DeviceProcessEvents
Microsoft Defender per la tabella eventi del processo del dispositivo endpoint (MDE). Questa tabella contiene informazioni sulla creazione del processo e sugli eventi correlati nell'endpoint.
Attributi tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
AccountDomain | string | Dominio dell'account. |
AccountName | string | Nome utente dell'account. |
AccountObjectId | string | Identificatore univoco per l'account in Azure AD. |
AccountSid | string | Identificatore di sicurezza (SID) dell'account. |
AccountUpn | string | Nome entità utente (UPN) dell'account. |
ActionType | string | Tipo di attività che ha attivato l'evento. |
Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
AppGuardContainerId | string | Identificatore per il contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
_BilledSize | real | Dimensioni del record in byte |
DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
DeviceName | string | Nome di dominio completo (FQDN) del dispositivo. |
FileName | string | Nome del file a cui è stata applicata l'azione registrata. |
FileSize | long | Dimensioni del file, in byte. |
FolderPath | string | Cartella contenente il file a cui è stata applicata l'azione registrata. |
AvvioprocessAccountDomain | string | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessAccountName | string | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessAccountObjectId | string | ID oggetto Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
Avvio diProcessAccountSid | string | Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessAccountUpn | string | Nome entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessCommandLine | string | Riga di comando usata per eseguire il processo che ha avviato l'evento. |
AvvioprocessCreationTime | Datetime | Data e ora dell'avvio del processo avviato dall'evento. |
AvvioProcessFileName | string | Nome del processo che ha avviato l'evento. |
AvvioprocessFileSize | long | Dimensione del file (byte) che ha eseguito il processo responsabile dell'evento. |
Avvio diProcessFolderPath | string | Cartella contenente il processo (file immagine) che ha avviato l'evento. |
AvvioprocessId | long | ID processo (PID) del processo che ha avviato l'evento. |
AvvioprocessIntegrityLevel | string | Livello di integrità del processo che ha avviato l'evento. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
StartingProcessLogonId | long | Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
AvvioprocessMD5 | string | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
AvvioProcessParentCreationTime | Datetime | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
AvvioProcessParentFileName | string | Nome del processo padre che ha generato il processo responsabile dell'evento. |
AvvioprocessParentId | long | ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
AvvioprocessSHA1 | string | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
AvvioprocessSHA256 | string | Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. In alcuni casi questa colonna potrebbe non essere popolata. Usare invece la colonna DiavvioProcessSHA1. |
AvvioprocessSignatureStatus | string | Informazioni sullo stato della firma del processo (file di immagine) che ha avviato l'evento. |
AvvioProcessSignerType | string | Tipo di firmatario di file del processo (file di immagine) che ha avviato l'evento. |
AvvioprocessTokenElevation | string | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di Controllo di accesso utente applicata al processo che ha avviato l'evento. |
AvvioProcessVersionInfoCompanyName | string | Nome della società nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoFileDescription | string | Descrizione nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoInternalFileName | string | Nome file interno nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoOriginalFileName | string | Nome file originale nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoProductName | string | Nome del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoProductVersion | string | Versione del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
LogonId | long | Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
MachineGroup | string | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
MD5 | string | Hash MD5 del file a cui è stata applicata l'azione registrata. |
ProcessCommandLine | string | Riga di comando usata per creare il nuovo processo. |
ProcessCreationTime | Datetime | Data e ora di creazione del processo. |
ProcessId | long | ID processo (PID) del processo appena creato. |
ProcessIntegrityLevel | string | Livello di integrità del processo appena creato. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da internet scaricate. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
ProcessTokenElevation | string | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo appena creato. |
ProcessVersionInfoCompanyName | string | Nome della società dalle informazioni sulla versione del processo appena creato. |
ProcessVersionInfoFileDescription | string | Descrizione delle informazioni sulla versione del processo appena creato. |
ProcessVersionInfoInternalFileName | string | Nome file interno dalle informazioni sulla versione del processo appena creato. |
ProcessVersionInfoOriginalFileName | string | Nome file originale dalle informazioni sulla versione del processo appena creato. |
ProcessVersionInfoProductName | string | Nome del prodotto dalle informazioni sulla versione del processo appena creato. |
ProcessVersionInfoProductVersion | string | Versione del prodotto dalle informazioni sulla versione del processo appena creato. |
ReportId | long | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere usata in combinazione con le colonne ComputerName e EventTime. |
SHA1 | string | Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
SHA256 | string | SHA-256 del file a cui è stata applicata l'azione registrata. |
SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
TenantId | string | ID area di lavoro Log Analytics |
TimeGenerated | Datetime | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
Type | string | Nome della tabella |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per