Compartir a través de

DeviceImageLoadEvents

  • Artículo

Esta tabla forma parte de Microsoft Defender para punto de conexión con Azure Sentinel. Esta tabla contiene eventos de carga de DLL.

Atributos de tabla

Attribute Valor
Tipos de recursos -
Categorías Seguridad
Soluciones Información de seguridad
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo -

Columnas

Columna Type Descripción
ActionType string Tipo de actividad que desencadenó el evento.
AppGuardContainerId string Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador.
_BilledSize real Tamaño del registro en bytes
DeviceId string Identificador único del dispositivo en el servicio.
DeviceName string Nombre de dominio completo (FQDN) del dispositivo.
FileName string Dominio de la cuenta.
FileSize long Tamaño del archivo en bytes.
FolderPath string Dominio de la cuenta.
InitiatingProcessAccountDomain string Dominio de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessAccountName string Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessAccountObjectId string Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento.
InitiatingProcessAccountSid string Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessAccountUpn string Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessCommandLine string Línea de comandos usada para ejecutar el proceso que inició el evento.
InitiatingProcessCreationTime datetime Fecha y hora en que se inició el proceso que inició el evento.
InitiatingProcessFileName string Nombre del proceso que inició el evento.
InitiatingProcessFileSize long Tamaño en bytes del proceso (archivo de imagen) que inició el evento.
InitiatingProcessFolderPath string Carpeta que contiene el proceso (archivo de imagen) que inició el evento.
InitiatingProcessId long Id. de proceso (PID) del proceso que inició el evento.
InitiatingProcessIntegrityLevel string Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos.
IniciandoProcessMD5 string Hash MD5 del proceso (archivo de imagen) que inició el evento.
InitiatingProcessParentCreationTime datetime Fecha y hora en que se inició el elemento primario del proceso responsable del evento.
InitiatingProcessParentFileName string Nombre del proceso primario que generó el proceso responsable del evento.
IniciandoProcessParentId long Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento.
InitiatingProcessRemoteSessionDeviceName string Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciador.
InitiatingProcessRemoteSessionIP string Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciado.
InitiatingProcessSessionId long Identificador de sesión de Windows del proceso de inicio.
IniciandoProcessSHA1 string Hash SHA-1 del proceso (archivo de imagen) que inició el evento.
IniciandoProcessSHA256 string Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible.
IniciandoProcessTokenElevation string Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que inició el evento.
InitiatingProcessVersionInfoCompanyName string Nombre de la empresa a partir de la información de versión del proceso (archivo de imagen) responsable del evento.
IniciandoProcessVersionInfoFileDescription string Descripción de la información de versión del proceso (archivo de imagen) responsable del evento.
InitiatingProcessVersionInfoInternalFileName string Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento.
InitiatingProcessVersionInfoOriginalFileName string Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento.
InitiatingProcessVersionInfoProductName string Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento.
IniciandoProcessVersionInfoProductVersion string Versión del producto de la información de versión del proceso (archivo de imagen) responsable del evento.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
IsInitiatingProcessRemoteSession bool Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false).
MachineGroup string Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina.
MD5 string Hash MD5 del archivo al que se aplicó la acción grabada.
ReportId long Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime.
SHA1 string Hash SHA-1 del archivo al que se aplicó la acción grabada.
SHA256 string SHA-256 del archivo al que se aplicó la acción grabada.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Fecha y hora en que el agente de MDE registró el evento en el punto de conexión.
Tipo string Nombre de la tabla.