Udostępnij za pośrednictwem


DeviceImageLoadEvents

Dotyczy:

  • Microsoft Defender XDR
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Tabela DeviceImageLoadEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zdarzeniach ładowania bibliotek DLL. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.

Porada

Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina zarejestrowania zdarzenia
DeviceId string Unikatowy identyfikator urządzenia w usłudze
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
ActionType string Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje , zobacz dokumentację schematu w portalu .
FileName string Nazwa pliku, do którego została zastosowana zarejestrowana akcja
FolderPath string Folder zawierający plik, do który zastosowano zarejestrowaną akcję
SHA1 string SHA-1 pliku, do który zastosowano zarejestrowaną akcję
SHA256 string SHA-256 pliku, do który zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna.
MD5 string Skrót MD5 pliku, do który zastosowano zarejestrowaną akcję
FileSize long Rozmiar pliku w bajtach
InitiatingProcessAccountDomain string Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountName string Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie; Jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie.
InitiatingProcessAccountSid string Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountUpn string Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, nazwa UPN identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie, może zostać wyświetlona zamiast tego
InitiatingProcessAccountObjectId string Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessIntegrityLevel string Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów w oparciu o pewne cechy, takie jak uruchamianie ich z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów.
InitiatingProcessTokenElevation string Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu, który zainicjował zdarzenie
InitiatingProcessSHA1 string SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessSHA256 string SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna.
InitiatingProcessMD5 string Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessFileName string Nazwa pliku procesu, który zainicjował zdarzenie; Jeśli jest niedostępny, nazwa procesu, który zainicjował zdarzenie, może być wyświetlana zamiast tego
InitiatingProcessFileSize long Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie
InitiatingProcessVersionInfoCompanyName string Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductName string Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductVersion string Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoInternalFileName string Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoOriginalFileName string Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoFileDescription string Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessId long Identyfikator procesu (PID) procesu, który zainicjował zdarzenie
InitiatingProcessCommandLine string Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie
InitiatingProcessCreationTime datetime Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie
InitiatingProcessFolderPath string Folder zawierający proces (plik obrazu), który zainicjował zdarzenie
InitiatingProcessParentId long Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie
InitiatingProcessParentFileName string Nazwa procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie
InitiatingProcessParentCreationTime datetime Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie
ReportId long Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp.
AppGuardContainerId string Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki
InitiatingProcessSessionId long Identyfikator sesji systemu Windows procesu inicjowania
IsInitiatingProcessRemoteSession bool Wskazuje, czy proces inicjujący został uruchomiony w ramach sesji protokołu PULPITU zdalnego (RDP) (true), czy lokalnie (false)
InitiatingProcessRemoteSessionDeviceName string Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania
InitiatingProcessRemoteSessionIP string Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.