DeviceProcessEvents
Nota
Vuoi provare Microsoft Defender XDR? Altre informazioni su come valutare e pilotare Microsoft Defender XDR.
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint
La DeviceProcessEvents tabella nello schema di ricerca avanzata contiene informazioni sulla creazione del processo e sugli eventi correlati. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
ActionType |
string |
Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale . |
FileName |
string |
Nome del file a cui è stata applicata l'azione registrata |
FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata |
SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata |
SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile). |
MD5 |
string |
Hash MD5 del file a cui è stata applicata l'azione registrata |
FileSize |
long |
Dimensioni del file in byte |
ProcessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoProductName |
string |
Nome prodotto dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo appena creato |
ProcessVersionInfoFileDescription |
string |
Descrizione dalle informazioni sulla versione del processo appena creato |
ProcessId |
long |
ID processo (PID) del processo appena creato |
ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo |
ProcessIntegrityLevel |
string |
Livello di integrità del processo appena creato. Windows assegna i livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet. Questi livelli di integrità influenzano le autorizzazioni per le risorse. |
ProcessTokenElevation |
string |
Indica il tipo di elevazione del token applicato al processo appena creato. Valori possibili: TokenElevationTypeLimited (con restrizioni), TokenElevationTypeDefault (standard) e TokenElevationTypeFull (con privilegi elevati) |
ProcessCreationTime |
datetime |
Data e ora di creazione del processo |
AccountDomain |
string |
Dominio dell'account |
AccountName |
string |
Nome utente dell'account; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato il nome utente dell'ID Entra dell'account |
AccountSid |
string |
Identificatore di sicurezza (SID) dell'account |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato l'UPN ID entra dell'account |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
LogonId |
long |
Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso dispositivo solo tra un riavvio e l'altro. |
InitiatingProcessAccountDomain |
string |
Dominio dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountName |
string |
Nome utente dell'account che ha eseguito il processo responsabile dell'evento; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato il nome utente dell'ID Entra dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountSid |
string |
Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato l'UPN ENTRA ID dell'account che ha eseguito il processo responsabile dell'evento. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID oggetto dell'account utente che ha eseguito il processo responsabile dell'evento |
InitiatingProcessLogonId |
long |
Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso dispositivo solo tra un riavvio e l'altro. |
InitiatingProcessIntegrityLevel |
string |
Livello di integrità del processo che ha avviato l'evento. Windows assegna i livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet. Questi livelli di integrità influenzano le autorizzazioni per le risorse. |
InitiatingProcessTokenElevation |
string |
Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di User Controllo di accesso (UAC) applicata al processo che ha avviato l'evento |
InitiatingProcessSHA1 |
string |
Hash SHA-1 del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessSHA256 |
string |
SHA-256 del processo (file di immagine) che ha avviato l'evento. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile). |
InitiatingProcessMD5 |
string |
Hash MD5 del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessFileName |
string |
Nome del processo che ha avviato l'evento |
InitiatingProcessFileSize |
long |
Dimensioni del file che ha eseguito il processo responsabile dell'evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoProductName |
string |
Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrizione dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessId |
long |
ID processo (PID) del processo che ha avviato l'evento |
InitiatingProcessCommandLine |
string |
Riga di comando usata per eseguire il processo che ha avviato l'evento |
InitiatingProcessCreationTime |
datetime |
Data e ora di avvio del processo che ha avviato l'evento |
InitiatingProcessFolderPath |
string |
Cartella contenente il processo (file di immagine) che ha avviato l'evento |
InitiatingProcessParentId |
long |
ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento |
InitiatingProcessParentFileName |
string |
Nome del processo padre che ha generato il processo responsabile dell'evento |
InitiatingProcessParentCreationTime |
datetime |
Data e ora di avvio dell'elemento padre del processo responsabile dell'evento |
InitiatingProcessSignerType |
string |
Tipo di firmatario di file del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessSignatureStatus |
string |
Informazioni sullo stato della firma del processo (file di immagine) che ha avviato l'evento |
ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser |
AdditionalFields |
string |
Informazioni aggiuntive sull'evento in formato matrice JSON |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per