Megosztás a következőn keresztül:


DeviceImageLoadEvents

Érintett szolgáltatás:

  • Microsoft Defender XDR
  • Végponthoz készült Microsoft Defender

A DeviceImageLoadEventsspeciális veszélyforrás-keresési séma táblázata a DLL betöltési eseményeiről tartalmaz információkat. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Tipp

A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
DeviceId string Az eszköz egyedi azonosítója a szolgáltatásban
DeviceName string Az eszköz teljes tartományneve (FQDN)
ActionType string Az eseményt kiváltó tevékenység típusa. A részletekért tekintse meg a portálon belüli sémareferenciát .
FileName string Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták
FolderPath string A rögzített műveletet alkalmazó fájlt tartalmazó mappa
SHA1 string A rögzített műveletet alkalmazó fájl SHA-1 fájlja
SHA256 string A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
MD5 string A rögzített műveletet alkalmazó fájl MD5-kivonata
FileSize long A fájl mérete bájtban
InitiatingProcessAccountDomain string Az eseményért felelős folyamatot futtató fiók tartománya
InitiatingProcessAccountName string Az eseményért felelős folyamatot futtató fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra-azonosító felhasználóneve jelenhet meg helyette
InitiatingProcessAccountSid string Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID)
InitiatingProcessAccountUpn string Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra ID UPN-je jelenhet meg helyette
InitiatingProcessAccountObjectId string Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját
InitiatingProcessIntegrityLevel string Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit.
InitiatingProcessTokenElevation string Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi
InitiatingProcessSHA1 string Az eseményt kezdeményező folyamat (képfájl) SHA-1
InitiatingProcessSHA256 string SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
InitiatingProcessMD5 string Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata
InitiatingProcessFileName string Az eseményt kezdeményező folyamatfájl neve; ha nem érhető el, előfordulhat, hogy az eseményt kezdeményező folyamat neve jelenik meg
InitiatingProcessFileSize long Az eseményért felelős folyamatot futtató fájl mérete
InitiatingProcessVersionInfoCompanyName string Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév
InitiatingProcessVersionInfoProductName string Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl)
InitiatingProcessVersionInfoProductVersion string Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió
InitiatingProcessVersionInfoInternalFileName string Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl)
InitiatingProcessVersionInfoOriginalFileName string Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl)
InitiatingProcessVersionInfoFileDescription string Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása
InitiatingProcessId long Az eseményt kezdeményező folyamat folyamatazonosítója (PID)
InitiatingProcessCommandLine string Az eseményt kezdeményező folyamat futtatásához használt parancssor
InitiatingProcessCreationTime datetime Az eseményt kezdeményező folyamat indításának dátuma és időpontja
InitiatingProcessFolderPath string Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa
InitiatingProcessParentId long Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID)
InitiatingProcessParentFileName string Az eseményért felelős folyamatot kiváltó szülőfolyamat neve
InitiatingProcessParentCreationTime datetime Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja
ReportId long Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni.
AppGuardContainerId string A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója
InitiatingProcessSessionId long A kezdeményező folyamat Windows-munkamenet-azonosítója
IsInitiatingProcessRemoteSession bool Azt jelzi, hogy a kezdeményező folyamatot távoli asztali protokoll (RDP) munkamenet (true) vagy helyi (hamis) alatt futtatták-e.
InitiatingProcessRemoteSessionDeviceName string Annak a távoli eszköznek az eszközneve, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték
InitiatingProcessRemoteSessionIP string Annak a távoli eszköznek az IP-címe, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.