DeviceImageLoadEvents
Tabel ini adalah bagian dari Microsoft Defender untuk Titik Akhir dengan Azure Sentinel. Tabel ini berisi peristiwa pemuatan DLL.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | - |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| ActionType | string | Jenis aktivitas yang memicu peristiwa. |
| AppGuardContainerId | string | Pengidentifikasi untuk kontainer virtual yang digunakan oleh Application Guard untuk mengisolasi aktivitas browser. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DeviceId | string | Pengidentifikasi unik untuk perangkat dalam layanan. |
| DeviceName | string | Nama domain yang sepenuhnya memenuhi syarat (FQDN) perangkat. |
| FileName | string | Domain akun. |
| FileSize | long | Ukuran file dalam byte. |
| FolderPath | string | Domain akun. |
| InitiatingProcessAccountDomain | string | Domain akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessAccountName | string | Nama pengguna akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessAccountObjectId | string | Azure AD ID objek akun pengguna yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessAccountSid | string | Pengidentifikasi Keamanan (SID) akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessAccountUpn | string | Nama prinsipal pengguna (UPN) akun yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses yang memulai peristiwa. |
| InitiatingProcessCreationTime | tanggalwaktu | Tanggal dan waktu ketika proses yang memulai peristiwa dimulai. |
| InitiatingProcessFileName | string | Nama proses yang memulai peristiwa. |
| InitiatingProcessFileSize | long | Ukuran dalam byte proses (file gambar) yang memulai peristiwa. |
| InitiatingProcessFolderPath | string | Folder yang berisi proses (file gambar) yang memulai peristiwa. |
| InitiatingProcessId | long | ID Proses (PID) dari proses yang memulai peristiwa. |
| InitiatingProcessIntegrityLevel | string | Tingkat integritas proses yang memulai peristiwa. Windows menetapkan tingkat integritas ke proses berdasarkan karakteristik tertentu, seperti jika diluncurkan dari unduhan internet. Tingkat integritas ini memengaruhi izin ke sumber daya. |
| InitiatingProcessMD5 | string | Hash MD5 dari proses (file gambar) yang memulai peristiwa. |
| InitiatingProcessParentCreationTime | tanggalwaktu | Tanggal dan waktu ketika induk proses yang bertanggung jawab atas peristiwa dimulai. |
| InitiatingProcessParentFileName | string | Nama proses induk yang menelurkan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessParentId | long | ID Proses (PID) dari proses induk yang melahirkan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessSHA1 | string | Hash SHA-1 dari proses (file gambar) yang memulai peristiwa. |
| InisiatingProcessSHA256 | string | Hash SHA-256 dari proses (file gambar) yang memulai peristiwa. Bidang ini biasanya tidak diisi - gunakan kolom SHA1 jika tersedia. |
| InitiatingProcessTokenElevation | string | Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa User Access Control (UAC) yang diterapkan pada proses yang memulai peristiwa. |
| InitiatingProcessVersionInfoCompanyName | string | Nama perusahaan dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoFileDescription | string | Deskripsi dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoInternalFileName | string | Nama file internal dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nama file asli dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoProductName | string | Nama produk dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoProductVersion | string | Versi produk dari informasi versi proses (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| MachineGroup | string | Grup mesin mesin. Grup ini digunakan oleh kontrol akses berbasis peran untuk menentukan akses ke komputer. |
| MD5 | string | Hash MD5 dari file tempat tindakan yang direkam diterapkan. |
| ReportId | long | Pengidentifikasi peristiwa berdasarkan penghitung berulang. Untuk mengidentifikasi peristiwa unik, kolom ini harus digunakan bersama dengan kolom ComputerName dan EventTime. |
| SHA1 | string | Hash SHA-1 dari file tempat tindakan yang direkam diterapkan. |
| SHA256 | string | SHA-256 dari file tempat tindakan yang direkam diterapkan. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| TenantId | string | ID ruang kerja Analitik Log |
| TimeGenerated | tanggalwaktu | Tanggal dan waktu peristiwa direkam oleh agen MDE pada titik akhir. |
| Jenis | string | Nama tabel |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk