVersionInfoFileDescription |
string |
Kuvaus juuri luodun prosessin versiotiedoista |
ProcessId |
long |
Juuri luodun prosessin prosessitunnus (PID) |
ProcessCommandLine |
string |
Uuden prosessin luomiseen käytettävä komentorivi |
ProcessIntegrityLevel |
string |
Juuri luodun prosessin eheystaso. Windows määrittää prosesseille eheystasot tiettyjen ominaisuuksien perusteella, esimerkiksi silloin, kun ne käynnistettiin ladatystä Internetistä. Nämä eheystasot vaikuttavat resurssien käyttöoikeuksiin. |
ProcessTokenElevation |
string |
Ilmaisee juuri luodussa prosessissa käytetyn tunnuksen korotuksen tyypin. Mahdolliset arvot: TokenElevationTypeLimited (rajoitettu), TokenElevationTypeDefault (vakio) ja TokenElevationTypeFull (laajennetut) |
ProcessCreationTime |
datetime |
Prosessin luontipäivämäärä ja -kellonaika |
AccountDomain |
string |
Tilin toimialue |
AccountName |
string |
Tilin käyttäjänimi; jos laite on rekisteröity Microsoft Entra ID, tilin Entra-tunnuksen käyttäjänimi saatetaan sen sijaan näyttää |
AccountSid |
string |
Tilin suojaustunnus (SID) |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN). jos laite on rekisteröity Microsoft Entra ID, tilin Entra ID UPN voidaan näyttää sen sijaan |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
LogonId |
long |
Kirjautumisistunnon tunnus. Tämä tunnus on yksilöllinen samassa laitteessa vain uudelleenkäynnistysten välillä. |
InitiatingProcessAccountDomain |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin toimialue |
InitiatingProcessAccountName |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin käyttäjänimi. jos laite on rekisteröity Microsoft Entra ID, tapahtumasta vastuussa olevan tilin Entra ID -käyttäjänimi saatetaan näyttää sen sijaan |
InitiatingProcessAccountSid |
string |
Tapahtumasta vastuussa olevan tilin suojaustunnus (SID) |
InitiatingProcessAccountUpn |
string |
Tapahtumasta vastuussa olevan tilin täydellinen käyttäjätunnus (UPN). jos laite on rekisteröity Microsoft Entra ID, tapahtumasta vastuussa olevan tilin Entra ID UPN saatetaan näyttää sen sijaan |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra sen käyttäjätilin objektitunnuksen, joka suoritti tapahtumasta vastaavan prosessin |
InitiatingProcessLogonId |
long |
Tapahtuman aloittaneen prosessin kirjautumisistunnon tunnus. Tämä tunnus on yksilöllinen samassa laitteessa vain uudelleenkäynnistysten välillä. |
InitiatingProcessIntegrityLevel |
string |
Tapahtuman aloittaneen prosessin eheystaso. Windows määrittää prosesseille eheystasot tiettyjen ominaisuuksien perusteella, esimerkiksi jos ne käynnistettiin Internet-latauksesta. Nämä eheystasot vaikuttavat resurssien käyttöoikeuksiin. |
InitiatingProcessTokenElevation |
string |
Tunnustyyppi, joka ilmaisee tapahtuman aloittaneessa prosessissa käytetyn Käyttäjän Käyttöoikeuksien hallinta (UAC) -oikeuksien korotuksen olemassaolon tai puuttumisen |
InitiatingProcessSHA1 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-1-hajautusarvo |
InitiatingProcessSHA256 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-256. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä. |
InitiatingProcessMD5 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) MD5-hajautusarvo |
InitiatingProcessFileName |
string |
Tapahtuman aloittaneen prosessitiedoston nimi. jos se ei ole käytettävissä, tapahtuman aloittaneen prosessin nimi saatetaan näyttää sen sijaan |
InitiatingProcessFileSize |
long |
Tapahtumasta vastuussa olevan prosessin suorittaneen tiedoston koko |
InitiatingProcessVersionInfoCompanyName |
string |
Yrityksen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductName |
string |
Tuotteen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductVersion |
string |
Tuoteversio tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto). |
InitiatingProcessVersionInfoInternalFileName |
string |
Sisäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Alkuperäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoFileDescription |
string |
Tapahtumasta vastaavan prosessin (kuvatiedoston) versiotietojen kuvaus |
InitiatingProcessId |
long |
Tapahtuman aloittaneen prosessin prosessitunnus (PID) |
InitiatingProcessCommandLine |
string |
Komentorivi, jota käytetään tapahtuman aloittaneen prosessin suorittamiseen |
InitiatingProcessCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuman käynnistänyt prosessi käynnistettiin |
InitiatingProcessFolderPath |
string |
Kansio, joka sisältää tapahtuman aloittaneen prosessin (kuvatiedoston). |
InitiatingProcessParentId |
long |
Tapahtumasta vastuussa olevan prosessin luoneen pääprosessin prosessitunnus (PID) |
InitiatingProcessParentFileName |
string |
Tapahtumasta vastuussa olevan prosessin synnyttäneen pääprosessin nimi |
InitiatingProcessParentCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtumasta vastaavan prosessin pääelementtiä on aloitettu |
InitiatingProcessSignerType |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) allekirjoittajan tyyppi |
InitiatingProcessSignatureStatus |
string |
Tietoja tapahtuman aloittaneen prosessin (kuvatiedoston) allekirjoituksen tilasta |
ReportId |
long |
Toistuvaan laskuriin perustuva tapahtumatunnus. Jos haluat tunnistaa yksilölliset tapahtumat, tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa. |
AppGuardContainerId |
string |
Tunnus virtualisoidulle säilölle, jota Sovellussuoja käyttää selaimen toiminnan eristämiseen |
AdditionalFields |
string |
Lisätietoja tapahtumasta JSON-matriisimuodossa |
InitiatingProcessSessionId |
long |
Käynnistysprosessin Windows-istuntotunnus |
IsInitiatingProcessRemoteSession |
bool |
Ilmaisee, suoritettiinko aloitusprosessi RDP-etäistunnossa (tosi) vai paikallisesti (epätosi) |
InitiatingProcessRemoteSessionDeviceName |
string |
Sen etälaitteen nimi, josta aloitusprosessin RDP-istunto aloitettiin |
InitiatingProcessRemoteSessionIP |
string |
Sen etälaitteen IP-osoite, josta aloitusprosessin RDP-istunto aloitettiin |
CreatedProcessSessionId |
long |
Luodun prosessin Windows-istuntotunnus |
IsProcessRemoteSession |
bool |
Ilmaisee, suoritettiinko luotu prosessi RDP-etäistunnossa (tosi) vai paikallisesti (epätosi) |
ProcessRemoteSessionDeviceName |
string |
Sen etälaitteen nimi, josta luodun prosessin RDP-istunto aloitettiin |
ProcessRemoteSessionIP |
string |
Sen etälaitteen IP-osoite, josta luodun prosessin RDP-istunto aloitettiin |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.