DeviceImageLoadEvents

Примечание.

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценивать и пилотно Microsoft 365 Defender.

Область применения:

  • Microsoft 365 Defender
  • Microsoft Defender для конечной точки

Таблица DeviceImageLoadEvents в схеме расширенной охоты содержит сведения о событиях загрузки DLL. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft 365 Defender.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
DeviceId string Уникальный идентификатор для обслуживаемого компьютера
DeviceName string Полное доменное имя компьютера
ActionType string Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале.
FileName string Имя файла, к которому было применено записанное действие
FolderPath string Папка, содержащая файл, к которому было применено записанное действие
SHA1 string SHA-1 файла, к которому было применено записанное действие
SHA256 string SHA-256 файла, к которому было применено записанное действие Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.
MD5 string Хэш MD5 файла, к которому было применено записанное действие
FileSize long Размер файла в байтах
InitiatingProcessAccountDomain string Домен учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountName string Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountSid string Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountUpn string Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountObjectId string Azure AD идентификатор объекта учетной записи пользователя, которая запустила процесс, отвечающий за событие
InitiatingProcessIntegrityLevel string Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов
InitiatingProcessTokenElevation string Тип маркера, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к процессу, который инициировал событие
InitiatingProcessSHA1 string SHA-1 процесса (файла изображения), который инициировал событие
InitiatingProcessSHA256 string SHA-256 процесса (файла изображения), который инициировал событие. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.
InitiatingProcessMD5 string Хэш MD5 процесса (файла образа), который инициировал событие
InitiatingProcessFileName string Имя процесса, который инициировал событие
InitiatingProcessFileSize long Размер файла, в который был запущен процесс, ответственный за событие
InitiatingProcessVersionInfoCompanyName string Название компании из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoProductName string Название продукта из сведений о версии процесса (файла изображения), ответственного за событие
InitiatingProcessVersionInfoProductVersion string Версия продукта из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoInternalFileName string Внутреннее имя файла из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoOriginalFileName string Исходное имя файла из сведений о версии процесса (файл изображения), ответственного за событие
InitiatingProcessVersionInfoFileDescription string Описание из сведений о версии процесса (файла изображения), ответственного за событие
InitiatingProcessId int Идентификатор процесса (PID) процесса, который инициировал событие
InitiatingProcessCommandLine string Командная строка, используемая для запуска процесса, который инициировал событие
InitiatingProcessCreationTime datetime Дата и время запуска процесса, инициирующего событие
InitiatingProcessFolderPath string Папка, содержащая процесс (файл изображения), который инициировал событие
InitiatingProcessParentId int Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие
InitiatingProcessParentFileName string Имя родительского процесса, который породил процесс, отвечающий за событие
InitiatingProcessParentCreationTime datetime Дата и время запуска родительского элемента процесса, ответственного за событие
ReportId long Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться в сочетании со столбцами DeviceName и Timestamp
AppGuardContainerId string Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера