Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Tabela de eventos de processo do Microsoft Defender para Pontos de Extremidade (MDE) para o cenário de Coleção Personalizada. Esta tabela contém informações sobre a criação do processo e eventos relacionados no ponto de extremidade para qualquer coisa explicitamente solicitada pelo cliente para coleta.
Parâmetros de Tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorias | Segurança |
| Soluções | Gerenciamento de Logs |
| Log básico | Yes |
| Transformação durante a ingestão | Não |
| Exemplos de consultas | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| Domínio da Conta | cadeia | Domínio da conta. |
| Nome da Conta | cadeia | Nome de usuário da conta. |
| IdentificadorDoObjetoDeConta | cadeia | Identificador exclusivo para a conta no Azure AD. |
| AccountSid | cadeia | SID (Identificador de Segurança) da conta. |
| AccountUpn | cadeia | Nome Principal de Usuário (UPN) da conta. |
| Tipo de Ação | cadeia | Tipo de atividade que desencadeou o evento. |
| CamposAdicionais | dinâmico | Informações adicionais sobre a entidade ou evento. |
| AppGuardContainerId | cadeia | Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegador. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| CreatedProcessSessionId | long | ID da sessão do Windows do processo criado. |
| DeviceId | cadeia | Identificador exclusivo para o dispositivo no serviço. |
| Nome do Dispositivo | cadeia | Nome de domínio completamente qualificado (FQDN) do dispositivo. |
| Nome do Arquivo | cadeia | Nome do arquivo ao qual a ação gravada foi aplicada. |
| Tamanho do arquivo | long | Tamanho do arquivo em bytes. |
| FolderPath | cadeia | Pasta que contém o arquivo ao qual a ação gravada foi aplicada. |
| InitiatingProcessAccountDomain | cadeia | Domínio da conta que executou o processo responsável pelo evento. |
| InitiatingProcessAccountName | cadeia | Nome de usuário da conta que executou o processo responsável pelo evento. |
| InitiatingProcessAccountObjectId | cadeia | ID do objeto do Azure AD da conta de usuário que executou o processo responsável pelo evento. |
| InitiatingProcessAccountSid | cadeia | SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento. |
| InitiatingProcessAccountUpn | cadeia | Nome UPN da conta que executou o processo responsável pelo evento. |
| Linha de comando para iniciar o processo | cadeia | Linha de comando usada para executar o processo que iniciou o evento. |
| InitiatingProcessCreationTime | datetime | Data e hora em que o processo que iniciou o evento foi iniciado. |
| InitiatingProcessFileName | cadeia | Nome do processo que iniciou o evento. |
| InitiatingProcessFileSize | long | O tamanho do arquivo (bytes) que executou o processo responsável pelo evento. |
| InitiatingProcessFolderPath | cadeia | Pasta que contém o processo (arquivo de imagem) que iniciou o evento. |
| ID do Processo Iniciador | long | ID do processo (PID) do processo que iniciou o evento. |
| InitiatingProcessIntegrityLevel | cadeia | Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles tivessem sido iniciados a partir de um download da Internet. Esses níveis de integridade influenciam as permissões para recursos. |
| InitiatingProcessLogonId | long | Identificador de uma sessão de logon do processo que iniciou o evento. Esse identificador é exclusivo na mesma máquina apenas entre as reinicializações. |
| Iniciando ProcessMD5 | cadeia | Hash MD5 do processo (arquivo de imagem) que iniciou o evento. |
| InitiatingProcessParentCreationTime | datetime | Data e hora em que o pai do processo responsável pelo evento foi iniciado. |
| InitiatingProcessParentFileName | cadeia | Nome do processo pai que gerou o processo responsável pelo evento. |
| InitiatingProcessParentId | long | ID do processo (PID) do processo pai que gerou o processo responsável pelo evento. |
| InitiatingProcessRemoteSessionDeviceName | cadeia | Nome do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada. |
| InitiatingProcessRemoteSessionIP | cadeia | Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada. |
| InitiatingProcessSessionId | long | ID da sessão do Windows do processo de início. |
| Iniciando ProcessSHA1 | cadeia | Hash SHA-1 do processo (arquivo de imagem) que iniciou o evento. |
| Iniciando Processo SHA256 | cadeia | Hash SHA-256 do processo (arquivo de imagem) que iniciou o evento. Em alguns casos, esta coluna pode não ser preenchida – favor usar a coluna InitiatingProcessSHA1. |
| InitiatingProcessSignatureStatus | cadeia | Informações sobre o status da assinatura do processo (arquivo de imagem) que iniciou o evento. |
| InitiatingProcessSignerType | cadeia | Tipo de signatário de arquivo do processo (arquivo de imagem) que iniciou o evento. |
| InitiatingProcessTokenElevation | cadeia | Tipo de token que indica a presença ou ausência de elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo que iniciou o evento. |
| InitiatingProcessUniqueId | cadeia | Identificador exclusivo do processo de início; isso é igual à Chave inicial do processo em dispositivos Windows. |
| InitiatingProcessVersionInfoCompanyName | cadeia | O nome da empresa nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoFileDescription | cadeia | A descrição nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoInternalFileName | cadeia | O nome do arquivo interno nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoOriginalFileName | cadeia | O nome do arquivo original nas informações de versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoProductName | cadeia | O nome do produto presente nas informações da versão (arquivo de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoProductVersion | cadeia | A versão do produto nas informações de versão (arquivo de imagem) responsável pelo evento. |
| _IsBillable | cadeia | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| IsInitiatingProcessRemoteSession | bool | Indica se o processo inicial foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false). |
| IsProcessRemoteSession | bool | Indica se o processo criado foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false). |
| LogonId | long | Identificador de uma sessão de logon. Esse identificador é exclusivo na mesma máquina somente entre reinicializações. |
| Grupo de máquinas | cadeia | Grupo de máquinas ao qual a máquina pertence. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao computador. |
| MD5 | cadeia | Hash MD5 do arquivo ao qual a ação gravada foi aplicada. |
| ProcessCommandLine | cadeia | Linha de comando usada para criar o novo processo. |
| TempoDeCriaçãoDoProcesso | datetime | Data e hora em que o processo foi criado. |
| ProcessId | long | ID do processo (PID) do processo recém-criado. |
| Nível de integridade do processo | cadeia | Nível de integridade do processo recém-criado. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles tivessem sido iniciados a partir de uma Internet baixada. Esses níveis de integridade influenciam as permissões para recursos. |
| ProcessRemoteSessionDeviceName | cadeia | Nome do dispositivo remoto a partir do qual a sessão RDP do processo criado foi iniciada. |
| ProcessRemoteSessionIP | cadeia | Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo criado foi iniciada. |
| ProcessTokenElevation | cadeia | Tipo de token que indica a presença ou ausência de elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo recém-criado. |
| ProcessUniqueId | cadeia | Identificador exclusivo do processo; isso é igual à Chave inicial do processo em dispositivos Windows. |
| ProcessVersionInfoNomeDaEmpresa | cadeia | Nome da empresa das informações de versão do processo recém-criado. |
| ProcessVersionInfoFileDescription | cadeia | Descrição das informações de versão do processo recém-criado. |
| ProcessVersionInfoInternalFileName | cadeia | Nome do arquivo interno das informações de versão do processo recém-criado. |
| ProcessVersionInfoOriginalFileName | cadeia | Nome do arquivo original das informações de versão do processo recém-criado. |
| ProcessVersionInfoProductName | cadeia | Nome do produto a partir das informações de versão do processo recém-criado. |
| ProcessVersionInfoProductVersion | cadeia | Versão do produto baseada nas informações de versão do processo recém-criado. |
| ReportId | long | Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, essa coluna deve ser usada em conjunto com as colunas ComputerName e EventTime. |
| HoraDaÚltimaModificaçãoDaRegra | datetime | Data e hora em que a regra que coletou o evento foi modificada pela última vez. |
| Nome da Regra | cadeia | Nome da regra que coletou o evento |
| SHA1 | cadeia | Hash SHA-1 do arquivo ao qual a ação gravada foi aplicada. |
| SHA256 | cadeia | SHA-256 do arquivo ao qual a ação gravada foi aplicada. |
| Sistema de origem | cadeia | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agentes do Windows, seja via conexão direta ou através do Operations Manager, Linux para agentes de Linux, ou Azure para diagnósticos do Azure |
| ID do Inquilino (TenantId) | cadeia | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | Data e hora em que o evento foi registrado pelo agente MDE no dispositivo final. |
| Tipo | cadeia | O nome da tabela |