DeviceImageLoadEvents
Remarque
Vous voulez essayer Microsoft 365 Defender ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft 365 Defender.
S’applique à :
- Microsoft 365 Defender
- Microsoft Defender pour point de terminaison
La DeviceImageLoadEvents table du schéma de repérage avancé contient des informations sur les événements de chargement de DLL. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Conseil
Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft 365 Defender.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
DeviceId |
string |
Identificateur unique de la machine dans le service |
DeviceName |
string |
Nom de domaine complet (FQDN) de la machine |
ActionType |
string |
Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail |
FileName |
string |
Nom du fichier auquel l’action enregistrée a été appliquée |
FolderPath |
string |
Dossier contenant le fichier auquel l’action enregistrée a été appliquée |
SHA1 |
string |
SHA-1 du fichier auquel l’action enregistrée a été appliquée |
SHA256 |
string |
SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible. |
MD5 |
string |
Hachage MD5 du fichier auquel l’action enregistrée a été appliquée |
FileSize |
long |
Taille du fichier en octets |
InitiatingProcessAccountDomain |
string |
Domaine du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountName |
string |
Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountSid |
string |
Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountObjectId |
string |
ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement |
InitiatingProcessIntegrityLevel |
string |
Niveau d’intégrité du processus qui a lancé l’événement. Windows attribue des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils étaient lancés à partir d’un téléchargement Sur Internet. Ces niveaux d’intégrité influencent les autorisations d’accès aux ressources |
InitiatingProcessTokenElevation |
string |
Type de jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus qui a lancé l’événement |
InitiatingProcessSHA1 |
string |
SHA-1 du processus (fichier image) qui a lancé l’événement |
InitiatingProcessSHA256 |
string |
SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible. |
InitiatingProcessMD5 |
string |
Hachage MD5 du processus (fichier image) qui a lancé l’événement |
InitiatingProcessFileName |
string |
Nom du processus qui a lancé l’événement |
InitiatingProcessFileSize |
long |
Taille du fichier qui a exécuté le processus responsable de l’événement |
InitiatingProcessVersionInfoCompanyName |
string |
Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoProductName |
string |
Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoProductVersion |
string |
Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoInternalFileName |
string |
Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoFileDescription |
string |
Description des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessId |
int |
ID de processus (PID) du processus qui a lancé l’événement |
InitiatingProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement |
InitiatingProcessCreationTime |
datetime |
Date et heure de démarrage du processus qui a lancé l’événement |
InitiatingProcessFolderPath |
string |
Dossier contenant le processus (fichier image) qui a lancé l’événement |
InitiatingProcessParentId |
int |
ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement |
InitiatingProcessParentFileName |
string |
Nom du processus parent qui a généré le processus responsable de l’événement |
InitiatingProcessParentCreationTime |
datetime |
Date et heure de démarrage du parent du processus responsable de l’événement |
ReportId |
long |
Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp |
AppGuardContainerId |
string |
Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur |