DeviceImageLoadEvents

Megjegyzés:

Szeretne Microsoft 365 Defender tapasztalni? További információ arról, hogyan értékelheti ki és tesztelheti a Microsoft 365 Defender.

Érintett szolgáltatás:

  • Microsoft 365 Defender
  • Végponthoz készült Microsoft Defender

A DeviceImageLoadEventsspeciális veszélyforrás-keresési séma táblázata a DLL betöltési eseményeiről tartalmaz információkat. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Tipp

A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft 365 Defender-ben elérhető beépített sémareferenciát.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-keresési referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
DeviceId string A szolgáltatásban lévő gép egyedi azonosítója
DeviceName string A gép teljes tartományneve (FQDN)
ActionType string Az eseményt kiváltó tevékenység típusa. Részletekért tekintse meg a portálon belüli sémareferenciát
FileName string Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták
FolderPath string A rögzített műveletet alkalmazó fájlt tartalmazó mappa
SHA1 string A rögzített műveletet alkalmazó fájl SHA-1 fájlja
SHA256 string A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
MD5 string A rögzített műveletet alkalmazó fájl MD5-kivonata
FileSize long A fájl mérete bájtban
InitiatingProcessAccountDomain string Az eseményért felelős folyamatot futtató fiók tartománya
InitiatingProcessAccountName string Az eseményért felelős folyamatot futtató fiók felhasználóneve
InitiatingProcessAccountSid string Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID)
InitiatingProcessAccountUpn string Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN)
InitiatingProcessAccountObjectId string Azure AD eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját
InitiatingProcessIntegrityLevel string Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit
InitiatingProcessTokenElevation string Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi
InitiatingProcessSHA1 string Az eseményt kezdeményező folyamat (képfájl) SHA-1
InitiatingProcessSHA256 string SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
InitiatingProcessMD5 string Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata
InitiatingProcessFileName string Az eseményt kezdeményező folyamat neve
InitiatingProcessFileSize long Az eseményért felelős folyamatot futtató fájl mérete
InitiatingProcessVersionInfoCompanyName string Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév
InitiatingProcessVersionInfoProductName string Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl)
InitiatingProcessVersionInfoProductVersion string Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió
InitiatingProcessVersionInfoInternalFileName string Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl)
InitiatingProcessVersionInfoOriginalFileName string Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl)
InitiatingProcessVersionInfoFileDescription string Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása
InitiatingProcessId int Az eseményt kezdeményező folyamat folyamatazonosítója (PID)
InitiatingProcessCommandLine string Az eseményt kezdeményező folyamat futtatásához használt parancssor
InitiatingProcessCreationTime datetime Az eseményt kezdeményező folyamat indításának dátuma és időpontja
InitiatingProcessFolderPath string Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa
InitiatingProcessParentId int Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID)
InitiatingProcessParentFileName string Az eseményért felelős folyamatot kiváltó szülőfolyamat neve
InitiatingProcessParentCreationTime datetime Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja
ReportId long Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot kell használni a DeviceName és az Időbélyeg oszlopokkal együtt
AppGuardContainerId string A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója