Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Defender för Endpoints (MDE) bearbetar händelsetabellen för scenariot anpassad samling. Den här tabellen innehåller information om processskapande och relaterade händelser på slutpunkten för allt som uttryckligen begärs av kunden för insamling.
Attributer för tabeller
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Yes |
| Intagstidsförvandling | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Kontodomän | snöre | Domän för kontot. |
| KontoNamn | snöre | Användarnamn för kontot. |
| Kontobjekt-ID | snöre | Unik identifierare för kontot i Azure AD. |
| AccountSid | snöre | Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn | snöre | Användarens huvudnamn (UPN) för kontot. |
| Åtgärdstyp | snöre | Typ av aktivitet som utlöste händelsen. |
| Ytterligare fält | dynamisk | Ytterligare information om entiteten eller händelsen. |
| Behållar-ID för AppGuard | snöre | Identifierare för den virtualiserade behållaren som används av Application Guard för att isolera webbläsaraktivitet. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| SkapatProcessSessionsId | lång | Windows-sessions-ID för den skapade processen. |
| DeviceId | snöre | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | snöre | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| filnamn | snöre | Namnet på filen som den inspelade åtgärden tillämpades på. |
| Filstorlek | lång | Filens storlek i byte. |
| Mappsökväg | snöre | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| Initiering av ProcesskontoDomän | snöre | Domän för det konto som körde processen som var ansvarig för händelsen. |
| Initierande Processkontonamn | snöre | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| Initiera processkontoobjekts-ID | snöre | Azure AD-objekt-ID för det användarkonto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountSID | snöre | Säkerhetsidentifierare (SID) för det konto som körde processen som var ansvarig för händelsen. |
| Initiera ProcesskontoUpn | snöre | Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcesskommandorad | snöre | Kommandoraden som användes för att köra processen som initierade händelsen. |
| InitieringsprocessensSkapandetid | tidpunkt | Datum och tid då processen som initierade händelsen startades. |
| Initiationsprocessfilnamn | snöre | Namnet på processen som initierade händelsen. |
| Initierande Processfilstorlek | lång | Storleken på filen (byte) som körde processen som var ansvarig för händelsen. |
| InitieraProcessensMappsökväg | snöre | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| PåbörjarProcessId | lång | Process-ID (PID) för processen som initierade händelsen. |
| Initieringsprocessens Integritetsnivå | snöre | Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser.. |
| InitierandeProcessInloggningsId | lång | Identifierare för en inloggningssession av processen som initierade händelsen. Denna identifierare är unik på samma maskin endast mellan omstarter. |
| InitieringProcessMD5 | snöre | MD5-hash av processen (bildfilen) som initierade händelsen. |
| Initieringsprocessförälderskapandetiid | tidpunkt | Datum och tid då den överordnade processen som är ansvarig för händelsen startades. |
| Initiera Process Förälder Filnamn | snöre | Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitieringsprocessensFörälderId | lång | Process-ID (PID) för den förälderprocess som skapade den process som är ansvarig för händelsen. |
| InitieraProcessFjärrsessionEnhetsnamn | snöre | Enhetsnamn för den fjärrenhet från vilken den initierande processens RDP-session initierades. |
| InitieraProcessRemoteSessionIP | snöre | IP-adressen till den fjärrenhet från vilken startprocessens RDP-session initierades. |
| InitieraProcessSessionId | lång | Windows-sessions-ID för den inledande processen. |
| Initiera Process SHA1 | snöre | SHA-1-hash av processen (bildfilen) som initierade händelsen. |
| InitierarProcessSHA256 | snöre | SHA-256-hash för processen (bildfilen) som initierade händelsen. I vissa fall kan den här kolumnen vara tom - använd istället kolumnen InitiatingProcessSHA1. |
| InitierandeProcessSignaturStatus | snöre | Information om signaturstatusen för processen (bildfilen) som initierade händelsen. |
| InitieraProcessSignerType | snöre | Typ av filsignerare för processen (bildfil) som initierade händelsen. |
| Initiera Processens Tokenhöjning | snöre | Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den process som initierade händelsen. |
| InitieraProcessUniqueId | snöre | Unik identifierare för den inledande processen. detta är lika med processstartnyckeln i Windows-enheter. |
| InitieringProcessVersionInfoFöretagsnamn | snöre | Företagsnamnet i versionsinformationen (bildfil) som är ansvarig för händelsen. |
| InitieringProcessVersionInfoFilbeskrivning | snöre | Beskrivningen av versionsinformationen (bildfilen) som relaterar till händelsen. |
| InitieraProcessVersionInfoInternFilnamn | snöre | Det interna filnamnet i versionsinformationen (bildfil) som är ansvarigt för händelsen. |
| InitieringProcessVersionInfoOriginalFilnamn | snöre | Det ursprungliga filnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| Initiera Processversioninfo Produktnamn | snöre | Produktnamnet i versionsinformation (bildfilen) som är kopplat till händelsen. |
| Versionsinformation för initieringsprocessens produktversion | snöre | Produktversionen i versionsinformationen (bildfil) kopplad till händelsen. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| StartarProcessenFjärrsession | bool | Anger om initieringsprocessen kördes under en RDP-session (Remote Desktop Protocol) (true) eller lokalt (false). |
| ÄrProcessFjärrsession | bool | Anger om den skapade processen kördes under en RDP-session (Remote Desktop Protocol) (true) eller lokalt (falskt). |
| Inloggnings-ID | lång | Identifierare för en inloggningssession. Den här identifieraren är unik på samma dator endast mellan omstarter. |
| MachineGroup (på engelska) | snöre | Maskingrupp för maskinen. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
| MD5 | snöre | MD5-hash av filen som den registrerade handlingen tillämpades på. |
| ProcessCommandLine | snöre | Kommandoraden som användes för att skapa den nya processen. |
| Processens skapandetid | tidpunkt | Datum och tid då processen skapades. |
| ProcessId | lång | Process-ID (PID) för den nyss skapade processen. |
| Processintegritetsnivå | snöre | Integritetsnivå för den nyss skapade processen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en nedladdning från internet. Dessa integritetsnivåer påverkar behörigheter till resurser.. |
| BearbetaFjärrsessionEnhetsnamn | snöre | Enhetsnamn för den fjärrenhet som den skapade processens RDP-session initierades från. |
| ProcessRemoteSessionIP | snöre | IP-adressen för den fjärrenhet från vilken den skapade processens RDP-session initierades. |
| ProcessTokenElevation | snöre | Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den nyligen skapade processen. |
| ProcessUniqueId | snöre | Unik identifierare för processen. detta är lika med processstartnyckeln i Windows-enheter. |
| ProcessVersionsinformationFöretagsnamn | snöre | Företagsnamn från versionsinformationen för den nyss skapade processen. |
| ProcessVersionInfoFilBeskrivning | snöre | Beskrivning från versionsinformationen av den nyligen skapade processen. |
| ProcessVersionInfoInternalFileName | snöre | Intern filnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoOriginalFilnamn | snöre | Ursprungligt filnamn från versionsinformationen för den nyss skapade processen. |
| ProcessversionInfoProduktNamn | snöre | Produktnamn från versionsinformationen för den nyss skapade processen. |
| ProcessversionsinfoProduktversion | snöre | Produktversion från versionsinformationen av den nyligen skapade processen. |
| ReportId | lång | Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna ComputerName och EventTime.. |
| RegelSenasteÄndringstid | tidpunkt | Datum och tid då regeln som samlade in händelsen senast ändrades. |
| Regelnamn | snöre | Namnet på regeln som samlade in händelsen |
| SHA1 | snöre | SHA-1-hash för filen som den inspelade åtgärden tillämpades på. |
| SHA256 | snöre | SHA-256 av filen som den registrerade åtgärden tillämpades på. |
| Källsystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| Tidpunkt för generering | tidpunkt | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Typ | snöre | Tabellens namn |