DeviceProcessEvents
Obs!
Vil du prøve Microsoft 365 Defender? Finn ut mer om hvordan du kan evaluere og prøve ut Microsoft 365 Defender.
Gjelder for:
- Microsoft 365 Defender
- Microsoft Defender for endepunkt
Tabellen DeviceProcessEvents i det avanserte jaktskjemaet inneholder informasjon om oppretting av prosesser og relaterte hendelser. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionTypeverdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft 365 Defender.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
DeviceId |
string |
Unik identifikator for maskinen i tjenesten |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på maskinen |
ActionType |
string |
Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon |
FileName |
string |
Navnet på filen som den registrerte handlingen ble brukt på |
FolderPath |
string |
Mappe som inneholder filen som den registrerte handlingen ble brukt på |
SHA1 |
string |
SHA-1 for filen som den registrerte handlingen ble brukt på |
SHA256 |
string |
SHA-256 av filen som den registrerte handlingen ble brukt på. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig. |
MD5 |
string |
MD5-hash for filen som den registrerte handlingen ble brukt på |
FileSize |
long |
Størrelsen på filen i byte |
ProcessVersionInfoCompanyName |
string |
Firmanavn fra versjonsinformasjonen for den nylig opprettede prosessen |
ProcessVersionInfoProductName |
string |
Produktnavn fra versjonsinformasjonen for den nylig opprettede prosessen |
ProcessVersionInfoProductVersion |
string |
Produktversjon fra versjonsinformasjonen for den nylig opprettede prosessen |
ProcessVersionInfoInternalFileName |
string |
Internt filnavn fra versjonsinformasjonen for den nylig opprettede prosessen |
ProcessVersionInfoOriginalFileName |
string |
Opprinnelig filnavn fra versjonsinformasjonen for den nylig opprettede prosessen |
ProcessVersionInfoFileDescription |
string |
Beskrivelse fra versjonsinformasjonen for den nylig opprettede prosessen |
ProcessId |
int |
Prosess-ID (PID) for den nyopprettede prosessen |
ProcessCommandLine |
string |
Kommandolinje som brukes til å opprette den nye prosessen |
ProcessIntegrityLevel |
string |
Integritetsnivå for den nylig opprettede prosessen. Windows tilordner integritetsnivåer til prosesser basert på bestemte egenskaper, for eksempel hvis de ble startet fra en Internett-nedlasting. Disse integritetsnivåene påvirker tillatelser til ressurser |
ProcessTokenElevation |
string |
Angir typen tokenforhøyning som brukes på den nylig opprettede prosessen. Mulige verdier: TokenElevationTypeLimited (begrenset), TokenElevationTypeDefault (standard) og TokenElevationTypeFull (forhøyet) |
ProcessCreationTime |
datetime |
Dato og klokkeslett prosessen ble opprettet |
AccountDomain |
string |
Domene for kontoen |
AccountName |
string |
Brukernavn for kontoen |
AccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
AccountObjectId |
string |
Unik identifikator for kontoen i Azure AD |
LogonId |
string |
Identifikator for en påloggingsøkt. Denne identifikatoren er unik på samme maskin bare mellom omstarter |
InitiatingProcessAccountDomain |
string |
Domene for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountName |
string |
Brukernavnet til kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountUpn |
string |
Brukerhovednavn (UPN) for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountObjectId |
string |
Azure AD objekt-ID for brukerkontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessLogonId |
string |
Identifikator for en påloggingsøkt for prosessen som startet hendelsen. Denne identifikatoren er unik på samme maskin bare mellom omstarter. |
InitiatingProcessIntegrityLevel |
string |
Integritetsnivå for prosessen som startet hendelsen. Windows tilordner integritetsnivåer til prosesser basert på bestemte egenskaper, for eksempel om de ble startet fra en nedlasting på Internett. Disse integritetsnivåene påvirker tillatelser til ressurser |
InitiatingProcessTokenElevation |
string |
Tokentype som angir tilstedeværelsen eller fraværet av bruker Access Control (UAC) rettighetsutvidelse brukt på prosessen som startet hendelsen |
InitiatingProcessSHA1 |
string |
SHA-1 av prosessen (bildefil) som startet hendelsen |
InitiatingProcessSHA256 |
string |
SHA-256 av prosessen (bildefil) som startet hendelsen. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig. |
InitiatingProcessMD5 |
string |
MD5-hash for prosessen (bildefil) som startet hendelsen |
InitiatingProcessFileName |
string |
Navnet på prosessen som startet hendelsen |
InitiatingProcessFileSize |
long |
Størrelsen på filen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessVersionInfoCompanyName |
string |
Firmanavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoProductName |
string |
Produktnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversjon fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoOriginalFileName |
string |
Opprinnelig filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivelse fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessId |
int |
Prosess-ID (PID) for prosessen som startet hendelsen |
InitiatingProcessCommandLine |
string |
Kommandolinje som brukes til å kjøre prosessen som startet hendelsen |
InitiatingProcessCreationTime |
datetime |
Dato og klokkeslett da prosessen som startet hendelsen ble startet |
InitiatingProcessFolderPath |
string |
Mappe som inneholder prosessen (bildefilen) som startet hendelsen |
InitiatingProcessParentId |
int |
Prosess-ID (PID) for den overordnede prosessen som utløste prosessen som var ansvarlig for hendelsen |
InitiatingProcessParentFileName |
string |
Navnet på den overordnede prosessen som gav prosessen som var ansvarlig for hendelsen |
InitiatingProcessParentCreationTime |
datetime |
Dato og klokkeslett da den overordnede for prosessen som var ansvarlig for hendelsen, ble startet |
InitiatingProcessSignerType |
string |
Type fil signatar for prosessen (bildefil) som startet hendelsen |
InitiatingProcessSignatureStatus |
string |
Informasjon om signaturstatusen for prosessen (bildefil) som startet hendelsen |
ReportId |
long |
Hendelsesidentifikator basert på en gjentatt teller. Hvis du vil identifisere unike hendelser, må denne kolonnen brukes sammen med kolonnene DeviceName og Timestamp |
AppGuardContainerId |
string |
Identifikator for den virtualiserte beholderen som brukes av Application Guard til å isolere nettleseraktivitet |
AdditionalFields |
string |
Tilleggsinformasjon om hendelsen i JSON-matriseformat |