DeviceProcessEvents
Microsoft Defender per la tabella eventi del processo del dispositivo endpoint (MDE). Questa tabella contiene informazioni sulla creazione del processo e sugli eventi correlati nell'endpoint.
Attributi tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AccountDomain | string | Dominio dell'account. |
| AccountName | string | Nome utente dell'account. |
| AccountObjectId | string | Identificatore univoco per l'account in Azure AD. |
| AccountSid | string | Identificatore di sicurezza (SID) dell'account. |
| AccountUpn | string | Nome entità utente (UPN) dell'account. |
| ActionType | string | Tipo di attività che ha attivato l'evento. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId | string | Identificatore per il contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize | real | Dimensioni del record in byte |
| DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
| DeviceName | string | Nome di dominio completo (FQDN) del dispositivo. |
| FileName | string | Nome del file a cui è stata applicata l'azione registrata. |
| FileSize | long | Dimensioni del file, in byte. |
| FolderPath | string | Cartella contenente il file a cui è stata applicata l'azione registrata. |
| AvvioprocessAccountDomain | string | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountName | string | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountObjectId | string | ID oggetto Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| Avvio diProcessAccountSid | string | Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountUpn | string | Nome entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessCommandLine | string | Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| AvvioprocessCreationTime | Datetime | Data e ora dell'avvio del processo avviato dall'evento. |
| AvvioProcessFileName | string | Nome del processo che ha avviato l'evento. |
| AvvioprocessFileSize | long | Dimensione del file (byte) che ha eseguito il processo responsabile dell'evento. |
| Avvio diProcessFolderPath | string | Cartella contenente il processo (file immagine) che ha avviato l'evento. |
| AvvioprocessId | long | ID processo (PID) del processo che ha avviato l'evento. |
| AvvioprocessIntegrityLevel | string | Livello di integrità del processo che ha avviato l'evento. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| StartingProcessLogonId | long | Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| AvvioprocessMD5 | string | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| AvvioProcessParentCreationTime | Datetime | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| AvvioProcessParentFileName | string | Nome del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessParentId | long | ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessSHA1 | string | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessSHA256 | string | Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. In alcuni casi questa colonna potrebbe non essere popolata. Usare invece la colonna DiavvioProcessSHA1. |
| AvvioprocessSignatureStatus | string | Informazioni sullo stato della firma del processo (file di immagine) che ha avviato l'evento. |
| AvvioProcessSignerType | string | Tipo di firmatario di file del processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessTokenElevation | string | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di Controllo di accesso utente applicata al processo che ha avviato l'evento. |
| AvvioProcessVersionInfoCompanyName | string | Nome della società nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoFileDescription | string | Descrizione nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoInternalFileName | string | Nome file interno nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoOriginalFileName | string | Nome file originale nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoProductName | string | Nome del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoProductVersion | string | Versione del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| LogonId | long | Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| MachineGroup | string | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| MD5 | string | Hash MD5 del file a cui è stata applicata l'azione registrata. |
| ProcessCommandLine | string | Riga di comando usata per creare il nuovo processo. |
| ProcessCreationTime | Datetime | Data e ora di creazione del processo. |
| ProcessId | long | ID processo (PID) del processo appena creato. |
| ProcessIntegrityLevel | string | Livello di integrità del processo appena creato. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da internet scaricate. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| ProcessTokenElevation | string | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo appena creato. |
| ProcessVersionInfoCompanyName | string | Nome della società dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoFileDescription | string | Descrizione delle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoInternalFileName | string | Nome file interno dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoOriginalFileName | string | Nome file originale dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoProductName | string | Nome del prodotto dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoProductVersion | string | Versione del prodotto dalle informazioni sulla versione del processo appena creato. |
| ReportId | long | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere usata in combinazione con le colonne ComputerName e EventTime. |
| SHA1 | string | Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 | string | SHA-256 del file a cui è stata applicata l'azione registrata. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per