Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Enhetshändelsetabell för Microsoft Defender för Slutpunkter (MDE) process. Den här tabellen innehåller information om processkapande och relaterade händelser på slutpunkten.
Attribut för tabell
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Transformering vid intagningstid | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Kontodomain | snöre | Kontots domän. |
| Kontonamn | snöre | Användarnamn för kontot. |
| Kontobjekt-ID | snöre | Unik identifierare för kontot i Azure AD. |
| AccountSid | snöre | Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn | snöre | Användarens främsta namn (UPN) för kontot. |
| Åtgärdstyp | snöre | Typ av aktivitet som utlöste händelsen. |
| YtterligareFält | dynamisk | Ytterligare information om enheten eller händelsen. |
| Behållar-ID för AppGuard | snöre | Identifierare för den virtualiserade behållaren som används av Application Guard för att isolera webbläsaraktivitet. |
| _FaktureradStorlek | verklig | Poststorleken i byte |
| SkapatProcessSessionsId | lång | Windows session-ID för den skapade processen. |
| DeviceId | snöre | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | snöre | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| Filnamn | snöre | Namnet på filen som den inspelade åtgärden tillämpades på. |
| Filstorlek | lång | Filens storlek i byte. |
| Mappsökväg | snöre | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| InitierandeProcessKontoDomän | snöre | Domän för kontot som körde processen ansvarig för händelsen. |
| Initierande Processkontonamn | snöre | Användarnamn för kontot som körde processen ansvarig för händelsen. |
| InitierandeProcessKontoObjektId | snöre | Azure AD objekt-ID för det användarkonto som körde processen ansvarig för händelsen. |
| InitieraProcessAccountSID | snöre | Säkerhetsidentifierare (SID) för kontot som körde processen ansvarig för händelsen. |
| InitierandeProcessKontoUpn | snöre | Användarens huvudnamn (UPN) för kontot som körde processen ansvarig för händelsen. |
| StartandeProcessKommandorad | snöre | Kommandoraden som användes för att köra processen som initierade händelsen. |
| InitierandeProcessSkapelseTid | datum och tid | Datum och tid när processen som initierade händelsen startades. |
| InitierandeProcessFilnamn | snöre | Namnet på processen som initierade händelsen. |
| InitierandeProcessFilStorlek | lång | Storleken på filen (i byte) som körde processen ansvarig för händelsen. |
| InitieraProcessFolderPath | snöre | Mapp innehållande processen (bildfilen) som initierade händelsen. |
| PåbörjarProcessId | lång | Process-ID (PID) för processen som initierade händelsen. |
| Initierande Processens Integritetsnivå | snöre | Integritetnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, som till exempel om de startades från en nedladdning från internet. Dessa integritetsnivåer påverkar behörigheter till resurser. |
| InitierandeProcessInloggningsId | lång | Identifierare för en inloggningssession av processen som initierade händelsen. Denna identifierare är unik på samma maskin endast mellan omstarter. |
| InitieringProcessMD5 | snöre | MD5-hash av processen (bildfil) som initierade händelsen. |
| InitierandeProcessFörälderSkapelseTid | datum och tid | Datum och tid när föräldern till processen som är ansvarig för händelsen startades. |
| InitierandeProcessFöräldraFilNamn | snöre | Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitierandeProcessFörälderId | lång | Process-ID (PID) för den förälderprocess som skapade den process som är ansvarig för händelsen. |
| InitierandeProcessFjärrsessionEnhetsnamn | snöre | Enhetsnamn för den fjärrenhet från vilken den initierande processens RDP-session initierades. |
| InitieraProcessFjärrsessionIP | snöre | IP-adressen till den fjärrenhet från vilken startprocessens RDP-session initierades. |
| InitierandeProcessSessionsId | lång | Windows session-ID för den initierande processen. |
| Initiera Process SHA1 | snöre | SHA-1-hash av processen (bildfil) som initierade händelsen. |
| InitierarProcessSHA256 | snöre | SHA-256-hash av processen (bildfil) som initierade händelsen. I vissa fall kan den här kolumnen vara tom - använd istället kolumnen InitiatingProcessSHA1. |
| InitierandeProcessSignaturStatus | snöre | Information om signaturstatusen för processen (bildfilen) som initierade händelsen. |
| InitieraProcessSignerType | snöre | Typ av filsignerare för processen (bildfil) som initierade händelsen. |
| Initieringsprocessens Tokenhöjning | snöre | Token typ som anger närvaron eller frånvaron av en användarkontroll (UAC) privilegieshöjning som tillämpats på processen som initierade händelsen. |
| InitieraProcessUniqueId | snöre | Unik identifierare för den inledande processen. detta är lika med processstartnyckeln i Windows-enheter. |
| InitiatingProcessVersionInfoFöretagsnamn | snöre | Företagsnamnet i versionsinformationen (bildfil) som är ansvarig för händelsen. |
| InitierandeProcessVersionInfoFilBeskrivning | snöre | Beskrivningen i versioninformationen (bildfil) som ansvarar för händelsen. |
| InitieraProcessVersionInfoInternFilnamn | snöre | Det interna filnamnet i versionsinformationen (bildfil) som är ansvarigt för händelsen. |
| InitiatingProcessVersionInfoUrsprungligFilNamn | snöre | Det ursprungliga filnamnet i versionsinformationen (bildfilen) ansvarig för händelsen. |
| Initiera Processversioninfo Produktnamn | snöre | Produktnamnet i versionsinformationen (bildfil) som är ansvarig för händelsen. |
| Versionsinformation för initieringsprocessens produktversion | snöre | Produktversionen i versionsinformationen (bildfil) ansvarig för händelsen. |
| _ÄrDebiterbar | snöre | Anger om datainmatning är avgiftsbelagd. När _IsBillable är false debiteras inte dataöverföringen till ditt Azure-konto. |
| StartarProcessenFjärrsession | Bool | Indikerar om den initierande processen kördes under en session för fjärrskrivbordsprotokoll (RDP) (sant) eller lokalt (falskt). |
| ÄrProcessFjärrsession | Bool | Indikerar om den skapade processen kördes under en fjärrskrivbordsprotokoll (RDP)-session (sant) eller lokalt (falskt). |
| Inloggnings-ID | lång | Identifierare för en inloggningssession. Denna identifierare är unik på samma maskin endast mellan omstarter. |
| MachineGroup (på engelska) | snöre | Maskingrupp för maskinen. Denna grupp används av behörighetskontroll baserad på roller för att bestämma åtkomst till maskinen. |
| MD5 | snöre | MD5-hash av filen som den registrerade handlingen tillämpades på. |
| ProcessCommandLine | snöre | Kommandoraden som användes för att skapa den nya processen. |
| Processens skapandetid | datum och tid | Datum och tid då processen skapades. |
| ProcessId | lång | Process-ID (PID) för den nyss skapade processen. |
| Processintegritetsnivå | snöre | Integritetsnivå för den nyss skapade processen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en nedladdning från internet. Dessa integritetsnivåer påverkar behörigheter till resurser. |
| BearbetaFjärrsessionEnhetsnamn | snöre | Enhetens namn på den fjärrenhet från vilken den skapade processens RDP-session initierades. |
| ProcessRemoteSessionIP | snöre | IP-adressen för den fjärrenhet från vilken den skapade processens RDP-session initierades. |
| ProcessTokenElevation | snöre | Typ av token som indikerar förekomsten eller frånvaron av användaråtkomstkontroll (UAC) privilegiehöjning tillämpad på den nyss skapade processen. |
| ProcessUniqueId | snöre | Unik identifierare för processen. detta är lika med processstartnyckeln i Windows-enheter. |
| ProcessVersionsinformationFöretagsnamn | snöre | Företagsnamn från versionsinformationen för den nyss skapade processen. |
| ProcessVersionInfoFilBeskrivning | snöre | Beskrivning från versionsinformationen av den nyligen skapade processen. |
| ProcessVersionInfoInternalFileName | snöre | Intern filnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoOriginalFilnamn | snöre | Ursprungligt filnamn från versionsinformationen för den nyss skapade processen. |
| ProcessversionInfoProduktNamn | snöre | Produktnamn från versionsinformationen för den nyss skapade processen. |
| ProcessversionsinfoProduktversion | snöre | Produktversion från versionsinformationen av den nyligen skapade processen. |
| ReportId | lång | Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser, måste den här kolumnen användas tillsammans med kolumnerna Datornamn och Händelsetid. |
| SHA1 | snöre | SHA-1 hash av filen som den registrerade åtgärden tillämpades på. |
| SHA256 | snöre | SHA-256 av filen som den registrerade åtgärden tillämpades på. |
| SourceSystem | snöre | Typen av agent som händelsen samlades in av. Till exempel, OpsManager för Windows-agent, antingen direkt anslutning eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Hyresgäst-ID | snöre | Log Analytics arbetsyta ID |
| Tidpunkt för generering | datum och tid | Datum och tid när händelsen registrerades av MDE-agenten på enheten. |
| Typ | snöre | Namnet på tabellen |