Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Bildinläsningshändelsetabell för Microsoft Defender för slutpunkter (MDE) för scenariot anpassad samling. Den här tabellen innehåller DLL-inläsningshändelser på slutpunkten för allt som uttryckligen begärs av kunden för samlingen.
Attributer för tabeller
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Nej |
| Intagstidsförvandling | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Åtgärdstyp | snöre | Typ av aktivitet som utlöste händelsen. |
| Behållar-ID för AppGuard | snöre | Identifierare för den virtualiserade behållaren som används av Application Guard för att isolera webbläsaraktivitet. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| DeviceId | snöre | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | snöre | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| filnamn | snöre | Domän för kontot. |
| Filstorlek | lång | Filens storlek i byte. |
| Mappsökväg | snöre | Domän för kontot. |
| Initiering av ProcesskontoDomän | snöre | Domän för det konto som körde processen som var ansvarig för händelsen. |
| Initierande Processkontonamn | snöre | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| Initiera processkontoobjekts-ID | snöre | Azure AD-objekt-ID för det användarkonto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountSID | snöre | Säkerhetsidentifierare (SID) för det konto som körde processen som var ansvarig för händelsen. |
| Initiera ProcesskontoUpn | snöre | Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcesskommandorad | snöre | Kommandoraden som användes för att köra processen som initierade händelsen. |
| InitieringsprocessensSkapandetid | tidpunkt | Datum och tid då processen som initierade händelsen startades. |
| Initiationsprocessfilnamn | snöre | Namnet på processen som initierade händelsen. |
| Initierande Processfilstorlek | lång | Storlek i byte av den process (bildfil) som initierade händelsen. |
| InitieraProcessensMappsökväg | snöre | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| PåbörjarProcessId | lång | Process-ID (PID) för processen som initierade händelsen. |
| Initieringsprocessens Integritetsnivå | snöre | Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser. |
| InitieringProcessMD5 | snöre | MD5-hash av processen (bildfilen) som initierade händelsen. |
| Initieringsprocessförälderskapandetiid | tidpunkt | Datum och tid då den överordnade processen som är ansvarig för händelsen startades. |
| Initiera Process Förälder Filnamn | snöre | Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitieringsprocessensFörälderId | lång | Process-ID (PID) för den förälderprocess som skapade den process som är ansvarig för händelsen. |
| InitieraProcessFjärrsessionEnhetsnamn | snöre | Enhetsnamn för den fjärrenhet från vilken den initierande processens RDP-session initierades. |
| InitieraProcessRemoteSessionIP | snöre | IP-adressen till den fjärrenhet från vilken startprocessens RDP-session initierades. |
| InitieraProcessSessionId | lång | Windows-sessions-ID för den inledande processen. |
| Initiera Process SHA1 | snöre | SHA-1-hash av processen (bildfilen) som initierade händelsen. |
| InitierarProcessSHA256 | snöre | SHA-256-hash för processen (bildfilen) som initierade händelsen. Detta fält är vanligtvis inte ifyllt - använd kolumnen SHA1 när den är tillgänglig. |
| Initiera Processens Tokenhöjning | snöre | Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den process som initierade händelsen. |
| InitieraProcessUniqueId | snöre | Unik identifierare för den inledande processen. detta är lika med processstartnyckeln i Windows-enheter. |
| InitieringProcessVersionInfoFöretagsnamn | snöre | Företagsnamn från versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| InitieringProcessVersionInfoFilbeskrivning | snöre | Beskrivning från versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| InitieraProcessVersionInfoInternFilnamn | snöre | Internt filnamn från versionsinformationen för den process (bildfil) som ansvarar för händelsen. |
| InitieringProcessVersionInfoOriginalFilnamn | snöre | Ursprungligt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| Initiera Processversioninfo Produktnamn | snöre | Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| Versionsinformation för initieringsprocessens produktversion | snöre | Produktversion enligt versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| StartarProcessenFjärrsession | bool | Anger om initieringsprocessen kördes under en RDP-session (Remote Desktop Protocol) (true) eller lokalt (false). |
| MachineGroup (på engelska) | snöre | Maskingrupp för maskinen. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
| MD5 | snöre | MD5-hash av filen som den registrerade handlingen tillämpades på. |
| ReportId | lång | Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna ComputerName och EventTime. |
| RegelSenasteÄndringstid | tidpunkt | Datum och tid då regeln som samlade in händelsen senast ändrades. |
| Regelnamn | snöre | Namnet på regeln som samlade in händelsen |
| SHA1 | snöre | SHA-1-hash för filen som den inspelade åtgärden tillämpades på. |
| SHA256 | snöre | SHA-256 av filen som den registrerade åtgärden tillämpades på. |
| Källsystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| Tidpunkt för generering | tidpunkt | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Typ | snöre | Tabellens namn |