DeviceProcessEvents
注意事項
想要體驗 Microsoft 365 Defender 嗎? 深入瞭解如何評估和試驗Microsoft 365 Defender。
適用於:
- Microsoft 365 Defender
- 適用於端點的 Microsoft Defender
進 DeviceProcessEvents 階 搜捕 架構中的資料表包含程式建立和相關事件的相關資訊。 使用這個參考來建立從此表格取回之資訊的查詢。
提示
如需資料表所支援的事件種類 (ActionType 值) 詳細資訊,請使用 Microsoft 365 Defender 中可用的內建架構參考。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
DeviceId |
string |
服務中電腦的唯一識別碼 |
DeviceName |
string |
電腦的完整網域名稱 (FQDN) |
ActionType |
string |
觸發事件的活動類型。 如需詳細資訊,請參閱入口網站內架構參考 |
FileName |
string |
記錄動作已套用的檔案名稱 |
FolderPath |
string |
包含已記錄動作套用至之檔案的資料夾 |
SHA1 |
string |
記錄動作已套用的檔案 SHA-1 |
SHA256 |
string |
記錄動作已套用的檔案 SHA-256。 此欄位通常未填入,可取得時請使用 SHA1 欄。 |
MD5 |
string |
已記錄動作套用至之檔案的 MD5 雜湊 |
FileSize |
long |
檔案大小,以位元組為單位 |
ProcessVersionInfoCompanyName |
string |
來自新建立程式版本資訊的公司名稱 |
ProcessVersionInfoProductName |
string |
新建立進程版本資訊的產品名稱 |
ProcessVersionInfoProductVersion |
string |
新建立程式版本資訊的產品版本 |
ProcessVersionInfoInternalFileName |
string |
新建立進程版本資訊的內部檔案名 |
ProcessVersionInfoOriginalFileName |
string |
新建立進程版本資訊中的原始檔案名 |
ProcessVersionInfoFileDescription |
string |
新建立程式版本資訊的描述 |
ProcessId |
int |
新建立進程的進程識別碼 (PID) |
ProcessCommandLine |
string |
用來建立新進程的命令列 |
ProcessIntegrityLevel |
string |
新建立之進程的完整性層級。 Windows 會根據特定特性將完整性層級指派給進程,例如從網際網路下載啟動。 這些完整性層級會影響資源的許可權 |
ProcessTokenElevation |
string |
指出套用至新建立進程的權杖提高許可權類型。 可能的值:TokenElevationTypeLimited (限制) 、TokenElevationTypeDefault (標準) ,以及 TokenElevationTypeFull (提高許可權的) |
ProcessCreationTime |
datetime |
建立進程的日期和時間 |
AccountDomain |
string |
帳戶的網域 |
AccountName |
string |
帳戶的使用者名稱 |
AccountSid |
string |
帳戶 (SID) 的安全識別碼 |
AccountUpn |
string |
帳戶的 UPN) (使用者主體名稱 |
AccountObjectId |
string |
Azure AD 中帳戶的唯一識別碼 |
LogonId |
string |
登入會話的識別碼。 此識別碼只有在重新開機之間才在同一部電腦上是唯一的 |
InitiatingProcessAccountDomain |
string |
執行負責事件之進程的帳戶網域 |
InitiatingProcessAccountName |
string |
執行負責事件之進程的帳戶使用者名稱 |
InitiatingProcessAccountSid |
string |
安全識別碼 (執行負責事件之進程之帳戶的 SID) |
InitiatingProcessAccountUpn |
string |
執行負責事件之進程之帳戶的 UPN) (使用者主體名稱 |
InitiatingProcessAccountObjectId |
string |
執行負責事件之進程之使用者帳戶的 Azure AD 物件識別碼 |
InitiatingProcessLogonId |
string |
起始事件之進程的登入會話識別碼。 此識別碼只有在重新開機時才會在同一部電腦上是唯一的。 |
InitiatingProcessIntegrityLevel |
string |
起始事件之進程的完整性層級。 Windows 會根據特定特性將完整性層級指派給進程,例如從網際網路下載啟動。 這些完整性層級會影響資源的許可權 |
InitiatingProcessTokenElevation |
string |
標記類型,指出是否存在使用者存取控制 (UAC) 許可權提升套用至起始事件的程式 |
InitiatingProcessSHA1 |
string |
起始事件之進程的 SHA-1 (映射檔) |
InitiatingProcessSHA256 |
string |
進程的 SHA-256 (起始事件的影像檔) 。 此欄位通常未填入,可取得時請使用 SHA1 欄。 |
InitiatingProcessMD5 |
string |
起始事件的進程 (影像檔) 的 MD5 雜湊 |
InitiatingProcessFileName |
string |
起始事件的進程名稱 |
InitiatingProcessFileSize |
long |
執行負責事件之進程的檔案大小 |
InitiatingProcessVersionInfoCompanyName |
string |
處理常式版本資訊中的公司名稱 (映射檔) 負責事件 |
InitiatingProcessVersionInfoProductName |
string |
處理常式版本資訊中的產品名稱 (映射檔) 負責事件 |
InitiatingProcessVersionInfoProductVersion |
string |
處理常式版本資訊中的產品版本 (映射檔) 負責事件 |
InitiatingProcessVersionInfoInternalFileName |
string |
處理常式版本資訊中的內部檔案名 (映射檔) 負責事件 |
InitiatingProcessVersionInfoOriginalFileName |
string |
處理常式版本資訊中的原始檔案名 (負責事件) 映射檔 |
InitiatingProcessVersionInfoFileDescription |
string |
來自處理常式版本資訊的描述, (負責事件) 映射檔案 |
InitiatingProcessId |
int |
起始事件之進程的進程標識 (PID) |
InitiatingProcessCommandLine |
string |
用來執行起始事件之進程的命令列 |
InitiatingProcessCreationTime |
datetime |
起始事件的進程啟動的日期和時間 |
InitiatingProcessFolderPath |
string |
包含起始事件之影像檔) 進程 (資料夾 |
InitiatingProcessParentId |
int |
產生負責事件之進程的父進程 (PID) |
InitiatingProcessParentFileName |
string |
產生負責事件之進程的父進程名稱 |
InitiatingProcessParentCreationTime |
datetime |
負責事件之進程的父代啟動日期和時間 |
InitiatingProcessSignerType |
string |
起始事件之處理常式 (影像檔) 的檔案簽署者類型 |
InitiatingProcessSignatureStatus |
string |
起始事件之進程 (影像檔) 簽章狀態的相關資訊 |
ReportId |
long |
以重複計數器為基礎的事件識別碼。 若要識別唯一事件,此資料行必須與 DeviceName 和 Timestamp 資料行搭配使用 |
AppGuardContainerId |
string |
應用程式防護用來隔離瀏覽器活動的虛擬化容器識別碼 |
AdditionalFields |
string |
JSON 陣列格式事件的其他相關資訊 |