DeviceImageLoadEvents
Megjegyzés:
Szeretne Microsoft 365 Defender tapasztalni? További információ arról, hogyan értékelheti ki és tesztelheti a Microsoft 365 Defender.
Érintett szolgáltatás:
- Microsoft 365 Defender
- Végponthoz készült Microsoft Defender
A DeviceImageLoadEventsspeciális veszélyforrás-keresési séma táblázata a DLL betöltési eseményeiről tartalmaz információkat. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft 365 Defender-ben elérhető beépített sémareferenciát.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-keresési referenciában talál további információt.
| Oszlopnév | Adattípus | Leírás |
|---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
DeviceId |
string |
A szolgáltatásban lévő gép egyedi azonosítója |
DeviceName |
string |
A gép teljes tartományneve (FQDN) |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa. Részletekért tekintse meg a portálon belüli sémareferenciát |
FileName |
string |
Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták |
FolderPath |
string |
A rögzített műveletet alkalmazó fájlt tartalmazó mappa |
SHA1 |
string |
A rögzített műveletet alkalmazó fájl SHA-1 fájlja |
SHA256 |
string |
A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
MD5 |
string |
A rögzített műveletet alkalmazó fájl MD5-kivonata |
FileSize |
long |
A fájl mérete bájtban |
InitiatingProcessAccountDomain |
string |
Az eseményért felelős folyamatot futtató fiók tartománya |
InitiatingProcessAccountName |
string |
Az eseményért felelős folyamatot futtató fiók felhasználóneve |
InitiatingProcessAccountSid |
string |
Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID) |
InitiatingProcessAccountUpn |
string |
Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN) |
InitiatingProcessAccountObjectId |
string |
Azure AD eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját |
InitiatingProcessIntegrityLevel |
string |
Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit |
InitiatingProcessTokenElevation |
string |
Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi |
InitiatingProcessSHA1 |
string |
Az eseményt kezdeményező folyamat (képfájl) SHA-1 |
InitiatingProcessSHA256 |
string |
SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
InitiatingProcessMD5 |
string |
Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata |
InitiatingProcessFileName |
string |
Az eseményt kezdeményező folyamat neve |
InitiatingProcessFileSize |
long |
Az eseményért felelős folyamatot futtató fájl mérete |
InitiatingProcessVersionInfoCompanyName |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév |
InitiatingProcessVersionInfoProductName |
string |
Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl) |
InitiatingProcessVersionInfoProductVersion |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió |
InitiatingProcessVersionInfoInternalFileName |
string |
Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl) |
InitiatingProcessVersionInfoFileDescription |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása |
InitiatingProcessId |
int |
Az eseményt kezdeményező folyamat folyamatazonosítója (PID) |
InitiatingProcessCommandLine |
string |
Az eseményt kezdeményező folyamat futtatásához használt parancssor |
InitiatingProcessCreationTime |
datetime |
Az eseményt kezdeményező folyamat indításának dátuma és időpontja |
InitiatingProcessFolderPath |
string |
Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa |
InitiatingProcessParentId |
int |
Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID) |
InitiatingProcessParentFileName |
string |
Az eseményért felelős folyamatot kiváltó szülőfolyamat neve |
InitiatingProcessParentCreationTime |
datetime |
Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja |
ReportId |
long |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot kell használni a DeviceName és az Időbélyeg oszlopokkal együtt |
AppGuardContainerId |
string |
A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója |