Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tabela zdarzeń procesów urządzeń w usłudze Microsoft Defender for Endpoint. Ta tabela zawiera informacje o tworzeniu procesów i powiązanych zdarzeniach w punkcie końcowym.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Podstawowy log | Tak |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| DomenaKonta | ciąg | Domena konta. |
| NazwaKonta | ciąg | Nazwa użytkownika konta. |
| IdentyfikatorObiektuKonta | ciąg | Unikatowy identyfikator konta w usłudze Azure AD. |
| AccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta. |
| AccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta. |
| Typ akcji | ciąg | Typ działania, które wyzwoliło zdarzenie. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje o jednostce lub zdarzeniu. |
| Identyfikator Kontenera AppGuard | ciąg | Identyfikator zwirtualizowanego kontenera używanego przez funkcję Application Guard do izolowania działania przeglądarki. |
| _RozmiarFakturowany | rzeczywiste | Rozmiar rekordu w bajtach |
| IdSesjiProcesuUtworzonego | długi | Identyfikator sesji systemu Windows utworzonego procesu. |
| Identyfikator urządzenia | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia | ciąg | W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. |
| NazwaPliku | ciąg | Nazwa pliku, do którego zastosowano zarejestrowaną akcję. |
| Rozmiar pliku | długi | Rozmiar pliku w bajtach. |
| FolderPath | ciąg | Folder zawierający plik, do którego zastosowano zarejestrowaną akcję. |
| Inicjowanie ProcessAccountDomain | ciąg | Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieNazwaKontaProcesu | ciąg | Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| RozpoczynanieProcesuKontaObjectId | ciąg | Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieLiniiPoleceńProcesu | ciąg | Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie. |
| InicjowanieCzasTworzeniaProcesu | data/godzina | Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| InicjowanieNazwaPlikuProcesu | ciąg | Nazwa procesu, który zainicjował zdarzenie. |
| InicjowanieRozmiarPlikuProcesu | długi | Rozmiar pliku (bajtów), który uruchomił proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessFolderPath | ciąg | Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
| IdentyfikatorProcesuInicjującego | długi | Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
| Inicjowanie poziomu integralności procesu | ciąg | Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów na podstawie pewnych cech, na przykład po ich pobraniu z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
| InicjowanieProcesuLogowaniaId | długi | Identyfikator sesji logowania procesu, który zainicjował zdarzenie. Ten identyfikator jest unikatowy na tej samej maszynie tylko między ponownymi uruchomieniami. |
| InicjowanieProcessMD5 | ciąg | Skrót MD5 procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessParentCreationTime | data/godzina | Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie. |
| NazwaPlikuRodzicaProcesuInitiowania | ciąg | Nazwa procesu nadrzędnego, który powołał proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który powołał proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessRemoteSessionNazwaUrzadzenia | ciąg | Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP inicjującego proces. |
| InicjowanieSesjiZdalnejProcesuIP | ciąg | Adres IP urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| InicjowanieIdSesjiProcesu | długi | Identyfikator sesji systemu Windows procesu inicjującego. |
| Inicjowanie procesu SHA1 | ciąg | Skrót SHA-1 procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessSHA256 | ciąg | Skrót SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. W niektórych przypadkach ta kolumna może nie zostać wypełniona — zamiast tego użyj kolumny InitiatingProcessSHA1. |
| Inicjowanie statusu sygnatury procesu | ciąg | Informacje o stanie podpisu procesu (pliku obrazu), który zainicjował zdarzenie. |
| RozpoczynanieTypPodpisywaczaProcesu | ciąg | Typ pliku podpisującego proces (pliku obrazka), który zainicjował zdarzenie. |
| InicjowanieProcessTokenElevation | ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu, który zainicjował zdarzenie. |
| Inicjowanie ProcessUniqueId | ciąg | Unikatowy identyfikator procesu inicjującego; jest to klucz początkowy procesu na urządzeniach z systemem Windows. |
| InicjowanieProcessVersionInfoNazwaFirmy | ciąg | Nazwa firmy odpowiedzialnej za zdarzenie w informacjach o wersji (pliku obrazu). |
| Inicjowanie Opisu Pliku Wersji Procesu | ciąg | Opis w informacjach o wersji (plik obrazu) odpowiedzialny za zdarzenie. |
| InicjowanieProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| UruchamianieProcessVersionInfoOriginalFileName | ciąg | Oryginalna nazwa pliku w informacjach o wersji (plik obrazu) odpowiedzialny za zdarzenie. |
| Inicjowanie Informacji o Wersji Procesu Produktu | ciąg | Nazwa produktu w informacjach o wersji pliku obrazu odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoProductVersion | ciąg | Wersja produktu w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| _PodlegaFakturowaniu | ciąg | Określa, czy pozyskiwanie danych generuje opłaty. Gdy _IsBillable wynosi false, pozyskiwanie danych nie jest rozliczane na koncie platformy Azure. |
| CzyProcesInicjujeSesjęZdalną | Bool | Wskazuje, czy proces inicjowania został uruchomiony w ramach sesji protokołu RDP (remote desktop protocol) lub lokalnie (false). |
| CzyProcesSesjiZdalnej | Bool | Wskazuje, czy utworzony proces został uruchomiony w ramach sesji protokołu RDP (remote desktop protocol) lub lokalnie (false). |
| Identyfikator logowania | długi | Identyfikator sesji logowania. Ten identyfikator jest unikatowy na tej samej maszynie tylko między ponownymi uruchomieniami. |
| Grupa maszyn | ciąg | Grupa maszynowa maszyny Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| MD5 | ciąg | Skrót MD5 pliku, do którego zastosowano zarejestrowaną akcję. |
| ProcessCommandLine | ciąg | Wiersz polecenia służący do utworzenia nowego procesu. |
| CzasTworzeniaProcesu | data/godzina | Data i godzina utworzenia procesu. |
| Identyfikator procesu | długi | Identyfikator procesu (PID) nowo utworzonego procesu. |
| PoziomIntegralnościProcesu | ciąg | Poziom integralności nowo utworzonego procesu. System Windows przypisuje poziomy integralności do procesów na podstawie określonych cech, takich jak uruchomienie ich po pobraniu z internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
| NazwaUrządzeniaSesjiZdalnej | ciąg | Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP utworzonego procesu. |
| PrzetwarzanieZdalnychSesjiIP | ciąg | Adres IP urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP utworzonego procesu. |
| ProcessTokenElevation | ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do nowo utworzonego procesu. |
| ProcessUniqueId | ciąg | Unikatowy identyfikator procesu; jest to klucz początkowy procesu na urządzeniach z systemem Windows. |
| ProcessVersionInfoCompanyName | ciąg | Nazwa firmy z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoFileDescription | ciąg | Opis z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoOriginalFileName | ciąg | Oryginalna nazwa pliku z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoProductName | ciąg | Nazwa produktu pobrana z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoProductVersion | ciąg | Wersja produktu według informacji o wersji nowo utworzonego procesu. |
| Identyfikator raportu | długi | Identyfikator zdarzenia na podstawie powtarzającego się licznika. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
| SHA1 | ciąg | Skrót SHA-1 pliku, do którego zastosowano zarejestrowaną akcję. |
| SHA256 | ciąg | SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager dla agenta systemu Windows, czy to bezpośredniego połączenia, czy programu Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla usługi Diagnostyka Azure. |
| Identyfikator Najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Typ | ciąg | Nazwa tabeli |