Partager via


DeviceProcessEvents

Microsoft Defender for Endpoints (MDE) device process events table. Ce tableau contient des informations sur la création de processus et les événements connexes sur le point de terminaison.

Attributs de la table

Attribut Valeur
Types de ressources -
Catégories Sécurité
Solutions SecurityInsights
Journal de base Oui
Transformation au moment de l’ingestion Oui
Exemples de requêtes -

Colonnes

Colonne Catégorie Descriptif
Domaine de compte chaîne Domaine du compte.
Nom du compte chaîne Nom d’utilisateur du compte.
AccountObjectId chaîne Identificateur unique du compte dans Azure AD.
SID de compte chaîne Identificateur de sécurité (SID) du compte.
AccountUpn chaîne Nom d’utilisateur principal (UPN) du compte.
Type d'Action chaîne Type d’activité qui a déclenché l’événement.
AdditionalFields dynamique Informations supplémentaires sur l’entité ou l’événement.
AppGuardContainerId chaîne Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur.
_BilledSize réel Taille de l’enregistrement en octets
CreatedProcessSessionId long ID de session Windows du processus créé.
DeviceId chaîne Identificateur unique de l’appareil dans le service.
Nom du dispositif chaîne Nom de domaine complet (FQDN) de l’appareil.
Nom de fichier chaîne Nom du fichier auquel l’action enregistrée a été appliquée.
Taille de fichier long Taille du fichier en octets.
FolderPath chaîne Dossier contenant le fichier auquel l’action enregistrée a été appliquée.
Démarrage de ProcessAccountDomain chaîne Domaine du compte qui a exécuté le processus responsable de l’événement.
InitiatingProcessAccountName chaîne Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement.
InitiatingProcessAccountObjectId chaîne ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement.
Démarrage de ProcessAccountSid chaîne Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement.
InitiatingProcessAccountUpn chaîne Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement.
InitiatingProcessCommandLine chaîne Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement.
InitiatingProcessCreationTime DATETIME Date et heure de démarrage du processus qui a lancé l’événement.
InitiatingProcessFileName chaîne Nom du processus qui a lancé l’événement.
InitiatingProcessFileSize long Taille du fichier (octets) qui a exécuté le processus responsable de l’événement.
InitiatingProcessFolderPath chaîne Dossier contenant le processus (fichier image) qui a lancé l’événement.
Lancement de ProcessId long ID de processus (PID) du processus qui a lancé l’événement.
InitiatingProcessIntegrityLevel chaîne Niveau d’intégrité du processus qui a lancé l’événement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources..
InitiatingProcessLogonId long Identificateur d'une session de connexion du processus qui a lancé l’événement. Cet identificateur est unique sur la même machine uniquement entre les redémarrages..
Lancement de ProcessMD5 chaîne Hachage MD5 du processus (fichier image) qui a lancé l’événement.
InitiatingProcessParentCreationTime DATETIME Date et heure de démarrage du parent du processus responsable de l’événement.
InitiatingProcessParentFileName chaîne Nom du processus parent qui a généré le processus responsable de l’événement.
InitiatingProcessParentId long ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement.
InitiatingProcessRemoteSessionDeviceName chaîne Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée.
InitiatingProcessRemoteSessionIP chaîne Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée.
InitiatingProcessSessionId long ID de session Windows du processus de lancement.
InitiatingProcessSHA1 chaîne Hachage SHA-1 du processus (fichier image) qui a lancé l’événement.
Lancement du processus SHA256 chaîne Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Dans certains cas, cette colonne peut ne pas être remplie. Utilisez plutôt la colonne InitiatingProcessSHA1.
InitiatingProcessSignatureStatus chaîne Informations sur l’état de signature du processus (fichier image) qui a lancé l’événement.
InitiatingProcessSignerType chaîne Type de signataire de fichier du processus (fichier image) qui a lancé l’événement.
InitiatingProcessTokenElevation chaîne Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus qui a lancé l’événement.
InitiatingProcessUniqueId chaîne Identificateur unique du processus de lancement ; il s’agit de la clé de démarrage du processus sur les appareils Windows.
InitiatingProcessVersionInfoCompanyName chaîne Le nom de l'entreprise dans les informations de version (fichier image) responsable de l'événement.
InitiatingProcessVersionInfoFileDescription chaîne Description dans les informations de version (fichier image) responsable de l’événement.
InitiatingProcessVersionInfoInternalFileName chaîne Nom de fichier interne dans les informations de version (fichier image) responsable de l’événement.
InitiatingProcessVersionInfoOriginalFileName chaîne Nom de fichier original dans les informations de version (fichier image) responsable de l’événement.
InitiatingProcessVersionInfoProductName chaîne Nom du produit dans les informations de version du fichier image impliqué dans l'événement.
InitiatingProcessVersionInfoProductVersion chaîne Version du produit dans les informations de version (fichier image) responsable de l’événement.
_IsBillable chaîne Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
IsInitiatingProcessRemoteSession bool Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false).
IsProcessRemoteSession bool Indique si le processus créé a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false).
Identifiant de connexion long Identificateur d’une session de connexion. Cet identificateur est unique sur la même machine uniquement entre les redémarrages.
MachineGroup chaîne Groupe de machines de la machine. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur.
MD5 chaîne Hachage MD5 du fichier auquel l’action enregistrée a été appliquée.
ProcessCommandLine chaîne Ligne de commande utilisée pour créer le nouveau processus.
Heure de création du processus DATETIME Date et heure de création du processus.
ProcessId long ID de processus (PID) du processus nouvellement créé.
Niveau d'Intégrité du Processus chaîne Niveau d’intégrité du processus nouvellement créé. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources..
ProcessRemoteSessionDeviceName chaîne Nom de l’appareil distant à partir duquel la session RDP du processus créé a été lancée.
ProcessRemoteSessionIP chaîne Adresse IP de l’appareil distant à partir duquel la session RDP du processus créé a été lancée.
ProcessTokenElevation chaîne Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus nouvellement créé.
ProcessUniqueId chaîne Identificateur unique du processus ; il s’agit de la clé de démarrage du processus sur les appareils Windows.
ProcessVersionInfoCompanyName chaîne Nom de la société à partir des informations de version du processus nouvellement créé.
ProcessVersionInfoFileDescription chaîne Description des informations de version du processus nouvellement créé.
ProcessVersionInfoInternalFileName chaîne Nom de fichier interne à partir des informations de version du processus nouvellement créé.
ProcessVersionInfoOriginalFileName chaîne Nom de fichier d’origine à partir des informations de version du processus nouvellement créé.
ProcessVersionInfoProductName chaîne Nom du produit à partir des informations de version du processus nouvellement créé.
ProcessVersionInfoProductVersion chaîne Version du produit à partir des informations de version du processus nouvellement créé.
ReportId long Identificateur d’événement basé sur un compteur répétitif. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime.
SHA1 chaîne Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée.
SHA256 chaîne SHA-256 du fichier auquel l’action enregistrée a été appliquée.
SourceSystem chaîne Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.
Id de locataire chaîne ID de l’espace de travail Log Analytics
TimeGenerated DATETIME Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison.
Catégorie chaîne Le nom de la table