Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta tabela jest częścią Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą usługi Azure Sentinel. Ta tabela zawiera zdarzenia ładowania bibliotek DLL.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Podstawowy log | Tak |
| Przekształcanie danych podczas pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Typ akcji | ciąg | Typ działania, które wyzwoliło zdarzenie. |
| Identyfikator Kontenera AppGuard | ciąg | Identyfikator zwirtualizowanego kontenera używanego przez funkcję Application Guard do izolowania działania przeglądarki. |
| _RozmiarFakturowany | rzeczywiste | Rozmiar rekordu w bajtach |
| Identyfikator urządzenia | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia | ciąg | W pełni kwalifikowana nazwa domeny (Fully Qualified Domain Name, FQDN) urządzenia. |
| NazwaPliku | ciąg | Domena konta. |
| Rozmiar pliku | długi | Rozmiar pliku w bajtach. |
| FolderPath | ciąg | Domena konta. |
| InicjowanieDomenyKontaProcesu | ciąg | Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| RozpoczęcieNazwaKontaProcesu | ciąg | Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountObjectId | ciąg | Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie. |
| Inicjowanie ProcessAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcesuKontaUPN | ciąg | Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| Inicjowanie procesu wiersza poleceń | ciąg | Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie. |
| CzasTworzeniaProcesuInicjowanie | data/godzina | Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| InicjowanieNazwyPlikuProcesu | ciąg | Nazwa procesu, który zainicjował zdarzenie. |
| InicjowanieRozmiaruPlikuProcesu | długi | Rozmiar w bajtach procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessFolderPath | ciąg | Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
| IdentyfikatorProcesuInicjującego | długi | Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
| InicjowaniePoziomuIntegralnościProcesu | ciąg | Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje procesom poziomy integralności na podstawie pewnych cech, takich jak to, czy zostały uruchomione po pobraniu z Internetu. Te poziomy integralności wpływają na uprawnienia do zasobów. |
| Inicjowanie Procesu MD5 | ciąg | Skrót MD5 procesu (plik obrazu), który zainicjował zdarzenie. |
| RozpoczęcieCzasTworzeniaRodzicaProcesu | data/godzina | Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie. |
| Inicjowanie ProcessParentFileName | ciąg | Nazwa procesu rodzica, który uruchomił proces odpowiedzialny za zdarzenie. |
| Inicjowanie ProcessParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który uruchomił proces odpowiedzialny za zdarzenie. |
| Inicjowanie procesu zdalnej sesji urządzenia o nazwie DeviceName | ciąg | Nazwa urządzenia zdalnego, z którego proces inicjujący zainicjował sesję RDP. |
| InicjowanieProcessRemoteSessionIP | ciąg | Adres IP urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| InicjowanieProcessSessionId | długi | Identyfikator sesji systemu Windows dla procesu inicjującego. |
| Proces Inicjujący SHA1 | ciąg | Skrót SHA-1 procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcesuSHA256 | ciąg | Skrót SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełniane — jeśli jest dostępna, użyj kolumny SHA1. |
| InicjowaniePodnoszeniaTokenuProcesu | ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu, który zainicjował zdarzenie. |
| Inicjowanie ProcessUniqueId | ciąg | Unikatowy identyfikator procesu inicjującego; jest to klucz początkowy procesu na urządzeniach z systemem Windows. |
| Inicjowanie ProcessVersionInfoCompanyName | ciąg | Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| Inicjowanie opisu pliku informacji o wersji procesu | ciąg | Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoOriginalFileName | ciąg | Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoProductName | ciąg | Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| Inicjowanie procesu Informacje o wersji produktu | ciąg | Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| _PodlegaFakturowaniu | ciąg | Określa, czy pozyskiwanie danych wiąże się z naliczaniem opłat. Jeśli _IsBillable wynosi false, pozyskiwanie nie jest rozliczane na koncie platformy Azure. |
| CzyInicjujeSesjęZdalnegoProcesu | Bool | Wskazuje, czy proces inicjowania został uruchomiony w ramach sesji protokołu RDP (remote desktop protocol) lub lokalnie (false). |
| Grupa maszyn | ciąg | Grupa maszynowa maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| MD5 | ciąg | Skrót MD5 pliku, do którego zastosowano zarejestrowaną akcję. |
| Identyfikator raportu | długi | Identyfikator zdarzenia oparty na liczniku z powtarzanym cyklem. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
| SHA1 | ciąg | Skrót SHA-1 pliku, do którego zastosowano zarejestrowaną akcję. |
| SHA256 | ciąg | SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager dla agenta systemu Windows — bezpośredniego połączenia lub Operations Managera — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyki Azure |
| Identyfikator Najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Typ | ciąg | Nazwa tabeli |