DeviceProcessEvents

注意事項

想要體驗 Microsoft 365 Defender 嗎? 深入瞭解如何評估和試驗Microsoft 365 Defender

適用於:

  • Microsoft 365 Defender
  • 適用於端點的 Microsoft Defender

DeviceProcessEvents搜捕 架構中的資料表包含程式建立和相關事件的相關資訊。 使用這個參考來建立從此表格取回之資訊的查詢。

提示

如需資料表所支援的事件種類 (ActionType 值) 詳細資訊,請使用 Microsoft 365 Defender 中可用的內建架構參考。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
DeviceId string 服務中電腦的唯一識別碼
DeviceName string 電腦的完整網域名稱 (FQDN)
ActionType string 觸發事件的活動類型。 如需詳細資訊,請參閱入口網站內架構參考
FileName string 記錄動作已套用的檔案名稱
FolderPath string 包含已記錄動作套用至之檔案的資料夾
SHA1 string 記錄動作已套用的檔案 SHA-1
SHA256 string 記錄動作已套用的檔案 SHA-256。 此欄位通常未填入,可取得時請使用 SHA1 欄。
MD5 string 已記錄動作套用至之檔案的 MD5 雜湊
FileSize long 檔案大小,以位元組為單位
ProcessVersionInfoCompanyName string 來自新建立程式版本資訊的公司名稱
ProcessVersionInfoProductName string 新建立進程版本資訊的產品名稱
ProcessVersionInfoProductVersion string 新建立程式版本資訊的產品版本
ProcessVersionInfoInternalFileName string 新建立進程版本資訊的內部檔案名
ProcessVersionInfoOriginalFileName string 新建立進程版本資訊中的原始檔案名
ProcessVersionInfoFileDescription string 新建立程式版本資訊的描述
ProcessId int 新建立進程的進程識別碼 (PID)
ProcessCommandLine string 用來建立新進程的命令列
ProcessIntegrityLevel string 新建立之進程的完整性層級。 Windows 會根據特定特性將完整性層級指派給進程,例如從網際網路下載啟動。 這些完整性層級會影響資源的許可權
ProcessTokenElevation string 指出套用至新建立進程的權杖提高許可權類型。 可能的值:TokenElevationTypeLimited (限制) 、TokenElevationTypeDefault (標準) ,以及 TokenElevationTypeFull (提高許可權的)
ProcessCreationTime datetime 建立進程的日期和時間
AccountDomain string 帳戶的網域
AccountName string 帳戶的使用者名稱
AccountSid string 帳戶 (SID) 的安全識別碼
AccountUpn string 帳戶的 UPN) (使用者主體名稱
AccountObjectId string Azure AD 中帳戶的唯一識別碼
LogonId string 登入會話的識別碼。 此識別碼只有在重新開機之間才在同一部電腦上是唯一的
InitiatingProcessAccountDomain string 執行負責事件之進程的帳戶網域
InitiatingProcessAccountName string 執行負責事件之進程的帳戶使用者名稱
InitiatingProcessAccountSid string 安全識別碼 (執行負責事件之進程之帳戶的 SID)
InitiatingProcessAccountUpn string 執行負責事件之進程之帳戶的 UPN) (使用者主體名稱
InitiatingProcessAccountObjectId string 執行負責事件之進程之使用者帳戶的 Azure AD 物件識別碼
InitiatingProcessLogonId string 起始事件之進程的登入會話識別碼。 此識別碼只有在重新開機時才會在同一部電腦上是唯一的。
InitiatingProcessIntegrityLevel string 起始事件之進程的完整性層級。 Windows 會根據特定特性將完整性層級指派給進程,例如從網際網路下載啟動。 這些完整性層級會影響資源的許可權
InitiatingProcessTokenElevation string 標記類型,指出是否存在使用者存取控制 (UAC) 許可權提升套用至起始事件的程式
InitiatingProcessSHA1 string 起始事件之進程的 SHA-1 (映射檔)
InitiatingProcessSHA256 string 進程的 SHA-256 (起始事件的影像檔) 。 此欄位通常未填入,可取得時請使用 SHA1 欄。
InitiatingProcessMD5 string 起始事件的進程 (影像檔) 的 MD5 雜湊
InitiatingProcessFileName string 起始事件的進程名稱
InitiatingProcessFileSize long 執行負責事件之進程的檔案大小
InitiatingProcessVersionInfoCompanyName string 處理常式版本資訊中的公司名稱 (映射檔) 負責事件
InitiatingProcessVersionInfoProductName string 處理常式版本資訊中的產品名稱 (映射檔) 負責事件
InitiatingProcessVersionInfoProductVersion string 處理常式版本資訊中的產品版本 (映射檔) 負責事件
InitiatingProcessVersionInfoInternalFileName string 處理常式版本資訊中的內部檔案名 (映射檔) 負責事件
InitiatingProcessVersionInfoOriginalFileName string 處理常式版本資訊中的原始檔案名 (負責事件) 映射檔
InitiatingProcessVersionInfoFileDescription string 來自處理常式版本資訊的描述, (負責事件) 映射檔案
InitiatingProcessId int 起始事件之進程的進程標識 (PID)
InitiatingProcessCommandLine string 用來執行起始事件之進程的命令列
InitiatingProcessCreationTime datetime 起始事件的進程啟動的日期和時間
InitiatingProcessFolderPath string 包含起始事件之影像檔) 進程 (資料夾
InitiatingProcessParentId int 產生負責事件之進程的父進程 (PID)
InitiatingProcessParentFileName string 產生負責事件之進程的父進程名稱
InitiatingProcessParentCreationTime datetime 負責事件之進程的父代啟動日期和時間
InitiatingProcessSignerType string 起始事件之處理常式 (影像檔) 的檔案簽署者類型
InitiatingProcessSignatureStatus string 起始事件之進程 (影像檔) 簽章狀態的相關資訊
ReportId long 以重複計數器為基礎的事件識別碼。 若要識別唯一事件,此資料行必須與 DeviceName 和 Timestamp 資料行搭配使用
AppGuardContainerId string 應用程式防護用來隔離瀏覽器活動的虛擬化容器識別碼
AdditionalFields string JSON 陣列格式事件的其他相關資訊