Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Tabella degli eventi del processo di Microsoft Defender per endpoint (MDE) per lo scenario di raccolta personalizzata. Questa tabella contiene informazioni sulla creazione del processo e sugli eventi correlati nell'endpoint per qualsiasi elemento richiesto in modo esplicito dal cliente per la raccolta.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | Gestione dei log |
| Log di base | Yes |
| Trasformazione durante l'ingestione | NO |
| Interrogazioni di esempio | - |
Colonne
| colonna | TIPO | Descrizione |
|---|---|---|
| AccountDomain | corda | Dominio dell'account. |
| Nome dell'Account | corda | Nome utente dell'account. |
| AccountObjectId | corda | Identificatore univoco per l'account in Azure AD. |
| AccountSid | corda | ID di sicurezza (SID) dell'account. |
| AccountUpn | corda | Nome principale utente (UPN) dell'account. |
| Tipo di azione | corda | Tipo di attività che ha attivato l'evento. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId (Identificativo contenitore di AppGuard) | corda | Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize | autentico | Dimensioni del record in unità di byte |
| CreatedProcessSessionId | lungo | ID sessione di Windows del processo creato. |
| DeviceId | corda | Identificatore univoco per il dispositivo nel servizio. |
| Nome del dispositivo | corda | Nome di dominio completo (FQDN) del dispositivo. |
| Nome del file | corda | Nome del file a cui è stata applicata l'azione registrata. |
| Dimensione del file | lungo | Dimensioni del file in byte. |
| FolderPath | corda | Cartella contenente il file a cui è stata applicata l'azione registrata. |
| InitiatingProcessAccountDomain | corda | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| InitiatingProcessAccountName | corda | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| InitiatingProcessAccountObjectId | corda | ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| ProcessoDiInizializzazioneAccountSid | corda | ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| InitiatingProcessAccountUpn | corda | Nome principale utente (UPN) dell'account che ha eseguito il processo che ha generato l'evento. |
| InitiatingProcessCommandLine | corda | Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| InitiatingProcessCreationTime | data e ora | Data e ora dell'avvio del processo che ha avviato l'evento. |
| NomeDelFileDelProcessoIniziale | corda | Nome del processo che ha avviato l'evento. |
| InizializzazioneProcessoFileSize | lungo | Dimensioni del file (byte) che ha eseguito il processo responsabile dell'evento. |
| InitiatingProcessFolderPath | corda | Cartella contenente il processo (file di immagine) che ha avviato l'evento. |
| AvvioProcessoId | lungo | ID processo (PID) del processo che ha avviato l'evento. |
| InitiatingProcessIntegrityLevel | corda | Livello di integrità del processo che ha avviato l'evento. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| InitiatingProcessLogonId | lungo | Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco solo tra i riavvii all'interno dello stesso computer. |
| Avviare il Processo MD5 | corda | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| InitiatingProcessParentCreationTime | data e ora | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| InitiatingProcessParentFileName | corda | Nome del processo parentale che ha originato il processo responsabile dell'evento. |
| InitiatingProcessParentId | lungo | ID del processo (PID) del processo genitore che ha generato il processo responsabile dell'evento. |
| InitiatingProcessRemoteSessionDeviceName | corda | Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio. |
| InitiatingProcessRemoteSessionIP | corda | Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio. |
| InitiatingProcessSessionId | lungo | ID della sessione di Windows del processo iniziale. |
| Avvio di ProcessSHA1 | corda | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| Avvio del processo SHA256 | corda | Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. In alcuni casi questa colonna potrebbe non essere popolata. Usare invece la colonna AvvioProcessSHA1. |
| InitiatingProcessSignatureStatus | corda | Informazioni sullo stato della firma del processo (file di immagine) che ha avviato l'evento. |
| InitiatingProcessSignerType | corda | Tipo di firmatario di file del processo (file di immagine) che ha avviato l'evento. |
| Avvio di ProcessTokenElevation | corda | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di Controllo di accesso utente (UAC) applicata al processo che ha avviato l'evento. |
| AvvioprocessUniqueId | corda | Identificatore univoco del processo di avvio; è uguale alla chiave di avvio del processo nei dispositivi Windows. |
| InitiatingProcessVersionInfoCompanyName | corda | Nome della società nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| InitiatingProcessVersionInfoFileDescription | corda | Descrizione nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| InitiatingProcessVersionInfoInternalFileName | corda | Nome del file interno nelle informazioni sulla versione (file immagine) che è responsabile dell'evento. |
| InitiatingProcessVersionInfoOriginalFileName | corda | Nome del file originale nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| InitiatingProcessVersionInfoProductName | corda | Nome del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| InitiatingProcessVersionInfoProductVersion | corda | Versione del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| _IsBillable | corda | Specifica se l'ingestione dei dati è soggetta a fatturazione. Quando il valore di _IsBillable è false, l'ingestione non viene fatturata all'account Azure. |
| IsInitiatingProcessRemoteSession | bool | Indica se il processo di avvio è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false). |
| SessioneRemotaProcesso | bool | Indica se il processo creato è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false). |
| ID di accesso | lungo | Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| Gruppo di macchine | corda | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| MD5 | corda | Hash MD5 del file a cui è stata applicata l'azione registrata. |
| ProcessCommandLine | corda | Riga di comando usata per creare il nuovo processo. |
| Tempo di Creazione del Processo | data e ora | Data e ora di creazione del processo. |
| ProcessId | lungo | ID processo (PID) del processo appena creato. |
| Livello di Integrità del Processo | corda | Livello di integrità del processo appena creato. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se fossero stati avviati da un download da internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| NomeDispositivoDiSessioneRemotaDelProcesso | corda | Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo creato. |
| ProcessRemoteSessionIP | corda | Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo creato. |
| Elevazione del Token di Processo | corda | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi del Controllo di accesso utente (UAC) applicata al processo appena creato. |
| ProcessUniqueId | corda | Identificatore univoco del processo; è uguale alla chiave di avvio del processo nei dispositivi Windows. |
| ProcessVersionInfoCompanyName | corda | Nome della società ricavato dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoFileDescription | corda | Descrizione ricavata dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoInternalFileName | corda | Nome file interno dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoOriginalFileName | corda | Nome file originale ricavato dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoProductName | corda | Nome del prodotto ricavato dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoProductVersion | corda | Versione del prodotto ricavato dalle informazioni sulla versione del processo appena creato. |
| ReportId | lungo | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere utilizzata insieme alle colonne ComputerName e EventTime. |
| RuleLastModificationTime | data e ora | Data e ora dell'ultima modifica della regola che ha raccolto l'evento. |
| Nome della Regola | corda | Nome della regola che ha raccolto l'evento |
| SHA1 | corda | Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 | corda | SHA-256 del file a cui è stata applicata l'azione registrata. |
| SourceSystem | corda | Tipo di agente da cui l'evento è stato registrato. Ad esempio, OpsManager per l'agente Windows: connessione diretta o tramite Operations Manager; Linux per tutti gli agenti Linux; oppure Azure per la diagnostica di Azure. |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| TIPO | corda | Nome della tabella |