DeviceProcessEvents

Érintett szolgáltatás:

• Microsoft Defender XDR
• Végponthoz készült Microsoft Defender

A DeviceProcessEventsspeciális veszélyforrás-keresési séma táblázata a folyamatlétrehozásról és a kapcsolódó eseményekről tartalmaz információkat. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Tipp

A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév	Adattípus	Leírás
Timestamp	datetime	Az esemény rögzítésének dátuma és időpontja
DeviceId	string	Az eszköz egyedi azonosítója a szolgáltatásban
DeviceName	string	Az eszköz teljes tartományneve (FQDN)
ActionType	string	Az eseményt kiváltó tevékenység típusa. A részletekért tekintse meg a portálon belüli sémareferenciát .
FileName	string	Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták
FolderPath	string	A rögzített műveletet alkalmazó fájlt tartalmazó mappa
SHA1	string	A rögzített műveletet alkalmazó fájl SHA-1 fájlja
SHA256	string	A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
MD5	string	A rögzített műveletet alkalmazó fájl MD5-kivonata
FileSize	long	A fájl mérete bájtban
ProcessVersionInfoCompanyName	string	Az újonnan létrehozott folyamat verzióinformációiból származó cégnév
ProcessVersionInfoProductName	string	Az újonnan létrehozott folyamat verzióinformációiból származó terméknév
ProcessVersionInfoProductVersion	string	Az újonnan létrehozott folyamat verzióinformációiból származó termékverzió
ProcessVersionInfoInternalFileName	string	Az újonnan létrehozott folyamat verzióinformációiból származó belső fájlnév
ProcessVersionInfoOriginalFileName	string	Az újonnan létrehozott folyamat verzióinformációiból származó eredeti fájlnév
ProcessVersionInfoFileDescription	string	Az újonnan létrehozott folyamat verzióinformációinak leírása
ProcessId	long	Az újonnan létrehozott folyamat folyamatazonosítója (PID)
ProcessCommandLine	string	Az új folyamat létrehozásához használt parancssor
ProcessIntegrityLevel	string	Az újonnan létrehozott folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat egy letöltött internetről indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit.
ProcessTokenElevation	string	Az újonnan létrehozott folyamatra alkalmazott jogkivonat-emelés típusát jelzi. Lehetséges értékek: TokenElevationTypeLimited (korlátozott), TokenElevationTypeDefault (standard) és TokenElevationTypeFull (emelt szintű)
ProcessCreationTime	datetime	A folyamat létrehozásának dátuma és időpontja
AccountDomain	string	A fiók tartománya
AccountName	string	A fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, a fiók Entra-azonosítójának felhasználóneve jelenhet meg helyette
AccountSid	string	A fiók biztonsági azonosítója (SID)
AccountUpn	string	A fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, a fiók Entra ID UPN-je jelenhet meg helyette
AccountObjectId	string	A fiók egyedi azonosítója a Microsoft Entra ID
LogonId	long	Bejelentkezési munkamenet azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön.
InitiatingProcessAccountDomain	string	Az eseményért felelős folyamatot futtató fiók tartománya
InitiatingProcessAccountName	string	Az eseményért felelős folyamatot futtató fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra-azonosító felhasználóneve jelenhet meg helyette
InitiatingProcessAccountSid	string	Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID)
InitiatingProcessAccountUpn	string	Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra ID UPN-je jelenhet meg helyette
InitiatingProcessAccountObjectId	string	Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját
InitiatingProcessLogonId	long	Az eseményt kezdeményező folyamat bejelentkezési munkamenetének azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön.
InitiatingProcessIntegrityLevel	string	Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit.
InitiatingProcessTokenElevation	string	Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi
InitiatingProcessSHA1	string	Az eseményt kezdeményező folyamat (képfájl) SHA-1 kivonata
InitiatingProcessSHA256	string	SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
InitiatingProcessMD5	string	Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata
InitiatingProcessFileName	string	Az eseményt kezdeményező folyamat neve
InitiatingProcessFileSize	long	Az eseményért felelős folyamatot futtató fájl mérete
InitiatingProcessVersionInfoCompanyName	string	Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév
InitiatingProcessVersionInfoProductName	string	Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl)
InitiatingProcessVersionInfoProductVersion	string	Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió
InitiatingProcessVersionInfoInternalFileName	string	Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl)
InitiatingProcessVersionInfoOriginalFileName	string	Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl)
InitiatingProcessVersionInfoFileDescription	string	Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása
InitiatingProcessId	long	Az eseményt kezdeményező folyamat folyamatazonosítója (PID)
InitiatingProcessCommandLine	string	Az eseményt kezdeményező folyamat futtatásához használt parancssor
InitiatingProcessCreationTime	datetime	Az eseményt kezdeményező folyamat indításának dátuma és időpontja
InitiatingProcessFolderPath	string	Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa
InitiatingProcessParentId	long	Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID)
InitiatingProcessParentFileName	string	Az eseményért felelős folyamatot kiváltó szülőfolyamat neve
InitiatingProcessParentCreationTime	datetime	Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja
InitiatingProcessSignerType	string	Az eseményt kezdeményező folyamat (képfájl) aláírójának típusa
InitiatingProcessSignatureStatus	string	Információ az eseményt kezdeményező folyamat (képfájl) aláírási állapotáról
ReportId	long	Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni.
AppGuardContainerId	string	A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója
AdditionalFields	string	További információ az eseményről JSON-tömbformátumban

Kapcsolódó témakörök

• Speciális veszélyforrás-keresés áttekintése
• Lekérdezés nyelvének megismerése
• Megosztott lekérdezések használata
• Keresés eszközök, e-mailek, alkalmazások és identitások között
• A séma értelmezése
• Ajánlott lekérdezési eljárások alkalmazása

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.