DeviceProcessEvents

适用于:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

DeviceProcessEvents 高级搜寻架构中的表包含有关进程创建和相关事件的信息。 使用此参考来构建从此表返回信息的查询。

提示

有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。

有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 记录事件的日期和时间
DeviceId string 服务中设备的唯一标识符
DeviceName string 设备的 FQDN) (完全限定的域名
ActionType string 触发事件的活动类型。 有关详细信息,请参阅 门户内架构参考
FileName string 录制操作所应用到的文件的名称
FolderPath string 包含已记录操作应用到的文件的文件夹
SHA1 string 录制操作所应用到的文件的 SHA-1
SHA256 string 录制操作所应用到的文件的 SHA-256。 通常不会填充此字段 — 可用时使用 SHA1 列。
MD5 string 已记录操作应用到的文件的 MD5 哈希
FileSize long 文件的大小(以字节为单位)
ProcessVersionInfoCompanyName string 新创建流程的版本信息中的公司名称
ProcessVersionInfoProductName string 新创建进程的版本信息中的产品名称
ProcessVersionInfoProductVersion string 新创建流程的版本信息中的产品版本
ProcessVersionInfoInternalFileName string 来自新创建进程的版本信息的内部文件名
ProcessVersionInfoOriginalFileName string 新创建进程的版本信息中的原始文件名
ProcessVersionInfoFileDescription string 来自新创建进程的版本信息的说明
ProcessId long 进程 ID (新创建的进程的 PID)
ProcessCommandLine string 用于创建新进程的命令行
ProcessIntegrityLevel string 新创建的进程的完整性级别。 Windows 根据某些特征(例如,从下载的 Internet 启动进程)为进程分配完整性级别。 这些完整性级别会影响对资源的权限。
ProcessTokenElevation string 指示应用于新创建进程的令牌提升的类型。 可能的值:TokenElevationTypeLimited (受限) 、TokenElevationTypeDefault (标准) 和 TokenElevationTypeFull (提升)
ProcessCreationTime datetime 进程的创建日期和时间
AccountDomain string 帐户的域
AccountName string 帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则可能改为显示帐户的 Entra ID 用户名
AccountSid string 帐户的安全标识符 (SID)
AccountUpn string 用户主体名称 (帐户的 UPN) ;如果设备在 Microsoft Entra ID 中注册,则可能改为显示帐户的 Entra ID UPN
AccountObjectId string Microsoft Entra ID 中帐户的唯一标识符
LogonId long 登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。
InitiatingProcessAccountDomain string 运行负责事件的进程的帐户的域
InitiatingProcessAccountName string 运行负责事件的进程的帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID 用户名可能会改为显示
InitiatingProcessAccountSid string 安全标识符 (SID) 运行负责事件的进程的帐户
InitiatingProcessAccountUpn string 用户主体名称 (负责事件的运行进程的帐户的 UPN) ;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID UPN 可能会改为显示
InitiatingProcessAccountObjectId string Microsoft Entra运行负责事件的进程的用户帐户的对象 ID
InitiatingProcessLogonId long 启动事件的进程的登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。
InitiatingProcessIntegrityLevel string 启动事件的进程的完整性级别。 Windows 根据某些特征(例如,是否从 Internet 下载启动)为进程分配完整性级别。 这些完整性级别会影响对资源的权限。
InitiatingProcessTokenElevation string 指示是否存在用户访问控制 (UAC 的令牌类型,) 特权提升应用于发起事件的进程
InitiatingProcessSHA1 string 启动事件的进程的 SHA-1 哈希 (图像文件)
InitiatingProcessSHA256 string 进程的 SHA-256 (启动事件的映像文件) 。 通常不会填充此字段 — 可用时使用 SHA1 列。
InitiatingProcessMD5 string 发起事件的进程 (映像文件) 的 MD5 哈希
InitiatingProcessFileName string 启动事件的进程文件的名称;如果不可用,则可能会改为显示启动事件的进程的名称
InitiatingProcessFileSize long 运行负责事件的进程的文件的大小
InitiatingProcessVersionInfoCompanyName string 进程版本信息中的公司名称 (映像文件) 负责事件
InitiatingProcessVersionInfoProductName string 进程版本信息中的产品名称 (图像文件) 负责事件
InitiatingProcessVersionInfoProductVersion string 来自进程版本信息的产品版本 (映像文件) 负责事件
InitiatingProcessVersionInfoInternalFileName string 进程版本信息中的内部文件名 (负责事件的映像文件)
InitiatingProcessVersionInfoOriginalFileName string 进程版本信息中的原始文件名 (负责事件的映像文件)
InitiatingProcessVersionInfoFileDescription string 来自进程版本信息的说明 (负责事件的映像文件)
InitiatingProcessId long 进程 ID (启动事件的进程的 PID)
InitiatingProcessCommandLine string 用于运行启动事件的进程的命令行
InitiatingProcessCreationTime datetime 启动事件的进程的日期和时间
InitiatingProcessFolderPath string 包含发起事件的进程 (图像文件) 的文件夹
InitiatingProcessParentId long 进程 ID (PID) 生成负责事件的进程的父进程
InitiatingProcessParentFileName string 生成负责事件的进程的父进程的名称
InitiatingProcessParentCreationTime datetime 负责事件的进程的父级的启动日期和时间
InitiatingProcessSignerType string 发起事件的进程的文件签名者类型 (图像文件)
InitiatingProcessSignatureStatus string 有关发起事件的进程的签名状态的信息 (映像文件)
ReportId long 基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。
AppGuardContainerId string 应用程序防护用于隔离浏览器活动的虚拟化容器的标识符
AdditionalFields string 有关 JSON 数组格式的事件的其他信息
InitiatingProcessSessionId long 启动进程的 Windows 会话 ID
IsInitiatingProcessRemoteSession bool 指示启动进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false)
InitiatingProcessRemoteSessionDeviceName string 从中启动发起进程的 RDP 会话的远程设备的设备名称
InitiatingProcessRemoteSessionIP string 从中启动发起进程的 RDP 会话的远程设备的 IP 地址
CreatedProcessSessionId long 已创建进程的 Windows 会话 ID
IsProcessRemoteSession bool 指示创建的进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false)
ProcessRemoteSessionDeviceName string 从中启动所创建进程的 RDP 会话的远程设备的设备名称
ProcessRemoteSessionIP string 从中启动所创建进程的 RDP 会话的远程设备的 IP 地址

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区