DeviceProcessEvents
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceProcessEvents
高级搜寻架构中的表包含有关进程创建和相关事件的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
ActionType |
string |
触发事件的活动类型。 有关详细信息,请参阅 门户内架构参考 。 |
FileName |
string |
录制操作所应用到的文件的名称 |
FolderPath |
string |
包含已记录操作应用到的文件的文件夹 |
SHA1 |
string |
录制操作所应用到的文件的 SHA-1 |
SHA256 |
string |
录制操作所应用到的文件的 SHA-256。 通常不会填充此字段 — 可用时使用 SHA1 列。 |
MD5 |
string |
已记录操作应用到的文件的 MD5 哈希 |
FileSize |
long |
文件的大小(以字节为单位) |
ProcessVersionInfoCompanyName |
string |
新创建流程的版本信息中的公司名称 |
ProcessVersionInfoProductName |
string |
新创建进程的版本信息中的产品名称 |
ProcessVersionInfoProductVersion |
string |
新创建流程的版本信息中的产品版本 |
ProcessVersionInfoInternalFileName |
string |
来自新创建进程的版本信息的内部文件名 |
ProcessVersionInfoOriginalFileName |
string |
新创建进程的版本信息中的原始文件名 |
ProcessVersionInfoFileDescription |
string |
来自新创建进程的版本信息的说明 |
ProcessId |
long |
进程 ID (新创建的进程的 PID) |
ProcessCommandLine |
string |
用于创建新进程的命令行 |
ProcessIntegrityLevel |
string |
新创建的进程的完整性级别。 Windows 根据某些特征(例如,从下载的 Internet 启动进程)为进程分配完整性级别。 这些完整性级别会影响对资源的权限。 |
ProcessTokenElevation |
string |
指示应用于新创建进程的令牌提升的类型。 可能的值:TokenElevationTypeLimited (受限) 、TokenElevationTypeDefault (标准) 和 TokenElevationTypeFull (提升) |
ProcessCreationTime |
datetime |
进程的创建日期和时间 |
AccountDomain |
string |
帐户的域 |
AccountName |
string |
帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则可能改为显示帐户的 Entra ID 用户名 |
AccountSid |
string |
帐户的安全标识符 (SID) |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) ;如果设备在 Microsoft Entra ID 中注册,则可能改为显示帐户的 Entra ID UPN |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
LogonId |
long |
登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。 |
InitiatingProcessAccountDomain |
string |
运行负责事件的进程的帐户的域 |
InitiatingProcessAccountName |
string |
运行负责事件的进程的帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID 用户名可能会改为显示 |
InitiatingProcessAccountSid |
string |
安全标识符 (SID) 运行负责事件的进程的帐户 |
InitiatingProcessAccountUpn |
string |
用户主体名称 (负责事件的运行进程的帐户的 UPN) ;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID UPN 可能会改为显示 |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra运行负责事件的进程的用户帐户的对象 ID |
InitiatingProcessLogonId |
long |
启动事件的进程的登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。 |
InitiatingProcessIntegrityLevel |
string |
启动事件的进程的完整性级别。 Windows 根据某些特征(例如,是否从 Internet 下载启动)为进程分配完整性级别。 这些完整性级别会影响对资源的权限。 |
InitiatingProcessTokenElevation |
string |
指示是否存在用户访问控制 (UAC 的令牌类型,) 特权提升应用于发起事件的进程 |
InitiatingProcessSHA1 |
string |
启动事件的进程的 SHA-1 哈希 (图像文件) |
InitiatingProcessSHA256 |
string |
进程的 SHA-256 (启动事件的映像文件) 。 通常不会填充此字段 — 可用时使用 SHA1 列。 |
InitiatingProcessMD5 |
string |
发起事件的进程 (映像文件) 的 MD5 哈希 |
InitiatingProcessFileName |
string |
启动事件的进程文件的名称;如果不可用,则可能会改为显示启动事件的进程的名称 |
InitiatingProcessFileSize |
long |
运行负责事件的进程的文件的大小 |
InitiatingProcessVersionInfoCompanyName |
string |
进程版本信息中的公司名称 (映像文件) 负责事件 |
InitiatingProcessVersionInfoProductName |
string |
进程版本信息中的产品名称 (图像文件) 负责事件 |
InitiatingProcessVersionInfoProductVersion |
string |
来自进程版本信息的产品版本 (映像文件) 负责事件 |
InitiatingProcessVersionInfoInternalFileName |
string |
进程版本信息中的内部文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoOriginalFileName |
string |
进程版本信息中的原始文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoFileDescription |
string |
来自进程版本信息的说明 (负责事件的映像文件) |
InitiatingProcessId |
long |
进程 ID (启动事件的进程的 PID) |
InitiatingProcessCommandLine |
string |
用于运行启动事件的进程的命令行 |
InitiatingProcessCreationTime |
datetime |
启动事件的进程的日期和时间 |
InitiatingProcessFolderPath |
string |
包含发起事件的进程 (图像文件) 的文件夹 |
InitiatingProcessParentId |
long |
进程 ID (PID) 生成负责事件的进程的父进程 |
InitiatingProcessParentFileName |
string |
生成负责事件的进程的父进程的名称 |
InitiatingProcessParentCreationTime |
datetime |
负责事件的进程的父级的启动日期和时间 |
InitiatingProcessSignerType |
string |
发起事件的进程的文件签名者类型 (图像文件) |
InitiatingProcessSignatureStatus |
string |
有关发起事件的进程的签名状态的信息 (映像文件) |
ReportId |
long |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
AppGuardContainerId |
string |
应用程序防护用于隔离浏览器活动的虚拟化容器的标识符 |
AdditionalFields |
string |
有关 JSON 数组格式的事件的其他信息 |
InitiatingProcessSessionId |
long |
启动进程的 Windows 会话 ID |
IsInitiatingProcessRemoteSession |
bool |
指示启动进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
从中启动发起进程的 RDP 会话的远程设备的设备名称 |
InitiatingProcessRemoteSessionIP |
string |
从中启动发起进程的 RDP 会话的远程设备的 IP 地址 |
CreatedProcessSessionId |
long |
已创建进程的 Windows 会话 ID |
IsProcessRemoteSession |
bool |
指示创建的进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false) |
ProcessRemoteSessionDeviceName |
string |
从中启动所创建进程的 RDP 会话的远程设备的设备名称 |
ProcessRemoteSessionIP |
string |
从中启动所创建进程的 RDP 会话的远程设备的 IP 地址 |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。