Partilhar via


DeviceProcessEvents

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Defender para Endpoint

A DeviceProcessEvents tabela no esquema de investigação avançada contém informações sobre a criação de processos e eventos relacionados. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Sugestão

Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
DeviceId string Identificador exclusivo do dispositivo no serviço
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
ActionType string Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes.
FileName string Nome do ficheiro ao qual a ação gravada foi aplicada
FolderPath string Pasta que contém o ficheiro ao qual a ação gravada foi aplicada
SHA1 string SHA-1 do ficheiro ao qual a ação gravada foi aplicada
SHA256 string SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível.
MD5 string Hash MD5 do ficheiro ao qual a ação gravada foi aplicada
FileSize long Tamanho do ficheiro em bytes
ProcessVersionInfoCompanyName string Nome da empresa a partir das informações de versão do processo recentemente criado
ProcessVersionInfoProductName string Nome do produto a partir das informações da versão do processo recentemente criado
ProcessVersionInfoProductVersion string Versão do produto a partir das informações da versão do processo recentemente criado
ProcessVersionInfoInternalFileName string Nome de ficheiro interno das informações da versão do processo recentemente criado
ProcessVersionInfoOriginalFileName string Nome de ficheiro original das informações da versão do processo recentemente criado
ProcessVersionInfoFileDescription string Descrição das informações da versão do processo recentemente criado
ProcessId long ID do Processo (PID) do processo recentemente criado
ProcessCommandLine string Linha de comandos utilizada para criar o novo processo
ProcessIntegrityLevel string Nível de integridade do processo recentemente criado. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma internet transferida. Estes níveis de integridade influenciam as permissões para os recursos.
ProcessTokenElevation string Indica o tipo de elevação de token aplicado ao processo recentemente criado. Valores possíveis: TokenElevationTypeLimited (restrito), TokenElevationTypeDefault (padrão) e TokenElevationTypeFull (elevado)
ProcessCreationTime datetime Data e hora em que o processo foi criado
AccountDomain string Domínio da conta
AccountName string Nome de utilizador da conta; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta poderá ser apresentado
AccountSid string Identificador de Segurança (SID) da conta
AccountUpn string Nome principal de utilizador (UPN) da conta; se o dispositivo estiver registado no Microsoft Entra ID, o UPN do Entra ID da conta poderá ser apresentado
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
LogonId long Identificador para uma sessão de início de sessão. Este identificador é exclusivo no mesmo dispositivo apenas entre reinícios.
InitiatingProcessAccountDomain string Domínio da conta que executou o processo responsável pelo evento
InitiatingProcessAccountName string Nome de utilizador da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta que executou o processo responsável pelo evento poderá ser apresentado
InitiatingProcessAccountSid string Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento
InitiatingProcessAccountUpn string Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o UPN do ID de Entra da conta que executou o processo responsável pelo evento poderá ser apresentado
InitiatingProcessAccountObjectId string Microsoft Entra ID de objeto da conta de utilizador que executou o processo responsável pelo evento
InitiatingProcessLogonId long Identificador para uma sessão de início de sessão do processo que iniciou o evento. Este identificador é exclusivo no mesmo dispositivo apenas entre reinícios.
InitiatingProcessIntegrityLevel string Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões para os recursos.
InitiatingProcessTokenElevation string Tipo de token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso de Utilizador (UAC) aplicada ao processo que iniciou o evento
InitiatingProcessSHA1 string Hash SHA-1 do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessSHA256 string SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível.
InitiatingProcessMD5 string Hash MD5 do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessFileName string Nome do ficheiro de processo que iniciou o evento; se não estiver disponível, o nome do processo que iniciou o evento poderá ser apresentado
InitiatingProcessFileSize long Tamanho do ficheiro que executou o processo responsável pelo evento
InitiatingProcessVersionInfoCompanyName string Nome da empresa a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoProductName string Nome do produto das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoProductVersion string Versão do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoInternalFileName string Nome de ficheiro interno das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoOriginalFileName string Nome de ficheiro original das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoFileDescription string Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessId long ID do Processo (PID) do processo que iniciou o evento
InitiatingProcessCommandLine string Linha de comandos utilizada para executar o processo que iniciou o evento
InitiatingProcessCreationTime datetime Data e hora em que o processo que iniciou o evento foi iniciado
InitiatingProcessFolderPath string Pasta que contém o processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessParentId long ID do Processo (PID) do processo principal que gerou o processo responsável pelo evento
InitiatingProcessParentFileName string Nome do processo principal que gerou o processo responsável pelo evento
InitiatingProcessParentCreationTime datetime Data e hora em que o principal do processo responsável pelo evento foi iniciado
InitiatingProcessSignerType string Tipo de signatário de ficheiros do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessSignatureStatus string Informações sobre o estado da assinatura do processo (ficheiro de imagem) que iniciou o evento
ReportId long Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp.
AppGuardContainerId string Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser
AdditionalFields string Informações adicionais sobre o evento no formato de matriz JSON
InitiatingProcessSessionId long ID de sessão do Windows do processo de início
IsInitiatingProcessRemoteSession bool Indica se o processo de início foi executado numa sessão de protocolo de ambiente de trabalho remoto (RDP) (verdadeiro) ou localmente (falso)
InitiatingProcessRemoteSessionDeviceName string Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início
InitiatingProcessRemoteSessionIP string Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início
CreatedProcessSessionId long ID da sessão do Windows do processo criado
IsProcessRemoteSession bool Indica se o processo criado foi executado numa sessão de protocolo RDP (remote desktop protocol) (verdadeiro) ou localmente (falso)
ProcessRemoteSessionDeviceName string Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo criado
ProcessRemoteSessionIP string Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo criado

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.