DeviceProcessEvents
הערה
רוצה להתנסות ב- Microsoft Defender XDR? קבל מידע נוסף על האופן שבו ניתן להעריך ולבצע פריסת ניסיון Microsoft Defender XDR.
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור נקודת קצה
הטבלה DeviceProcessEvents
בסכימת הציד המתקדמות מכילה מידע אודות יצירת תהליך ואירועים קשורים. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionType
ערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
שם עמודה | סוג נתונים | תיאור |
---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
DeviceId |
string |
מזהה ייחודי עבור המכשיר בשירות |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע. עיין בהפניית הסכימה בתוך הפורטל לקבלת פרטים. |
FileName |
string |
שם הקובץ הפעולה המוקלטת הוחלה עליו |
FolderPath |
string |
תיקיה המכילה את הקובץ הפעולה המוקלטת הוחלה עליו |
SHA1 |
string |
SHA-1 של הקובץ הפעולה המוקלטת הוחלה עליו |
SHA256 |
string |
SHA-256 של הקובץ הפעולה המוקלטת הוחלה עליו. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין. |
MD5 |
string |
קוד Hash של MD5 של הקובץ הפעולה המוקלטת הוחלה עליו |
FileSize |
long |
גודל הקובץ בבתים |
ProcessVersionInfoCompanyName |
string |
שם החברה ממידע הגירסה של התהליך החדש שנוצר |
ProcessVersionInfoProductName |
string |
שם מוצר ממידע הגירסה של התהליך החדש שנוצר |
ProcessVersionInfoProductVersion |
string |
גירסת מוצר ממידע הגירסה של התהליך החדש שנוצר |
ProcessVersionInfoInternalFileName |
string |
שם קובץ פנימי ממידע הגירסה של התהליך החדש שנוצר |
ProcessVersionInfoOriginalFileName |
string |
שם הקובץ המקורי ממידע הגירסה של התהליך החדש שנוצר |
ProcessVersionInfoFileDescription |
string |
תיאור ממידע הגירסה של התהליך החדש שנוצר |
ProcessId |
long |
מזהה תהליך (PID) של התהליך החדש שנוצר |
ProcessCommandLine |
string |
שורת הפקודה המשמשת ליצירת התהליך החדש |
ProcessIntegrityLevel |
string |
רמת תקינות של התהליך החדש שנוצר. Windows מקצה רמות תקינות לתהליכים בהתבסס על מאפיינים מסוימים, כגון אם הם הופעלו מהאינטרנט שהורדת. רמות תקינות אלה משפיעות על הרשאות למשאבים. |
ProcessTokenElevation |
string |
מציין את סוג העלאת האסימון המוחלת על התהליך החדש שנוצר. ערכים אפשריים: TokenElevationTypeLimited (מוגבל), TokenElevationTypeDefault (רגיל) ו- TokenElevationTypeFull (עם הרשאות מלאות) |
ProcessCreationTime |
datetime |
התאריך והשעה בתהליך נוצרו |
AccountDomain |
string |
תחום החשבון |
AccountName |
string |
שם המשתמש של החשבון; אם המכשיר רשום ב- Microsoft Entra מזהה, ייתכן המזהה המלא של החשבון יוצג במקום זאת |
AccountSid |
string |
מזהה אבטחה (SID) של החשבון |
AccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון; אם המכשיר רשום ב- Microsoft Entra מזהה, ייתכן ש- UPN של מזהה Entra של החשבון יוצג במקום זאת |
AccountObjectId |
string |
מזהה ייחודי עבור החשבון Microsoft Entra מזהה |
LogonId |
long |
מזהה עבור הפעלת כניסה. מזהה זה ייחודי באותו מכשיר רק בין הפעלות מחדש. |
InitiatingProcessAccountDomain |
string |
תחום החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountName |
string |
שם המשתמש של החשבון שהרץ את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, שם המשתמש Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להיות מוצג במקום זאת |
InitiatingProcessAccountSid |
string |
מזהה אבטחה (SID) של החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון שהגדיר את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, ה- UPN מסוג Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להופיע במקום זאת |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra מזהה האובייקט של חשבון המשתמש שהרץ את התהליך האחראי לאירוע |
InitiatingProcessLogonId |
long |
מזהה עבור הפעלת כניסה של התהליך שהפעל את האירוע. מזהה זה ייחודי באותו מכשיר רק בין הפעלות מחדש. |
InitiatingProcessIntegrityLevel |
string |
רמת תקינות של התהליך שה מאתחל את האירוע. Windows מקצה רמות תקינות לתהליכים בהתבסס על מאפיינים מסוימים, כגון אם הם הופעלו מהורדה באינטרנט. רמות תקינות אלה משפיעות על הרשאות למשאבים. |
InitiatingProcessTokenElevation |
string |
סוג אסימון המציין את רמת הנוכחות או היעדרה של העלאת הרשאה של בקרת גישת משתמש (UAC) שחלה על התהליך שה הפעיל את האירוע |
InitiatingProcessSHA1 |
string |
קוד Hash של SHA-1 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessSHA256 |
string |
SHA-256 של התהליך (קובץ תמונה) שהתחל את האירוע. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין. |
InitiatingProcessMD5 |
string |
קוד Hash של MD5 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessFileName |
string |
שם התהליך שה מאתחל את האירוע |
InitiatingProcessFileSize |
long |
גודל הקובץ שהרץ את התהליך האחראי לאירוע |
InitiatingProcessVersionInfoCompanyName |
string |
שם חברה ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductName |
string |
שם מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductVersion |
string |
גירסת מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoInternalFileName |
string |
שם קובץ פנימי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoOriginalFileName |
string |
שם הקובץ המקורי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoFileDescription |
string |
תיאור ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessId |
long |
מזהה תהליך (PID) של התהליך שה מאתחל את האירוע |
InitiatingProcessCommandLine |
string |
שורת הפקודה המשמשת להפעלת התהליך שהפעיל את האירוע |
InitiatingProcessCreationTime |
datetime |
תאריך ושעה שבהם התהליך שהחיל את האירוע הופעל |
InitiatingProcessFolderPath |
string |
תיקיה המכילה את התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessParentId |
long |
מזהה תהליך (PID) של תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentFileName |
string |
שם תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentCreationTime |
datetime |
התאריך והשעה שבהם האב של התהליך האחראי לאירוע הופעל |
InitiatingProcessSignerType |
string |
סוג חותם הקבצים של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessSignatureStatus |
string |
מידע אודות מצב החתימה של התהליך (קובץ תמונה) שה מאתחל את האירוע |
ReportId |
long |
מזהה אירוע בהתבסס על מונה חוזר. כדי לזהות אירועים ייחודיים, יש להשתמש בעמודה זו בשילוב עם העמודות DeviceName ו- Timestamp. |
AppGuardContainerId |
string |
מזהה עבור הגורם המכיל הווירטואלי המשמש את Application Guard כדי לבודד פעילות דפדפן |
AdditionalFields |
string |
מידע נוסף אודות האירוע בתבנית מערך JSON |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור