DeviceProcessEvents
Microsoft Defender pour la table d’événements de processus d’appareil des points de terminaison (MDE). Ce tableau contient des informations sur la création de processus et les événements associés sur le point de terminaison.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AccountDomain | string | Domaine du compte. |
| AccountName | string | Nom d’utilisateur du compte. |
| AccountObjectId | string | Identificateur unique du compte dans Azure AD. |
| AccountSid | string | Identificateur de sécurité (SID) du compte. |
| AccountUpn | string | Nom d’utilisateur principal (UPN) du compte. |
| ActionType | string | Type d’activité qui a déclenché l’événement. |
| AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId | string | Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| deviceId | string | Identificateur unique de l’appareil dans le service. |
| DeviceName | string | Nom de domaine complet (FQDN) de l’appareil. |
| FileName | string | Nom du fichier auquel l’action enregistrée a été appliquée. |
| FileSize | long | Taille du fichier en octets. |
| FolderPath | string | Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| InitialingProcessAccountDomain | string | Domaine du compte qui a exécuté le processus responsable de l’événement. |
| InitialingProcessAccountName | string | Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
| InitialingProcessAccountObjectId | string | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
| InitialingProcessAccountSid | string | Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
| InitiatingProcessAccountUpn | string | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. |
| InitialingProcessCommandLine | string | Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement. |
| InitiatingProcessCreationTime | DATETIME | Date et heure de démarrage du processus qui a lancé l’événement. |
| InitialingProcessFileName | string | Nom du processus qui a lancé l’événement. |
| InitialingProcessFileSize | long | Taille du fichier (octets) qui a exécuté le processus responsable de l’événement. |
| InitialingProcessFolderPath | string | Dossier contenant le processus (fichier image) qui a lancé l’événement. |
| InitialingProcessId | long | ID de processus (PID) du processus qui a lancé l’événement. |
| InitiatingProcessIntegrityLevel | string | Niveau d’intégrité du processus qui a lancé l’événement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources.. |
| Lancement deProcessLogonId | long | Identificateur d’une session d’ouverture de session du processus qui a lancé l’événement. Cet identificateur n’est unique sur la même machine qu’entre les redémarrages.. |
| Lancement deProcessMD5 | string | Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessParentCreationTime | DATETIME | Date et heure de démarrage du parent du processus responsable de l’événement. |
| Lancement deProcessParentFileName | string | Nom du processus parent qui a généré le processus responsable de l’événement. |
| Lancement deProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
| InitialingProcessSHA1 | string | Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
| InitialingProcessSHA256 | string | Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Dans certains cas, cette colonne peut ne pas être remplie. Utilisez plutôt la colonne InitiatingProcessSHA1. |
| InitiatingProcessSignatureStatus | string | Informations sur la signature status du processus (fichier image) à l’origine de l’événement. |
| Lancement deProcessSignerType | string | Type de signataire de fichier du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessTokenElevation | string | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges Utilisateur Access Control (UAC) appliquée au processus à l’origine de l’événement. |
| InitiatingProcessVersionInfoCompanyName | string | Nom de la société dans les informations de version (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoFileDescription | string | Description dans les informations de version (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoInternalFileName | string | Nom de fichier interne dans les informations de version (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nom de fichier d’origine dans les informations de version (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoProductName | string | Nom du produit dans les informations de version (fichier image) responsable de l’événement. |
| Lancement deProcessVersionInfoProductVersion | string | Version du produit dans les informations de version (fichier image) responsable de l’événement. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
| LogonId | long | Identificateur d’une session d’ouverture de session. Cet identificateur n’est unique sur la même machine qu’entre les redémarrages. |
| MachineGroup | string | Groupe d’ordinateurs de la machine. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
| MD5 | string | Hachage MD5 du fichier auquel l’action enregistrée a été appliquée. |
| ProcessCommandLine | string | Ligne de commande utilisée pour créer le nouveau processus. |
| ProcessCreationTime | DATETIME | Date et heure de création du processus. |
| ProcessId | long | ID de processus (PID) du processus nouvellement créé. |
| ProcessIntegrityLevel | string | Niveau d’intégrité du processus nouvellement créé. Windows attribue des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources.. |
| ProcessTokenElevation | string | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus nouvellement créé. |
| ProcessVersionInfoCompanyName | string | Nom de l’entreprise à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoFileDescription | string | Description à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoInternalFileName | string | Nom de fichier interne à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoOriginalFileName | string | Nom de fichier d’origine à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoProductName | string | Nom du produit à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoProductVersion | string | Version du produit à partir des informations de version du processus nouvellement créé. |
| ReportId | long | Identificateur d’événement basé sur un compteur répétiteur. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| SHA1 | string | Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 | string | SHA-256 du fichier auquel l’action enregistrée a été appliquée. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour