DeviceImageLoadEvents
Megjegyzés:
Szeretne Microsoft Defender XDR-t használni? További információ arról, hogy hogyan értékelheti ki és próbálhatja ki a Microsoft Defender XDR-t.
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
A DeviceImageLoadEventsspeciális veszélyforrás-keresési séma táblázata a DLL betöltési eseményeiről tartalmaz információkat. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
| Oszlopnév | Adattípus | Leírás |
|---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
DeviceId |
string |
Az eszköz egyedi azonosítója a szolgáltatásban |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa. A részletekért tekintse meg a portálon belüli sémareferenciát . |
FileName |
string |
Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták |
FolderPath |
string |
A rögzített műveletet alkalmazó fájlt tartalmazó mappa |
SHA1 |
string |
A rögzített műveletet alkalmazó fájl SHA-1 fájlja |
SHA256 |
string |
A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
MD5 |
string |
A rögzített műveletet alkalmazó fájl MD5-kivonata |
FileSize |
long |
A fájl mérete bájtban |
InitiatingProcessAccountDomain |
string |
Az eseményért felelős folyamatot futtató fiók tartománya |
InitiatingProcessAccountName |
string |
Az eseményért felelős folyamatot futtató fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra-azonosító felhasználóneve jelenhet meg helyette |
InitiatingProcessAccountSid |
string |
Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID) |
InitiatingProcessAccountUpn |
string |
Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra ID UPN-je jelenhet meg helyette |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját |
InitiatingProcessIntegrityLevel |
string |
Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
InitiatingProcessTokenElevation |
string |
Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi |
InitiatingProcessSHA1 |
string |
Az eseményt kezdeményező folyamat (képfájl) SHA-1 |
InitiatingProcessSHA256 |
string |
SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
InitiatingProcessMD5 |
string |
Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata |
InitiatingProcessFileName |
string |
Az eseményt kezdeményező folyamat neve |
InitiatingProcessFileSize |
long |
Az eseményért felelős folyamatot futtató fájl mérete |
InitiatingProcessVersionInfoCompanyName |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév |
InitiatingProcessVersionInfoProductName |
string |
Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl) |
InitiatingProcessVersionInfoProductVersion |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió |
InitiatingProcessVersionInfoInternalFileName |
string |
Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl) |
InitiatingProcessVersionInfoFileDescription |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása |
InitiatingProcessId |
long |
Az eseményt kezdeményező folyamat folyamatazonosítója (PID) |
InitiatingProcessCommandLine |
string |
Az eseményt kezdeményező folyamat futtatásához használt parancssor |
InitiatingProcessCreationTime |
datetime |
Az eseményt kezdeményező folyamat indításának dátuma és időpontja |
InitiatingProcessFolderPath |
string |
Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa |
InitiatingProcessParentId |
long |
Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID) |
InitiatingProcessParentFileName |
string |
Az eseményért felelős folyamatot kiváltó szülőfolyamat neve |
InitiatingProcessParentCreationTime |
datetime |
Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja |
ReportId |
long |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni. |
AppGuardContainerId |
string |
A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: