DeviceProcessEvents
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Endpoint
A DeviceProcessEvents
tabela no esquema de investigação avançada contém informações sobre a criação de processos e eventos relacionados. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Sugestão
Para obter informações detalhadas sobre os tipos de eventos (ActionType
valores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo do dispositivo no serviço |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
ActionType |
string |
Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes. |
FileName |
string |
Nome do ficheiro ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o ficheiro ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do ficheiro ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível. |
MD5 |
string |
Hash MD5 do ficheiro ao qual a ação gravada foi aplicada |
FileSize |
long |
Tamanho do ficheiro em bytes |
ProcessVersionInfoCompanyName |
string |
Nome da empresa a partir das informações de versão do processo recentemente criado |
ProcessVersionInfoProductName |
string |
Nome do produto a partir das informações da versão do processo recentemente criado |
ProcessVersionInfoProductVersion |
string |
Versão do produto a partir das informações da versão do processo recentemente criado |
ProcessVersionInfoInternalFileName |
string |
Nome de ficheiro interno das informações da versão do processo recentemente criado |
ProcessVersionInfoOriginalFileName |
string |
Nome de ficheiro original das informações da versão do processo recentemente criado |
ProcessVersionInfoFileDescription |
string |
Descrição das informações da versão do processo recentemente criado |
ProcessId |
long |
ID do Processo (PID) do processo recentemente criado |
ProcessCommandLine |
string |
Linha de comandos utilizada para criar o novo processo |
ProcessIntegrityLevel |
string |
Nível de integridade do processo recentemente criado. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma internet transferida. Estes níveis de integridade influenciam as permissões para os recursos. |
ProcessTokenElevation |
string |
Indica o tipo de elevação de token aplicado ao processo recentemente criado. Valores possíveis: TokenElevationTypeLimited (restrito), TokenElevationTypeDefault (padrão) e TokenElevationTypeFull (elevado) |
ProcessCreationTime |
datetime |
Data e hora em que o processo foi criado |
AccountDomain |
string |
Domínio da conta |
AccountName |
string |
Nome de utilizador da conta; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta poderá ser apresentado |
AccountSid |
string |
Identificador de Segurança (SID) da conta |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta; se o dispositivo estiver registado no Microsoft Entra ID, o UPN do Entra ID da conta poderá ser apresentado |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
LogonId |
long |
Identificador para uma sessão de início de sessão. Este identificador é exclusivo no mesmo dispositivo apenas entre reinícios. |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de utilizador da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta que executou o processo responsável pelo evento poderá ser apresentado |
InitiatingProcessAccountSid |
string |
Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o UPN do ID de Entra da conta que executou o processo responsável pelo evento poderá ser apresentado |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID de objeto da conta de utilizador que executou o processo responsável pelo evento |
InitiatingProcessLogonId |
long |
Identificador para uma sessão de início de sessão do processo que iniciou o evento. Este identificador é exclusivo no mesmo dispositivo apenas entre reinícios. |
InitiatingProcessIntegrityLevel |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões para os recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso de Utilizador (UAC) aplicada ao processo que iniciou o evento |
InitiatingProcessSHA1 |
string |
Hash SHA-1 do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível. |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do ficheiro de processo que iniciou o evento; se não estiver disponível, o nome do processo que iniciou o evento poderá ser apresentado |
InitiatingProcessFileSize |
long |
Tamanho do ficheiro que executou o processo responsável pelo evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome de ficheiro interno das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome de ficheiro original das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessId |
long |
ID do Processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comandos utilizada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessParentId |
long |
ID do Processo (PID) do processo principal que gerou o processo responsável pelo evento |
InitiatingProcessParentFileName |
string |
Nome do processo principal que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o principal do processo responsável pelo evento foi iniciado |
InitiatingProcessSignerType |
string |
Tipo de signatário de ficheiros do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessSignatureStatus |
string |
Informações sobre o estado da assinatura do processo (ficheiro de imagem) que iniciou o evento |
ReportId |
long |
Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
InitiatingProcessSessionId |
long |
ID de sessão do Windows do processo de início |
IsInitiatingProcessRemoteSession |
bool |
Indica se o processo de início foi executado numa sessão de protocolo de ambiente de trabalho remoto (RDP) (verdadeiro) ou localmente (falso) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início |
InitiatingProcessRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início |
CreatedProcessSessionId |
long |
ID da sessão do Windows do processo criado |
IsProcessRemoteSession |
bool |
Indica se o processo criado foi executado numa sessão de protocolo RDP (remote desktop protocol) (verdadeiro) ou localmente (falso) |
ProcessRemoteSessionDeviceName |
string |
Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo criado |
ProcessRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo criado |
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.