DeviceImageLoadEvents

Remarque

Vous voulez essayer Microsoft 365 Defender ? En savoir plus sur la façon dont vous pouvez évaluer et piloter Microsoft 365 Defender.

S’applique à :

  • Microsoft 365 Defender
  • Microsoft Defender pour point de terminaison

La DeviceImageLoadEvents table du schéma de repérage avancé contient des informations sur les événements de chargement de DLL. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft 365 Defender.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
DeviceId string Identificateur unique de la machine dans le service
DeviceName string Nom de domaine complet (FQDN) de la machine
ActionType string Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail
FileName string Nom du fichier auquel l’action enregistrée a été appliquée
FolderPath string Dossier contenant le fichier auquel l’action enregistrée a été appliquée
SHA1 string SHA-1 du fichier auquel l’action enregistrée a été appliquée
SHA256 string SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible.
MD5 string Hachage MD5 du fichier auquel l’action enregistrée a été appliquée
FileSize long Taille du fichier en octets
InitiatingProcessAccountDomain string Domaine du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountName string Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountSid string Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountUpn string Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountObjectId string ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement
InitiatingProcessIntegrityLevel string Niveau d’intégrité du processus qui a lancé l’événement. Windows attribue des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils étaient lancés à partir d’un téléchargement Sur Internet. Ces niveaux d’intégrité influencent les autorisations d’accès aux ressources
InitiatingProcessTokenElevation string Type de jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus qui a lancé l’événement
InitiatingProcessSHA1 string SHA-1 du processus (fichier image) qui a lancé l’événement
InitiatingProcessSHA256 string SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible.
InitiatingProcessMD5 string Hachage MD5 du processus (fichier image) qui a lancé l’événement
InitiatingProcessFileName string Nom du processus qui a lancé l’événement
InitiatingProcessFileSize long Taille du fichier qui a exécuté le processus responsable de l’événement
InitiatingProcessVersionInfoCompanyName string Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoProductName string Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoProductVersion string Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoInternalFileName string Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoOriginalFileName string Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoFileDescription string Description des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessId int ID de processus (PID) du processus qui a lancé l’événement
InitiatingProcessCommandLine string Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement
InitiatingProcessCreationTime datetime Date et heure de démarrage du processus qui a lancé l’événement
InitiatingProcessFolderPath string Dossier contenant le processus (fichier image) qui a lancé l’événement
InitiatingProcessParentId int ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement
InitiatingProcessParentFileName string Nom du processus parent qui a généré le processus responsable de l’événement
InitiatingProcessParentCreationTime datetime Date et heure de démarrage du parent du processus responsable de l’événement
ReportId long Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp
AppGuardContainerId string Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur