Compartir a través de


DeviceProcessEvents

Microsoft Defender para punto de conexión s (MDE) tabla de eventos de proceso de dispositivo. Esta tabla contiene información sobre la creación de procesos y eventos relacionados en el punto de conexión.

Atributos de tabla

Attribute Valor
Tipos de recursos -
Categorías Seguridad
Soluciones Información de seguridad
Registro básico No
Transformación en tiempo de ingesta
Consultas de ejemplo -

Columnas

Columna Type Descripción
AccountDomain string Dominio de la cuenta.
AccountName string Nombre de usuario de la cuenta.
AccountObjectId string Identificador único de la cuenta en Azure AD.
AccountSid string Identificador de seguridad (SID) de la cuenta.
AccountUpn string Nombre principal de usuario (UPN) de la cuenta.
ActionType string Tipo de actividad que desencadenó el evento.
AdditionalFields dinámico Información adicional sobre la entidad o el evento.
AppGuardContainerId string Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador.
_BilledSize real Tamaño del registro en bytes
CreatedProcessSessionId long Identificador de sesión de Windows del proceso creado.
DeviceId string Identificador único del dispositivo en el servicio.
DeviceName string Nombre de dominio completo (FQDN) del dispositivo.
FileName string Nombre del archivo al que se aplicó la acción grabada.
FileSize long Tamaño del archivo en bytes.
FolderPath string Carpeta que contiene el archivo al que se aplicó la acción grabada.
InitiatingProcessAccountDomain string Dominio de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessAccountName string Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessAccountObjectId string Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento.
InitiatingProcessAccountSid string Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessAccountUpn string Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessCommandLine string Línea de comandos usada para ejecutar el proceso que inició el evento.
InitiatingProcessCreationTime datetime Fecha y hora en que se inició el proceso que inició el evento.
InitiatingProcessFileName string Nombre del proceso que inició el evento.
InitiatingProcessFileSize long Tamaño del archivo (bytes) que ejecutó el proceso responsable del evento.
InitiatingProcessFolderPath string Carpeta que contiene el proceso (archivo de imagen) que inició el evento.
InitiatingProcessId long Id. de proceso (PID) del proceso que inició el evento.
InitiatingProcessIntegrityLevel string Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos.
InitiatingProcessLogonId long Identificador de una sesión de inicio de sesión del proceso que inició el evento. Este identificador es único en la misma máquina solo entre restarts..
IniciandoProcessMD5 string Hash MD5 del proceso (archivo de imagen) que inició el evento.
InitiatingProcessParentCreationTime datetime Fecha y hora en que se inició el elemento primario del proceso responsable del evento.
InitiatingProcessParentFileName string Nombre del proceso primario que generó el proceso responsable del evento.
IniciandoProcessParentId long Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento.
InitiatingProcessRemoteSessionDeviceName string Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciador.
InitiatingProcessRemoteSessionIP string Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciado.
InitiatingProcessSessionId long Identificador de sesión de Windows del proceso de inicio.
IniciandoProcessSHA1 string Hash SHA-1 del proceso (archivo de imagen) que inició el evento.
IniciandoProcessSHA256 string Hash SHA-256 del proceso (archivo de imagen) que inició el evento. En algunos casos, es posible que esta columna no se rellene; use la columna InitiatingProcessSHA1 en su lugar.
InitiatingProcessSignatureStatus string Información sobre el estado de firma del proceso (archivo de imagen) que inició el evento.
InitiatingProcessSignerType string Tipo de firmante de archivo del proceso (archivo de imagen) que inició el evento.
IniciandoProcessTokenElevation string Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que inició el evento.
InitiatingProcessVersionInfoCompanyName string El nombre de la empresa en la información de versión (archivo de imagen) responsable del evento.
IniciandoProcessVersionInfoFileDescription string Descripción de la información de versión (archivo de imagen) responsable del evento.
InitiatingProcessVersionInfoInternalFileName string Nombre de archivo interno en la información de versión (archivo de imagen) responsable del evento.
InitiatingProcessVersionInfoOriginalFileName string Nombre de archivo original en la información de versión (archivo de imagen) responsable del evento.
InitiatingProcessVersionInfoProductName string Nombre del producto en la información de versión (archivo de imagen) responsable del evento.
IniciandoProcessVersionInfoProductVersion string La versión del producto en la información de la versión (archivo de imagen) responsable del evento.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
IsInitiatingProcessRemoteSession bool Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false).
IsProcessRemoteSession bool Indica si el proceso creado se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false).
LogonId long Identificador de una sesión de inicio de sesión. Este identificador es único en la misma máquina solo entre reinicios.
MachineGroup string Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina.
MD5 string Hash MD5 del archivo al que se aplicó la acción grabada.
ProcessCommandLine string Línea de comandos usada para crear el nuevo proceso.
ProcessCreationTime datetime Fecha y hora en que se creó el proceso.
ProcessId long Id. de proceso (PID) del proceso recién creado.
ProcessIntegrityLevel string Nivel de integridad del proceso recién creado. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos.
ProcessRemoteSessionDeviceName string Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso creado.
ProcessRemoteSessionIP string Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso creado.
ProcessTokenElevation string Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso recién creado.
ProcessVersionInfoCompanyName string Nombre de la compañía a partir de la información de versión del proceso recién creado.
ProcessVersionInfoFileDescription string Descripción de la información de versión del proceso recién creado.
ProcessVersionInfoInternalFileName string Nombre de archivo interno de la información de versión del proceso recién creado.
ProcessVersionInfoOriginalFileName string Nombre de archivo original de la información de versión del proceso recién creado.
ProcessVersionInfoProductName string Nombre del producto a partir de la información de versión del proceso recién creado.
ProcessVersionInfoProductVersion string Versión del producto a partir de la información de versión del proceso recién creado.
ReportId long Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime.
SHA1 string Hash SHA-1 del archivo al que se aplicó la acción grabada.
SHA256 string SHA-256 del archivo al que se aplicó la acción grabada.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Fecha y hora en que el agente de MDE registró el evento en el punto de conexión.
Tipo string Nombre de la tabla.