DeviceProcessEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
A DeviceProcessEvents
speciális veszélyforrás-keresési séma táblázata a folyamatlétrehozásról és a kapcsolódó eseményekről tartalmaz információkat. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionType
értékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
DeviceId |
string |
Az eszköz egyedi azonosítója a szolgáltatásban |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa. A részletekért tekintse meg a portálon belüli sémareferenciát . |
FileName |
string |
Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták |
FolderPath |
string |
A rögzített műveletet alkalmazó fájlt tartalmazó mappa |
SHA1 |
string |
A rögzített műveletet alkalmazó fájl SHA-1 fájlja |
SHA256 |
string |
A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
MD5 |
string |
A rögzített műveletet alkalmazó fájl MD5-kivonata |
FileSize |
long |
A fájl mérete bájtban |
ProcessVersionInfoCompanyName |
string |
Az újonnan létrehozott folyamat verzióinformációiból származó cégnév |
ProcessVersionInfoProductName |
string |
Az újonnan létrehozott folyamat verzióinformációiból származó terméknév |
ProcessVersionInfoProductVersion |
string |
Az újonnan létrehozott folyamat verzióinformációiból származó termékverzió |
ProcessVersionInfoInternalFileName |
string |
Az újonnan létrehozott folyamat verzióinformációiból származó belső fájlnév |
ProcessVersionInfoOriginalFileName |
string |
Az újonnan létrehozott folyamat verzióinformációiból származó eredeti fájlnév |
ProcessVersionInfoFileDescription |
string |
Az újonnan létrehozott folyamat verzióinformációinak leírása |
ProcessId |
long |
Az újonnan létrehozott folyamat folyamatazonosítója (PID) |
ProcessCommandLine |
string |
Az új folyamat létrehozásához használt parancssor |
ProcessIntegrityLevel |
string |
Az újonnan létrehozott folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat egy letöltött internetről indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
ProcessTokenElevation |
string |
Az újonnan létrehozott folyamatra alkalmazott jogkivonat-emelés típusát jelzi. Lehetséges értékek: TokenElevationTypeLimited (korlátozott), TokenElevationTypeDefault (standard) és TokenElevationTypeFull (emelt szintű) |
ProcessCreationTime |
datetime |
A folyamat létrehozásának dátuma és időpontja |
AccountDomain |
string |
A fiók tartománya |
AccountName |
string |
A fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, a fiók Entra-azonosítójának felhasználóneve jelenhet meg helyette |
AccountSid |
string |
A fiók biztonsági azonosítója (SID) |
AccountUpn |
string |
A fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, a fiók Entra ID UPN-je jelenhet meg helyette |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra ID |
LogonId |
long |
Bejelentkezési munkamenet azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön. |
InitiatingProcessAccountDomain |
string |
Az eseményért felelős folyamatot futtató fiók tartománya |
InitiatingProcessAccountName |
string |
Az eseményért felelős folyamatot futtató fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra-azonosító felhasználóneve jelenhet meg helyette |
InitiatingProcessAccountSid |
string |
Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID) |
InitiatingProcessAccountUpn |
string |
Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra ID UPN-je jelenhet meg helyette |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját |
InitiatingProcessLogonId |
long |
Az eseményt kezdeményező folyamat bejelentkezési munkamenetének azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön. |
InitiatingProcessIntegrityLevel |
string |
Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
InitiatingProcessTokenElevation |
string |
Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi |
InitiatingProcessSHA1 |
string |
Az eseményt kezdeményező folyamat (képfájl) SHA-1 kivonata |
InitiatingProcessSHA256 |
string |
SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
InitiatingProcessMD5 |
string |
Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata |
InitiatingProcessFileName |
string |
Az eseményt kezdeményező folyamat neve |
InitiatingProcessFileSize |
long |
Az eseményért felelős folyamatot futtató fájl mérete |
InitiatingProcessVersionInfoCompanyName |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév |
InitiatingProcessVersionInfoProductName |
string |
Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl) |
InitiatingProcessVersionInfoProductVersion |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió |
InitiatingProcessVersionInfoInternalFileName |
string |
Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl) |
InitiatingProcessVersionInfoFileDescription |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása |
InitiatingProcessId |
long |
Az eseményt kezdeményező folyamat folyamatazonosítója (PID) |
InitiatingProcessCommandLine |
string |
Az eseményt kezdeményező folyamat futtatásához használt parancssor |
InitiatingProcessCreationTime |
datetime |
Az eseményt kezdeményező folyamat indításának dátuma és időpontja |
InitiatingProcessFolderPath |
string |
Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa |
InitiatingProcessParentId |
long |
Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID) |
InitiatingProcessParentFileName |
string |
Az eseményért felelős folyamatot kiváltó szülőfolyamat neve |
InitiatingProcessParentCreationTime |
datetime |
Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja |
InitiatingProcessSignerType |
string |
Az eseményt kezdeményező folyamat (képfájl) aláírójának típusa |
InitiatingProcessSignatureStatus |
string |
Információ az eseményt kezdeményező folyamat (képfájl) aláírási állapotáról |
ReportId |
long |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni. |
AppGuardContainerId |
string |
A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója |
AdditionalFields |
string |
További információ az eseményről JSON-tömbformátumban |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: