Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Defender for Endpoints (MDE) device process events table. Ce tableau contient des informations sur la création de processus et les événements connexes sur le point de terminaison.
Attributs de la table
Attribut | Valeur |
---|---|
Types de ressources | - |
Catégories | Sécurité |
Solutions | SecurityInsights |
Journal de base | Oui |
Transformation au moment de l’ingestion | Oui |
Exemples de requêtes | - |
Colonnes
Colonne | Catégorie | Descriptif |
---|---|---|
Domaine de compte | chaîne | Domaine du compte. |
Nom du compte | chaîne | Nom d’utilisateur du compte. |
AccountObjectId | chaîne | Identificateur unique du compte dans Azure AD. |
SID de compte | chaîne | Identificateur de sécurité (SID) du compte. |
AccountUpn | chaîne | Nom d’utilisateur principal (UPN) du compte. |
Type d'Action | chaîne | Type d’activité qui a déclenché l’événement. |
AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
AppGuardContainerId | chaîne | Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur. |
_BilledSize | réel | Taille de l’enregistrement en octets |
CreatedProcessSessionId | long | ID de session Windows du processus créé. |
DeviceId | chaîne | Identificateur unique de l’appareil dans le service. |
Nom du dispositif | chaîne | Nom de domaine complet (FQDN) de l’appareil. |
Nom de fichier | chaîne | Nom du fichier auquel l’action enregistrée a été appliquée. |
Taille de fichier | long | Taille du fichier en octets. |
FolderPath | chaîne | Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
Démarrage de ProcessAccountDomain | chaîne | Domaine du compte qui a exécuté le processus responsable de l’événement. |
InitiatingProcessAccountName | chaîne | Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
InitiatingProcessAccountObjectId | chaîne | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
Démarrage de ProcessAccountSid | chaîne | Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
InitiatingProcessAccountUpn | chaîne | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. |
InitiatingProcessCommandLine | chaîne | Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement. |
InitiatingProcessCreationTime | DATETIME | Date et heure de démarrage du processus qui a lancé l’événement. |
InitiatingProcessFileName | chaîne | Nom du processus qui a lancé l’événement. |
InitiatingProcessFileSize | long | Taille du fichier (octets) qui a exécuté le processus responsable de l’événement. |
InitiatingProcessFolderPath | chaîne | Dossier contenant le processus (fichier image) qui a lancé l’événement. |
Lancement de ProcessId | long | ID de processus (PID) du processus qui a lancé l’événement. |
InitiatingProcessIntegrityLevel | chaîne | Niveau d’intégrité du processus qui a lancé l’événement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources.. |
InitiatingProcessLogonId | long | Identificateur d'une session de connexion du processus qui a lancé l’événement. Cet identificateur est unique sur la même machine uniquement entre les redémarrages.. |
Lancement de ProcessMD5 | chaîne | Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
InitiatingProcessParentCreationTime | DATETIME | Date et heure de démarrage du parent du processus responsable de l’événement. |
InitiatingProcessParentFileName | chaîne | Nom du processus parent qui a généré le processus responsable de l’événement. |
InitiatingProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
InitiatingProcessRemoteSessionDeviceName | chaîne | Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
InitiatingProcessRemoteSessionIP | chaîne | Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
InitiatingProcessSessionId | long | ID de session Windows du processus de lancement. |
InitiatingProcessSHA1 | chaîne | Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
Lancement du processus SHA256 | chaîne | Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Dans certains cas, cette colonne peut ne pas être remplie. Utilisez plutôt la colonne InitiatingProcessSHA1. |
InitiatingProcessSignatureStatus | chaîne | Informations sur l’état de signature du processus (fichier image) qui a lancé l’événement. |
InitiatingProcessSignerType | chaîne | Type de signataire de fichier du processus (fichier image) qui a lancé l’événement. |
InitiatingProcessTokenElevation | chaîne | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus qui a lancé l’événement. |
InitiatingProcessUniqueId | chaîne | Identificateur unique du processus de lancement ; il s’agit de la clé de démarrage du processus sur les appareils Windows. |
InitiatingProcessVersionInfoCompanyName | chaîne | Le nom de l'entreprise dans les informations de version (fichier image) responsable de l'événement. |
InitiatingProcessVersionInfoFileDescription | chaîne | Description dans les informations de version (fichier image) responsable de l’événement. |
InitiatingProcessVersionInfoInternalFileName | chaîne | Nom de fichier interne dans les informations de version (fichier image) responsable de l’événement. |
InitiatingProcessVersionInfoOriginalFileName | chaîne | Nom de fichier original dans les informations de version (fichier image) responsable de l’événement. |
InitiatingProcessVersionInfoProductName | chaîne | Nom du produit dans les informations de version du fichier image impliqué dans l'événement. |
InitiatingProcessVersionInfoProductVersion | chaîne | Version du produit dans les informations de version (fichier image) responsable de l’événement. |
_IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false , l’ingestion n’est pas facturée sur votre compte Azure. |
IsInitiatingProcessRemoteSession | bool | Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
IsProcessRemoteSession | bool | Indique si le processus créé a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
Identifiant de connexion | long | Identificateur d’une session de connexion. Cet identificateur est unique sur la même machine uniquement entre les redémarrages. |
MachineGroup | chaîne | Groupe de machines de la machine. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
MD5 | chaîne | Hachage MD5 du fichier auquel l’action enregistrée a été appliquée. |
ProcessCommandLine | chaîne | Ligne de commande utilisée pour créer le nouveau processus. |
Heure de création du processus | DATETIME | Date et heure de création du processus. |
ProcessId | long | ID de processus (PID) du processus nouvellement créé. |
Niveau d'Intégrité du Processus | chaîne | Niveau d’intégrité du processus nouvellement créé. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources.. |
ProcessRemoteSessionDeviceName | chaîne | Nom de l’appareil distant à partir duquel la session RDP du processus créé a été lancée. |
ProcessRemoteSessionIP | chaîne | Adresse IP de l’appareil distant à partir duquel la session RDP du processus créé a été lancée. |
ProcessTokenElevation | chaîne | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus nouvellement créé. |
ProcessUniqueId | chaîne | Identificateur unique du processus ; il s’agit de la clé de démarrage du processus sur les appareils Windows. |
ProcessVersionInfoCompanyName | chaîne | Nom de la société à partir des informations de version du processus nouvellement créé. |
ProcessVersionInfoFileDescription | chaîne | Description des informations de version du processus nouvellement créé. |
ProcessVersionInfoInternalFileName | chaîne | Nom de fichier interne à partir des informations de version du processus nouvellement créé. |
ProcessVersionInfoOriginalFileName | chaîne | Nom de fichier d’origine à partir des informations de version du processus nouvellement créé. |
ProcessVersionInfoProductName | chaîne | Nom du produit à partir des informations de version du processus nouvellement créé. |
ProcessVersionInfoProductVersion | chaîne | Version du produit à partir des informations de version du processus nouvellement créé. |
ReportId | long | Identificateur d’événement basé sur un compteur répétitif. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
SHA1 | chaîne | Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
SHA256 | chaîne | SHA-256 du fichier auquel l’action enregistrée a été appliquée. |
SourceSystem | chaîne | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
Id de locataire | chaîne | ID de l’espace de travail Log Analytics |
TimeGenerated | DATETIME | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
Catégorie | chaîne | Le nom de la table |