DeviceProcessEvents
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
Tabela DeviceProcessEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o tworzeniu procesów i powiązanych zdarzeniach. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Porada
Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje , zobacz dokumentację schematu w portalu . |
FileName |
string |
Nazwa pliku, do którego została zastosowana zarejestrowana akcja |
FolderPath |
string |
Folder zawierający plik, do który zastosowano zarejestrowaną akcję |
SHA1 |
string |
SHA-1 pliku, do który zastosowano zarejestrowaną akcję |
SHA256 |
string |
SHA-256 pliku, do który zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
MD5 |
string |
Skrót MD5 pliku, do który zastosowano zarejestrowaną akcję |
FileSize |
long |
Rozmiar pliku w bajtach |
ProcessVersionInfoCompanyName |
string |
Nazwa firmy z informacji o wersji nowo utworzonego procesu |
ProcessVersionInfoProductName |
string |
Nazwa produktu z informacji o wersji nowo utworzonego procesu |
ProcessVersionInfoProductVersion |
string |
Wersja produktu z informacji o wersji nowo utworzonego procesu |
ProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku z informacji o wersji nowo utworzonego procesu |
ProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku z informacji o wersji nowo utworzonego procesu |
ProcessVersionInfoFileDescription |
string |
Opis z informacji o wersji nowo utworzonego procesu |
ProcessId |
long |
Identyfikator procesu (PID) nowo utworzonego procesu |
ProcessCommandLine |
string |
Wiersz polecenia używany do utworzenia nowego procesu |
ProcessIntegrityLevel |
string |
Poziom integralności nowo utworzonego procesu. System Windows przypisuje poziomy integralności do procesów w oparciu o pewne cechy, takie jak uruchamianie z pobranego Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
ProcessTokenElevation |
string |
Wskazuje typ podniesienia poziomu tokenu zastosowany do nowo utworzonego procesu. Możliwe wartości: TokenElevationTypeLimited (ograniczone), TokenElevationTypeDefault (standardowa) i TokenElevationTypeFull (podwyższony poziom uprawnień) |
ProcessCreationTime |
datetime |
Data i godzina utworzenia procesu |
AccountDomain |
string |
Domena konta |
AccountName |
string |
Nazwa użytkownika konta; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta |
AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta |
AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, nazwa UPN identyfikatora Entra konta może zostać wyświetlona zamiast tego |
AccountObjectId |
string |
Unikatowy identyfikator konta w Tożsamość Microsoft Entra |
LogonId |
long |
Identyfikator sesji logowania. Ten identyfikator jest unikatowy na tym samym urządzeniu tylko między ponownymi uruchomieniami. |
InitiatingProcessAccountDomain |
string |
Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountName |
string |
Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie; Jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie. |
InitiatingProcessAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountUpn |
string |
Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, nazwa UPN identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie, może zostać wyświetlona zamiast tego |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessLogonId |
long |
Identyfikator sesji logowania procesu, który zainicjował zdarzenie. Ten identyfikator jest unikatowy na tym samym urządzeniu tylko między ponownymi uruchomieniami. |
InitiatingProcessIntegrityLevel |
string |
Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów w oparciu o pewne cechy, takie jak uruchamianie ich z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
InitiatingProcessTokenElevation |
string |
Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu, który zainicjował zdarzenie |
InitiatingProcessSHA1 |
string |
Skrót SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessSHA256 |
string |
SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
InitiatingProcessMD5 |
string |
Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessFileName |
string |
Nazwa pliku procesu, który zainicjował zdarzenie; Jeśli jest niedostępny, nazwa procesu, który zainicjował zdarzenie, może być wyświetlana zamiast tego |
InitiatingProcessFileSize |
long |
Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie |
InitiatingProcessVersionInfoCompanyName |
string |
Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductName |
string |
Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductVersion |
string |
Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoFileDescription |
string |
Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessId |
long |
Identyfikator procesu (PID) procesu, który zainicjował zdarzenie |
InitiatingProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie |
InitiatingProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie |
InitiatingProcessFolderPath |
string |
Folder zawierający proces (plik obrazu), który zainicjował zdarzenie |
InitiatingProcessParentId |
long |
Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentFileName |
string |
Nazwa procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentCreationTime |
datetime |
Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie |
InitiatingProcessSignerType |
string |
Typ podpisywania pliku procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessSignatureStatus |
string |
Informacje o stanie podpisu procesu (pliku obrazu), który zainicjował zdarzenie |
ReportId |
long |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
AppGuardContainerId |
string |
Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki |
AdditionalFields |
string |
Dodatkowe informacje o zdarzeniu w formacie tablicy JSON |
InitiatingProcessSessionId |
long |
Identyfikator sesji systemu Windows procesu inicjowania |
IsInitiatingProcessRemoteSession |
bool |
Wskazuje, czy proces inicjujący został uruchomiony w ramach sesji protokołu PULPITU zdalnego (RDP) (true), czy lokalnie (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
InitiatingProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
CreatedProcessSessionId |
long |
Identyfikator sesji systemu Windows utworzonego procesu |
IsProcessRemoteSession |
bool |
Wskazuje, czy utworzony proces został uruchomiony w ramach sesji protokołu pulpitu zdalnego (RDP) (true), czy lokalnie (false) |
ProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP utworzonego procesu |
ProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP utworzonego procesu |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.