DeviceProcessEvents

Область применения:

  • Microsoft Defender XDR
  • Microsoft Defender для конечной точки

Таблица DeviceProcessEvents в схеме расширенной охоты содержит сведения о создании процесса и связанных событиях. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
DeviceId string Уникальный идентификатор устройства в службе
DeviceName string Полное доменное имя (FQDN) устройства
ActionType string Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале .
FileName string Имя файла, к которому было применено записанное действие
FolderPath string Папка, содержащая файл, к которому было применено записанное действие
SHA1 string SHA-1 файла, к которому было применено записанное действие
SHA256 string SHA-256 файла, к которому было применено записанное действие Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.
MD5 string Хэш MD5 файла, к которому было применено записанное действие
FileSize long Размер файла в байтах
ProcessVersionInfoCompanyName string Название компании из сведений о версии только что созданного процесса
ProcessVersionInfoProductName string Название продукта из сведений о версии только что созданного процесса
ProcessVersionInfoProductVersion string Версия продукта из сведений о версии только что созданного процесса
ProcessVersionInfoInternalFileName string Имя внутреннего файла из сведений о версии только что созданного процесса
ProcessVersionInfoOriginalFileName string Исходное имя файла из сведений о версии только что созданного процесса
ProcessVersionInfoFileDescription string Описание из сведений о версии только что созданного процесса
ProcessId long Идентификатор процесса (PID) вновь созданного процесса
ProcessCommandLine string Командная строка, используемая для создания нового процесса
ProcessIntegrityLevel string Уровень целостности вновь созданного процесса. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов.
ProcessTokenElevation string Указывает тип повышения прав маркера, примененного к только что созданному процессу. Возможные значения: TokenElevationTypeLimited (restricted), TokenElevationTypeDefault (standard) и TokenElevationTypeFull (с повышенными привилегиями)
ProcessCreationTime datetime Дата и время создания процесса
AccountDomain string Домен учетной записи
AccountName string Имя пользователя учетной записи; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи.
AccountSid string Идентификатор безопасности (SID) учетной записи
AccountUpn string Имя участника-пользователя (UPN) учетной записи; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя участника-пользователя Entra ID для учетной записи.
AccountObjectId string Уникальный идентификатор учетной записи в Microsoft Entra ID
LogonId long Идентификатор сеанса входа. Этот идентификатор уникален на одном и том же устройстве только между перезапусками.
InitiatingProcessAccountDomain string Домен учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountName string Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи, которая выполнила процесс, ответственный за событие.
InitiatingProcessAccountSid string Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountUpn string Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя участника-пользователя Entra ID для учетной записи, которая выполнила процесс, отвечающий за событие.
InitiatingProcessAccountObjectId string Microsoft Entra идентификатор объекта учетной записи пользователя, запустившего процесс, отвечающий за событие
InitiatingProcessLogonId long Идентификатор сеанса входа в процесс, который инициировал событие. Этот идентификатор уникален на одном и том же устройстве только между перезапусками.
InitiatingProcessIntegrityLevel string Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов.
InitiatingProcessTokenElevation string Тип маркера, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к процессу, который инициировал событие
InitiatingProcessSHA1 string Хэш SHA-1 процесса (файла изображения), который инициировал событие
InitiatingProcessSHA256 string SHA-256 процесса (файла изображения), который инициировал событие. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.
InitiatingProcessMD5 string Хэш MD5 процесса (файла образа), который инициировал событие
InitiatingProcessFileName string Имя файла процесса, который инициировал событие; Если он недоступен, вместо него может отображаться имя процесса, который инициировал событие.
InitiatingProcessFileSize long Размер файла, в который был запущен процесс, ответственный за событие
InitiatingProcessVersionInfoCompanyName string Название компании из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoProductName string Название продукта из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoProductVersion string Версия продукта из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoInternalFileName string Внутреннее имя файла из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoOriginalFileName string Исходное имя файла из сведений о версии процесса (файл изображения), ответственного за событие
InitiatingProcessVersionInfoFileDescription string Описание из сведений о версии процесса (файла изображения), ответственного за событие
InitiatingProcessId long Идентификатор процесса (PID) процесса, который инициировал событие
InitiatingProcessCommandLine string Командная строка, используемая для запуска процесса, который инициировал событие
InitiatingProcessCreationTime datetime Дата и время запуска процесса, инициирующего событие
InitiatingProcessFolderPath string Папка, содержащая процесс (файл изображения), который инициировал событие
InitiatingProcessParentId long Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие
InitiatingProcessParentFileName string Имя родительского процесса, который породил процесс, отвечающий за событие
InitiatingProcessParentCreationTime datetime Дата и время запуска родительского элемента процесса, ответственного за событие
InitiatingProcessSignerType string Тип файла, подписывающего процесс (файл изображения), который инициировал событие
InitiatingProcessSignatureStatus string Сведения о состоянии сигнатуры процесса (файла изображения), который инициировал событие
ReportId long Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp.
AppGuardContainerId string Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера
AdditionalFields string Дополнительные сведения о событии в формате массива JSON
InitiatingProcessSessionId long Идентификатор сеанса Windows для инициации процесса
IsInitiatingProcessRemoteSession bool Указывает, был ли процесс инициации запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false).
InitiatingProcessRemoteSessionDeviceName string Имя устройства удаленного устройства, с которого был инициирован сеанс RDP процесса инициации
InitiatingProcessRemoteSessionIP string IP-адрес удаленного устройства, с которого был инициирован сеанс RDP процесса инициации
CreatedProcessSessionId long Идентификатор сеанса Windows созданного процесса
IsProcessRemoteSession bool Указывает, был ли созданный процесс запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false).
ProcessRemoteSessionDeviceName string Имя устройства удаленного устройства, с которого был инициирован сеанс RDP созданного процесса.
ProcessRemoteSessionIP string IP-адрес удаленного устройства, с которого был инициирован сеанс RDP созданного процесса.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.