DeviceProcessEvents
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
Таблица DeviceProcessEvents
в схеме расширенной охоты содержит сведения о создании процесса и связанных событиях. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionType
значениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Имя столбца | Тип данных | Описание |
---|---|---|
Timestamp |
datetime |
Дата и время записи события |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
ActionType |
string |
Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале . |
FileName |
string |
Имя файла, к которому было применено записанное действие |
FolderPath |
string |
Папка, содержащая файл, к которому было применено записанное действие |
SHA1 |
string |
SHA-1 файла, к которому было применено записанное действие |
SHA256 |
string |
SHA-256 файла, к которому было применено записанное действие Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен. |
MD5 |
string |
Хэш MD5 файла, к которому было применено записанное действие |
FileSize |
long |
Размер файла в байтах |
ProcessVersionInfoCompanyName |
string |
Название компании из сведений о версии только что созданного процесса |
ProcessVersionInfoProductName |
string |
Название продукта из сведений о версии только что созданного процесса |
ProcessVersionInfoProductVersion |
string |
Версия продукта из сведений о версии только что созданного процесса |
ProcessVersionInfoInternalFileName |
string |
Имя внутреннего файла из сведений о версии только что созданного процесса |
ProcessVersionInfoOriginalFileName |
string |
Исходное имя файла из сведений о версии только что созданного процесса |
ProcessVersionInfoFileDescription |
string |
Описание из сведений о версии только что созданного процесса |
ProcessId |
long |
Идентификатор процесса (PID) вновь созданного процесса |
ProcessCommandLine |
string |
Командная строка, используемая для создания нового процесса |
ProcessIntegrityLevel |
string |
Уровень целостности вновь созданного процесса. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов. |
ProcessTokenElevation |
string |
Указывает тип повышения прав маркера, примененного к только что созданному процессу. Возможные значения: TokenElevationTypeLimited (restricted), TokenElevationTypeDefault (standard) и TokenElevationTypeFull (с повышенными привилегиями) |
ProcessCreationTime |
datetime |
Дата и время создания процесса |
AccountDomain |
string |
Домен учетной записи |
AccountName |
string |
Имя пользователя учетной записи; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи. |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя участника-пользователя Entra ID для учетной записи. |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
LogonId |
long |
Идентификатор сеанса входа. Этот идентификатор уникален на одном и том же устройстве только между перезапусками. |
InitiatingProcessAccountDomain |
string |
Домен учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountName |
string |
Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи, которая выполнила процесс, ответственный за событие. |
InitiatingProcessAccountSid |
string |
Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя участника-пользователя Entra ID для учетной записи, которая выполнила процесс, отвечающий за событие. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra идентификатор объекта учетной записи пользователя, запустившего процесс, отвечающий за событие |
InitiatingProcessLogonId |
long |
Идентификатор сеанса входа в процесс, который инициировал событие. Этот идентификатор уникален на одном и том же устройстве только между перезапусками. |
InitiatingProcessIntegrityLevel |
string |
Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов. |
InitiatingProcessTokenElevation |
string |
Тип маркера, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к процессу, который инициировал событие |
InitiatingProcessSHA1 |
string |
Хэш SHA-1 процесса (файла изображения), который инициировал событие |
InitiatingProcessSHA256 |
string |
SHA-256 процесса (файла изображения), который инициировал событие. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен. |
InitiatingProcessMD5 |
string |
Хэш MD5 процесса (файла образа), который инициировал событие |
InitiatingProcessFileName |
string |
Имя файла процесса, который инициировал событие; Если он недоступен, вместо него может отображаться имя процесса, который инициировал событие. |
InitiatingProcessFileSize |
long |
Размер файла, в который был запущен процесс, ответственный за событие |
InitiatingProcessVersionInfoCompanyName |
string |
Название компании из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoProductName |
string |
Название продукта из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoProductVersion |
string |
Версия продукта из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoInternalFileName |
string |
Внутреннее имя файла из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoOriginalFileName |
string |
Исходное имя файла из сведений о версии процесса (файл изображения), ответственного за событие |
InitiatingProcessVersionInfoFileDescription |
string |
Описание из сведений о версии процесса (файла изображения), ответственного за событие |
InitiatingProcessId |
long |
Идентификатор процесса (PID) процесса, который инициировал событие |
InitiatingProcessCommandLine |
string |
Командная строка, используемая для запуска процесса, который инициировал событие |
InitiatingProcessCreationTime |
datetime |
Дата и время запуска процесса, инициирующего событие |
InitiatingProcessFolderPath |
string |
Папка, содержащая процесс (файл изображения), который инициировал событие |
InitiatingProcessParentId |
long |
Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие |
InitiatingProcessParentFileName |
string |
Имя родительского процесса, который породил процесс, отвечающий за событие |
InitiatingProcessParentCreationTime |
datetime |
Дата и время запуска родительского элемента процесса, ответственного за событие |
InitiatingProcessSignerType |
string |
Тип файла, подписывающего процесс (файл изображения), который инициировал событие |
InitiatingProcessSignatureStatus |
string |
Сведения о состоянии сигнатуры процесса (файла изображения), который инициировал событие |
ReportId |
long |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
AppGuardContainerId |
string |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера |
AdditionalFields |
string |
Дополнительные сведения о событии в формате массива JSON |
InitiatingProcessSessionId |
long |
Идентификатор сеанса Windows для инициации процесса |
IsInitiatingProcessRemoteSession |
bool |
Указывает, был ли процесс инициации запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
InitiatingProcessRemoteSessionDeviceName |
string |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP процесса инициации |
InitiatingProcessRemoteSessionIP |
string |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP процесса инициации |
CreatedProcessSessionId |
long |
Идентификатор сеанса Windows созданного процесса |
IsProcessRemoteSession |
bool |
Указывает, был ли созданный процесс запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
ProcessRemoteSessionDeviceName |
string |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP созданного процесса. |
ProcessRemoteSessionIP |
string |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP созданного процесса. |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.