Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta tabla forma parte de Microsoft Defender para Puntos de Conexión con Azure Sentinel. Esta tabla contiene eventos de carga de DLL.
Atributos de tabla
| Atributo | Importancia |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | Sí |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| TipoDeAccion | cuerda / cadena | Tipo de actividad que desencadenó el evento. |
| AppGuardContainerId | cuerda / cadena | Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| IdDelDispositivo | cuerda / cadena | Identificador único del dispositivo en el servicio. |
| Nombre del dispositivo | cuerda / cadena | Nombre de dominio completo (FQDN) del dispositivo. |
| NombreDeArchivo | cuerda / cadena | Dominio de la cuenta. |
| Tamaño de Archivo | largo | Tamaño del archivo en bytes. |
| FolderPath | cuerda / cadena | Dominio de la cuenta. |
| InitiatingProcessAccountDomain | cuerda / cadena | Dominio de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountName | cuerda / cadena | Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountObjectId | cuerda / cadena | Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountSid | cuerda / cadena | Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountUpn | cuerda / cadena | Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessCommandLine | cuerda / cadena | Línea de comandos usada para ejecutar el proceso que inició el evento. |
| InitiatingProcessCreationTime | fecha y hora | Fecha y hora en que se inició el proceso que inició el evento. |
| InitiatingProcessFileName | cuerda / cadena | Nombre del proceso que inició el evento. |
| InitiatingProcessFileSize | largo | Tamaño en bytes del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessFolderPath | cuerda / cadena | Carpeta que contiene el proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessId | largo | Id. de proceso (PID) del proceso que inició el evento. |
| InitiatingProcessIntegrityLevel | cuerda / cadena | Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos. |
| InitiatingProcessMD5 | cuerda / cadena | Hash MD5 del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessParentCreationTime | fecha y hora | Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
| InitiatingProcessParentFileName | cuerda / cadena | Nombre del proceso primario que generó el proceso responsable del evento. |
| InitiatingProcessParentId | largo | Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento. |
| InitiatingProcessRemoteSessionDeviceName | cuerda / cadena | Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciador. |
| InitiatingProcessRemoteSessionIP | cuerda / cadena | Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciado. |
| InitiatingProcessSessionId | largo | Identificador de sesión de Windows del proceso de inicio. |
| Iniciando el Proceso SHA1 | cuerda / cadena | Hash SHA-1 del proceso (archivo de imagen) que inició el evento. |
| Iniciando el proceso SHA256 | cuerda / cadena | Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible. |
| InitiatingProcessTokenElevation | cuerda / cadena | Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que inició el evento. |
| InitiatingProcessUniqueId | cuerda / cadena | Identificador único del proceso inicial; esto es igual a la clave de inicio del proceso en dispositivos Windows. |
| InitiatingProcessVersionInfoCompanyName | cuerda / cadena | Nombre de la empresa obtenido a partir de la información de versión del proceso (archivo de imagen) que es responsable del evento. |
| InitiatingProcessVersionInfoFileDescription | cuerda / cadena | Descripción de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoInternalFileName | cuerda / cadena | Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoOriginalFileName | cuerda / cadena | Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductName | cuerda / cadena | Nombre del producto obtenido de la información de versión del proceso (archivo de imagen) que es responsable del evento. |
| IniciandoProcessVersionInfoProductVersion | cuerda / cadena | Versión del producto de la información de versión del proceso (archivo de imagen) responsable del evento. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable es false, no se facturará la ingesta a su cuenta de Azure |
| IsInitiatingProcessRemoteSession | booleano | Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false). |
| Grupo de máquinas | cuerda / cadena | Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
| MD5 | cuerda / cadena | Hash MD5 del archivo al que se aplicó la acción grabada. |
| ReportId | largo | Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
| SHA1 | cuerda / cadena | Hash SHA-1 del archivo al que se aplicó la acción grabada. |
| SHA256 | cuerda / cadena | SHA-256 del archivo al que se aplicó la acción grabada. |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| Id. de arrendatario | cuerda / cadena | ID del área de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
| Tipo | cuerda / cadena | Nombre de la tabla. |