DeviceProcessEvents
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
A DeviceProcessEvents
tabela no esquema de caça avançado contém informações sobre a criação do processo e eventos relacionados. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionType
valores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
ActionType |
string |
Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes. |
FileName |
string |
Nome do arquivo ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o arquivo ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do arquivo ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do arquivo ao qual a ação gravada foi aplicada. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
MD5 |
string |
Hash MD5 do arquivo ao qual a ação gravada foi aplicada |
FileSize |
long |
Tamanho do arquivo em bytes |
ProcessVersionInfoCompanyName |
string |
Nome da empresa das informações de versão do processo recém-criado |
ProcessVersionInfoProductName |
string |
Nome do produto das informações de versão do processo recém-criado |
ProcessVersionInfoProductVersion |
string |
Versão do produto das informações de versão do processo recém-criado |
ProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno das informações de versão do processo recém-criado |
ProcessVersionInfoOriginalFileName |
string |
Nome do arquivo original das informações de versão do processo recém-criado |
ProcessVersionInfoFileDescription |
string |
Descrição das informações de versão do processo recém-criado |
ProcessId |
long |
ID do processo (PID) do processo recém-criado |
ProcessCommandLine |
string |
Linha de comando usada para criar o novo processo |
ProcessIntegrityLevel |
string |
Nível de integridade do processo recém-criado. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles foram iniciados de uma Internet baixada. Esses níveis de integridade influenciam as permissões para os recursos. |
ProcessTokenElevation |
string |
Indica o tipo de elevação de token aplicada ao processo recém-criado. Valores possíveis: TokenElevationTypeLimited (restrito), TokenElevationTypeDefault (standard) e TokenElevationTypeFull (elevado) |
ProcessCreationTime |
datetime |
Data e hora em que o processo foi criado |
AccountDomain |
string |
Domínio da conta |
AccountName |
string |
Nome de usuário da conta; se o dispositivo estiver registrado em Microsoft Entra ID, o nome de usuário da ID de Entra da conta poderá ser mostrado em vez disso |
AccountSid |
string |
Sid (Identificador de Segurança) da conta |
AccountUpn |
string |
Nome da entidade de usuário (UPN) da conta; se o dispositivo estiver registrado no Microsoft Entra ID, o UPN de ID de Entra da conta poderá ser mostrado em vez disso |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
LogonId |
long |
Identificador para uma sessão de logon. Esse identificador é exclusivo no mesmo dispositivo somente entre reinicializações. |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de usuário da conta que executou o processo responsável pelo evento; se o dispositivo estiver registrado no Microsoft Entra ID, o nome de usuário da ID da conta que executou o processo responsável pelo evento poderá ser mostrado em vez disso |
InitiatingProcessAccountSid |
string |
SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome da entidade de usuário (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registrado em Microsoft Entra ID, o UPN da ID de Entra da conta que executou o processo responsável pelo evento poderá ser mostrado em vez disso |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID do objeto da conta de usuário que executou o processo responsável pelo evento |
InitiatingProcessLogonId |
long |
Identificador para uma sessão de logon do processo que iniciou o evento. Esse identificador é exclusivo no mesmo dispositivo somente entre reinicializações. |
InitiatingProcessIntegrityLevel |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles foram iniciados a partir de um download na Internet. Esses níveis de integridade influenciam as permissões para os recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso de usuário) aplicada ao processo que iniciou o evento |
InitiatingProcessSHA1 |
string |
Hash SHA-1 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do processo que iniciou o evento |
InitiatingProcessFileSize |
long |
Tamanho do arquivo que executou o processo responsável pelo evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome do arquivo original das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessId |
long |
ID do processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comando usada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessParentId |
long |
ID do processo (PID) do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentFileName |
string |
Nome do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado |
InitiatingProcessSignerType |
string |
Tipo de signatário de arquivo do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessSignatureStatus |
string |
Informações sobre o status de assinatura do processo (arquivo de imagem) que iniciou o evento |
ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado por Application Guard para isolar a atividade do navegador |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de