Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a táblázat része a Microsoft Defender végpontokhoz készült termékének az Azure Sentinelben. Ez a táblázat DLL-betöltési eseményeket tartalmaz.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | Biztonsági elemzések |
| Alapszintű napló | Igen |
| Betöltési idő átalakítás | Igen |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| AkcióTípus | karaktersorozat | Az eseményt kiváltó tevékenység típusa. |
| AppGuard Konténerazonosító | karaktersorozat | A Alkalmazásőr által a böngészőtevékenység elkülönítéséhez használt virtualizált tároló azonosítója. |
| _BilledSize | valós | A rekord mérete bájtban |
| DeviceId | karaktersorozat | A szolgáltatásban lévő eszköz egyedi azonosítója. |
| EszközNév | karaktersorozat | Az eszköz teljes tartományneve (FQDN). |
| fájlnév | karaktersorozat | A fiók tartománya. |
| Fájlméret | hosszú | A fájl mérete bájtban. |
| MappaÚtvonal | karaktersorozat | A fiók tartománya. |
| KezdőfolyamatFióktartomány | karaktersorozat | Az eseményért felelős folyamatot futtató fiók tartománya. |
| KezdeményezőFolyamatFiókNév | karaktersorozat | Annak a fióknak a felhasználóneve, amely az eseményért felelős folyamatot futtatta. |
| KezdőFolyamatFiókObjektumAzonosító | karaktersorozat | Az eseményért felelős folyamatot futtató felhasználói fiók Azure AD-objektumazonosítója. |
| Indítófolyamat-fiókSID | karaktersorozat | Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID). |
| KezdeményezőFolyamatFiókUpn | karaktersorozat | Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN). |
| KezdeményezőFolyamatParancssor | karaktersorozat | Az eseményt kezdeményező folyamat futtatásához használt parancssor. |
| A kezdeményező folyamat létrehozási ideje | dátum/idő | Az eseményt kezdeményező folyamat elindításának dátuma és időpontja. |
| KezdeményezőFolyamatFájlnév | karaktersorozat | Az eseményt kezdeményező folyamat neve. |
| KezdőFolyamatFájlMéret | hosszú | Az eseményt kezdeményező folyamat (képfájl) bájtban megadott mérete. |
| ElindításiFolyamatMappájaÚtvonal | karaktersorozat | Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa. |
| FolyamatIndításiAzonosító | hosszú | Az eseményt kezdeményező folyamat folyamatazonosítója (PID). |
| A folyamatintegritási szint kezdeményezése | karaktersorozat | Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzőkön alapuló integritási szinteket rendel a folyamatokhoz, például internetes letöltésből indították őket. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
| ProcessMD5 inicializálása | karaktersorozat | Az eseményt kezdeményező folyamat (képfájl) MD5 kivonata. |
| Kezdeményező Folyamat Szülő Létrehozási Ideje | dátum/idő | Az eseményért felelős folyamat szülőjének kezdő dátuma és időpontja. |
| Kezdeményező folyamat szülőfájlnév | karaktersorozat | Annak a szülőfolyamatnak a neve, amely az eseményért felelős folyamatot meghozta. |
| KezdeményezőFolyamatSzülőAzonosító | hosszú | Az eseményért felelős folyamatot generáló szülőfolyamat folyamatazonosítója (PID). |
| KezdőFolyamatTávoliMunkamenetEszközNév | karaktersorozat | Annak a távoli eszköznek az eszközneve, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték. |
| TávoliMunkamenetFolyamatIndításIP | karaktersorozat | Annak a távoli eszköznek az IP-címe, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték. |
| IndítóFolyamatSessionId | hosszú | A kezdeményező folyamat Windows-munkamenet-azonosítója. |
| InitiálóFolyamatSHA1 | karaktersorozat | AZ eseményt kezdeményező folyamat (képfájl) SHA-1 kivonata. |
| A folyamat SHA256 kezdeményezése | karaktersorozat | AZ eseményt kezdeményező folyamat (képfájl) SHA-256 kivonata. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
| ProcessTokenElevation kezdeményezése | karaktersorozat | Az eseményt kezdeményező folyamatra alkalmazott felhasználói hozzáférés-vezérlési (UAC) jogosultságszint-emeltség meglétét vagy hiányát jelző jogkivonattípus. |
| AProcessUniqueId kezdeményezése | karaktersorozat | A kezdeményező folyamat egyedi azonosítója; ez megegyezik a Windows-eszközök folyamatindító kulcsával. |
| KezdőFolyamatVerzióInformációVállalatNév | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév. |
| KezdőFolyamatVerzióInformációFájlLeírás | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása. |
| FolyamatIndításaVerzióInformációBelsőFájlnév | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó belső fájlnév. |
| IndítóFolyamatVerzióInformációEredetiFájlNév | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióadatainak eredeti fájlneve. |
| KezdőFolyamatVerzióInformációTerméknév | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó terméknév. |
| A folyamat verzióinformációjának termékverziójának kezdeményezése | karaktersorozat | Az eseményért felelős folyamat (képfájl) verzióadataiból származó termékverzió. |
| _Felszámítható-e | karaktersorozat | Azt jelzi, hogy az adatok betöltése számlázható-e. Amikor a _IsBillable hamis, false nem történik számlázás az Azure-fiókjában. |
| TávoliMunkamenetFolyamatIndításaFüggvény | boolean | Azt jelzi, hogy a kezdeményező folyamatot távoli asztali protokoll (RDP) munkamenet (true) vagy helyi (hamis) alatt futtatták-e. |
| Gépcsoport | karaktersorozat | A gép gépcsoportja. Ezt a csoportot a szerepköralapú hozzáférés-vezérlés használja a géphez való hozzáférés meghatározásához. |
| MD5 | karaktersorozat | A rögzített művelet által alkalmazott fájl MD5 kivonata. |
| Jelentésazonosító | hosszú | Eseményazonosító ismétlődő számláló alapján. Az egyedi események azonosításához ezt az oszlopot a ComputerName és az EventTime oszlopokkal együtt kell használni. |
| SHA1 | karaktersorozat | A rögzített művelet által alkalmazott fájl SHA-1 kivonata. |
| SHA256 | karaktersorozat | A fájl SHA-256 lenyomata, amelyre a rögzített műveletet alkalmazták. |
| SourceSystem | karaktersorozat | Az ügynök típusa, amely által az eseményt gyűjtötték. Például, ha Windows-ügynökről van szó, akkor közvetlen csatlakozás vagy Operations Manager OpsManager, ha Linux-ügynökökről, akkor Linux; vagy az Azure Diagnostics esetében Azure. |
| BérlőAzonosító | karaktersorozat | A Log Analytics-munkaterület azonosítója |
| LétrehozásiIdő | dátum/idő | Az esemény rögzítésének dátuma és időpontja az MDE-ügynök által a végponton. |
| Típus | karaktersorozat | A tábla neve |