DeviceImageLoadEvents
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
Tabela DeviceImageLoadEvents
w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zdarzeniach ładowania bibliotek DLL. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Porada
Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionType
wartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
Nazwa kolumny | Typ danych | Opis |
---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje , zobacz dokumentację schematu w portalu . |
FileName |
string |
Nazwa pliku, do którego została zastosowana zarejestrowana akcja |
FolderPath |
string |
Folder zawierający plik, do który zastosowano zarejestrowaną akcję |
SHA1 |
string |
SHA-1 pliku, do który zastosowano zarejestrowaną akcję |
SHA256 |
string |
SHA-256 pliku, do który zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
MD5 |
string |
Skrót MD5 pliku, do który zastosowano zarejestrowaną akcję |
FileSize |
long |
Rozmiar pliku w bajtach |
InitiatingProcessAccountDomain |
string |
Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountName |
string |
Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie; Jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie. |
InitiatingProcessAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountUpn |
string |
Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, nazwa UPN identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie, może zostać wyświetlona zamiast tego |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessIntegrityLevel |
string |
Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów w oparciu o pewne cechy, takie jak uruchamianie ich z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
InitiatingProcessTokenElevation |
string |
Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu, który zainicjował zdarzenie |
InitiatingProcessSHA1 |
string |
SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessSHA256 |
string |
SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
InitiatingProcessMD5 |
string |
Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessFileName |
string |
Nazwa pliku procesu, który zainicjował zdarzenie; Jeśli jest niedostępny, nazwa procesu, który zainicjował zdarzenie, może być wyświetlana zamiast tego |
InitiatingProcessFileSize |
long |
Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie |
InitiatingProcessVersionInfoCompanyName |
string |
Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductName |
string |
Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductVersion |
string |
Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoFileDescription |
string |
Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessId |
long |
Identyfikator procesu (PID) procesu, który zainicjował zdarzenie |
InitiatingProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie |
InitiatingProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie |
InitiatingProcessFolderPath |
string |
Folder zawierający proces (plik obrazu), który zainicjował zdarzenie |
InitiatingProcessParentId |
long |
Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentFileName |
string |
Nazwa procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentCreationTime |
datetime |
Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie |
ReportId |
long |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
AppGuardContainerId |
string |
Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki |
InitiatingProcessSessionId |
long |
Identyfikator sesji systemu Windows procesu inicjowania |
IsInitiatingProcessRemoteSession |
bool |
Wskazuje, czy proces inicjujący został uruchomiony w ramach sesji protokołu PULPITU zdalnego (RDP) (true), czy lokalnie (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
InitiatingProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.