DeviceProcessEvents
Nota
Vuoi provare Microsoft 365 Defender? Altre informazioni su come valutare e pilotare Microsoft 365 Defender.
Si applica a:
- Microsoft 365 Defender
- Microsoft Defender per endpoint
La DeviceProcessEvents tabella nello schema di ricerca avanzata contiene informazioni sulla creazione del processo e sugli eventi correlati. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft 365 Defender.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
DeviceId |
string |
Identificatore univoco per il computer nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del computer |
ActionType |
string |
Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale |
FileName |
string |
Nome del file a cui è stata applicata l'azione registrata |
FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata |
SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata |
SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile). |
MD5 |
string |
Hash MD5 del file a cui è stata applicata l'azione registrata |
FileSize |
long |
Dimensioni del file in byte |
ProcessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoProductName |
string |
Nome prodotto dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoFileDescription |
string |
Descrizione dalle informazioni sulla versione del processo appena creato |
ProcessId |
int |
ID processo (PID) del processo appena creato |
ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo |
ProcessIntegrityLevel |
string |
Livello di integrità del processo appena creato. Windows assegna i livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet. Questi livelli di integrità influenzano le autorizzazioni per le risorse |
ProcessTokenElevation |
string |
Indica il tipo di elevazione del token applicato al processo appena creato. Valori possibili: TokenElevationTypeLimited (con restrizioni), TokenElevationTypeDefault (standard) e TokenElevationTypeFull (con privilegi elevati) |
ProcessCreationTime |
datetime |
Data e ora di creazione del processo |
AccountDomain |
string |
Dominio dell'account |
AccountName |
string |
Nome utente dell'account |
AccountSid |
string |
Identificatore di sicurezza (SID) dell'account |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
AccountObjectId |
string |
Identificatore univoco per l'account in Azure AD |
LogonId |
string |
Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso computer solo tra i riavvii |
InitiatingProcessAccountDomain |
string |
Dominio dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountName |
string |
Nome utente dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountSid |
string |
Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountObjectId |
string |
ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento |
InitiatingProcessLogonId |
string |
Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra un riavvio e l'altro. |
InitiatingProcessIntegrityLevel |
string |
Livello di integrità del processo che ha avviato l'evento. Windows assegna i livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet. Questi livelli di integrità influenzano le autorizzazioni per le risorse |
InitiatingProcessTokenElevation |
string |
Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di User Controllo di accesso (UAC) applicata al processo che ha avviato l'evento |
InitiatingProcessSHA1 |
string |
SHA-1 del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessSHA256 |
string |
SHA-256 del processo (file di immagine) che ha avviato l'evento. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile). |
InitiatingProcessMD5 |
string |
Hash MD5 del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessFileName |
string |
Nome del processo che ha avviato l'evento |
InitiatingProcessFileSize |
long |
Dimensioni del file che ha eseguito il processo responsabile dell'evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoProductName |
string |
Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrizione dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessId |
int |
ID processo (PID) del processo che ha avviato l'evento |
InitiatingProcessCommandLine |
string |
Riga di comando usata per eseguire il processo che ha avviato l'evento |
InitiatingProcessCreationTime |
datetime |
Data e ora di avvio del processo che ha avviato l'evento |
InitiatingProcessFolderPath |
string |
Cartella contenente il processo (file di immagine) che ha avviato l'evento |
InitiatingProcessParentId |
int |
ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento |
InitiatingProcessParentFileName |
string |
Nome del processo padre che ha generato il processo responsabile dell'evento |
InitiatingProcessParentCreationTime |
datetime |
Data e ora di avvio dell'elemento padre del processo responsabile dell'evento |
InitiatingProcessSignerType |
string |
Tipo di firmatario di file del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessSignatureStatus |
string |
Informazioni sullo stato della firma del processo (file di immagine) che ha avviato l'evento |
ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp |
AppGuardContainerId |
string |
Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser |
AdditionalFields |
string |
Informazioni aggiuntive sull'evento in formato matrice JSON |