Поля события Registry Modify
Поле |
Тип |
Описание |
|---|---|---|
EventType |
string |
Тип события |
EventId |
string |
Уникальный идентификатор события |
EventTimestamp |
int |
Дата и время на хосте (клиенте), где произошло событие (дата указана в UTC) |
EventReceivedtimestamp |
int |
Дата и время получения события на сервере |
EventSequenceid |
int |
Номер последовательности отправленного события |
HostId |
string |
Уникальный идентификатор хоста |
HostKscId |
string |
Идентификатор защищаемого хоста для администрирования через KSC |
HostMdrId |
string |
Идентификатор защищаемого хоста в MDR-решении |
HostOsmpId |
string |
Список идентификаторов серверов OSMP Based XDR решений, к которым подключен защищаемый хост |
HostOsFamily |
string |
Тип операционной системы хоста (Windows, Linux, macOS) |
HostOsName |
string |
Название операционной системы хоста |
HostOsVersion |
string |
Версия операционной системы хоста |
HostName |
string |
Имя хоста, на котором было обнаружено событие |
HostIp |
string |
IP адрес хоста, на котором было обнаружено событие |
AgentVersion |
string |
Версия продукта, установленного на хосте |
AgentKdbTimestamp |
int |
Временная метка обновления компонентов KDB |
AgentSw2Timestamp |
int |
Временная метка обновления баз компонента SW2 |
AgentIndexTimestamp |
int |
Временная метка последнего обновления баз всех компонентов |
RegKeyName |
string |
Полный путь и имя ключа реестра, которые были застронуты событием |
RegValueName |
string |
Имя значения реестра |
RegValueType |
string |
Тип значения реестра |
RegValueData |
string |
Данные в значении реестра |
RegValueMd5 |
string |
MD5-хеш файла из параметра RegValueData |
RegOldValueData |
string |
Предыдущие данные в значении реестра |
RegOldValueMd5 |
string |
Предыдущее значение MD5 хеша файла из параметра RegValueData |
ProcessUniqueid |
int |
Уникальный идентификатор процесса |
ProcessId |
int |
Идентификатор процесса |
ProcessCmdline |
string |
Командная строка процесса |
ProcessCreationflags |
string |
Список флагов созданного процесса |
ProcessDirectory |
string |
Директория, из которой был запущен процесс |
ProcessEnvironment |
string |
Переменные окружения |
ProcessProperties |
string |
Свойства аккаунта, из-под которого был запущен процесс |
ProcessFileLnkName |
string |
Имя LNK файла,из которого был запущен файл текущего процесса |
ProcessFileLnkPath |
string |
Путь к LNK-файлy, из которого был запущен процесс (без имени файла) |
ProcessFileLnkFullname |
string |
Полный путь к LNK файлу, из которого был запущен файл текущего процесса |
ProcessFileLnkCmdline |
string |
Командная строка LNK-файла |
ProcessFileLnkMd5 |
string |
MD5 хэш содержимого LNK файла, из которого был запущен файл текущего процесса |
ProcessFileLnkSha256 |
string |
SHA256 хэш LNK файла, из которого был запущен текущий процесс |
ProcessIntegritylevel |
int |
Уровень целостности процесса |
ProcessType |
string |
Тип процесса |
ProcessUserRealid |
int |
Действующий идентификатор пользователя, запустившего процесс. Указывается для Linux и macOS |
ProcessGroupRealid |
int |
Действующий (реальный) идентификатор группы пользователя, который запустил процесс. Указывается для Linux и macOS |
ProcessUserRealname |
string |
Действующее имя пользователя, запустившего процесс. Указывается для Linux и macOS |
ProcessGroupRealname |
string |
Действующее (реальное) имя группы пользователя, который запустил процесс. Указывается для Linux и macOS |
ProcessUserEffectiveid |
int |
Эффективный идентификатор пользователя, запустившего процесс. Указывается для Linux и macOS |
ProcessGroupEffectiveid |
int |
Эффективный идентификатор группы, к которой принадлежит пользователь, запустивший процесс. Указывается для Linux и macOS |
ProcessUserEffectivename |
string |
Эффективное имя пользователя, запустившего процесс. Указывается для Linux и macOS |
ProcessGroupEffectivename |
string |
Эффективное имя группы пользователя, запустившего процесс. Указывается для Linux и macOS |
ProcessFileName |
string |
Имя файла запущенного процесса (без пути) |
ProcessFilePath |
string |
Путь к файлу запущенного процесса (без имени файла) |
ProcessFileFullname |
string |
Полное имя файла запущенного процесса (включая полный путь к файлу) |
ProcessFileSize |
int |
Размер файла запущенного процесса |
ProcessFileCreationtime |
int |
Дата/время создания файла запущенного процесса |
ProcessFileModificationtime |
int |
Дата/время последней модификации файла запущенного процесса |
ProcessFileAttrModificationtime |
int |
Время последнего изменения атрибутов исполняемого файла процесса |
ProcessFileMd5 |
string |
MD5 хэш файла запущенного процесса |
ProcessFileSha256 |
string |
SHA256 хэш файла запущенного процесса |
ProcessFileAttr |
int |
Список атрибутов файловой системы исполняемого файла, от которого был запущен процесс |
ProcessFileType |
string |
Тип файла запущенного процесса |
ProcessFileUrl |
string |
URL-адрес, с которого был загружен исполняемый файл процесса |
ProcessFileEmailSrcAddress |
string |
Email-адрес отправителя письма, во вложении которого был получен файл запущенного процесса |
ProcessFileOwnerUserId |
int |
Идентификатор пользователя владельца файла |
ProcessFileOwnerGroupId |
int |
Идентификатор группы, к которой принадлежит владелец файла |
ProcessFileOwnerUserName |
string |
Имя пользователя владельца файла |
ProcessFileOwnerGroupName |
string |
Имя группы, к которой принадлежит владелец файла |
ProcessFileCapPermitted |
string |
Набор разрешённых возможностей, доступных исполняемому файлу процесса |
ProcessFileCapInheritable |
string |
Разрешения, наследуемые файлом запущенного процесса |
ProcessFileCapEffective |
string |
Набор эффективных возможностей, которые назначены исполняемому файлу, от которого был запущен процесс |
ProcessFileZoneidentifier |
int |
Идентификатор зоны из альтернативного потока (NTFS) Zone.Identifier, который был назначен при загрузке файла |
ProcessFileProductname |
string |
Имя приложения, указанное в ресурсе VERSIONINFO |
ProcessFileProductversion |
string |
Версия приложения, указанная в ресурсе VERSIONINFO |
ProcessFileOriginalname |
string |
Оригинальное имя файла приложения указанное в ресурсе VERSIONINFO |
ProcessFileProductvendor |
string |
Имя компании, указанное в ресурсе VERSIONINFO |
ProcessFileDescription |
string |
Описание, указанное в ресурсе VERSIONINFO |
ProcessFileVersion |
string |
Версия файла, указанная в ресурсе VERSIONINFO |
ProcessFileSignResult |
string |
Результат проверки подписи: пройдена - true, иначе - false |
ProcessFileSignTimestamp |
int |
Дата и время подписания файла |
ProcessFileSignSubjectname |
string |
Название организации, выпустившей сертификат, которым подписан файл запущенного процесса |
ProcessLogonType |
string |
Тип сеанса входа в систему пользователя, запустившего данный процесс |
ProcessLogonSessionId |
int |
Идентификатор сеанса входа из токена доступа процесса |
ProcessUserType |
int |
Тип аккаунта пользователя, запустившего процесс. Возможные значения: Unknown, Admin, NotAdmin |
ProcessUserName |
string |
Имя пользователя (с доменом), запустившего процесс |
ProcessLogonUserId |
int |
Идентификатор пользователя. Указывается для Linux и macOS |
ProcessLogonHostName |
string |
Полное (FQDN) имя удалённого хоста, с которого залогинился пользователь, запустивший процесс |
ParentProcessUniqueid |
int |
Уникальный идентификатор родительского процесса |
ParentProcessId |
int |
Идентификатор родительского процесса |
ParentProcessCmdline |
string |
Командная строка родительского процесса |
ParentProcessCreationflags |
string |
Список флагов родительского процесса |
ParentProcessDirectory |
string |
Текущая рабочия директория родительского процесса. Указывается для Linux и macOS |
ParentProcessFileLnkName |
string |
Имя (без указания пути) LNK файла, из которого был запущен родительский процесс |
ParentProcessFileLnkPath |
string |
Путь к LNK файлу (без имени файла), из которого был запущен родительский процесс |
ParentProcessFileLnkFullname |
string |
Полный путь к LNK файлу, из которого был запущен родительский процесс |
ParentProcessFileLnkCmdline |
string |
Командная строка LNK-файла родительского процесса |
ParentProcessFileLnkMd5 |
string |
MD5 хэш LNK файла, из которого был запущен родительский процесс |
ParentProcessFileLnkSha256 |
string |
SHA256 хэш LNK файла, из которого был запущен родительский процесс |
ParentProcessIntegritylevel |
int |
Уровень целостности родительского процесса |
ParentProcessType |
string |
Тип родительского процесса |
ParentProcessUserRealid |
int |
Действующий (реальный) идентификатор пользователя, запустившего родительский процесс. Указано для Linux и macOS |
ParentProcessGroupRealid |
int |
Действующий (реальный) идентификатор группы пользователя, запустившего родительский процесс. Указано для Linux и macOS |
ParentProcessUserRealname |
string |
Действующее (реальное) имя пользователя, запустившего родительский процесс. Указано для Linux и macOS |
ParentProcessGroupRealname |
string |
Действующее (реальное) имя группы пользователя, запустившего родительский процесс. Указано для Linux и macOS |
ParentProcessUserEffectiveid |
int |
Эффективный идентификатор пользователя, запустившего родительский процесс. Ссылочное поле Auditd |
ParentProcessGroupEffectiveid |
int |
Эффективный идентификатор группы, к которой принадлежит пользователь, запустивший родительский процесс. Ссылочное поле Auditd |
ParentProcessUserEffectivename |
string |
Эффективное имя пользователя, запустившего родительский процесс. Ссылочное поле Auditd |
ParentProcessGroupEffectivename |
string |
Эффективное имя группы пользователя, запустившего родительский процесс. Ссылочное поле Auditd |
ParentProcessFileName |
string |
Имя исполняемого файла родительского процесса (без пути) |
ParentProcessFilePath |
string |
Полный путь к исполняемому файлу родительского процесса (без имени файла) |
ParentProcessFileFullname |
string |
Полный путь к исполняемому файлу родительского процесса |
ParentProcessFileCreationtime |
int |
Время создания исполняемого файла родительского процесса |
ParentProcessFileModificationtime |
int |
Последнее время, когда файл родительского процесса был изменен |
ParentProcessFileAttrModificationtime |
int |
Последнее время, когда были изменены атрибуты исполняемого файла родительского процесса |
ParentProcessFileMd5 |
string |
MD5-хэш исполняемого файла родительского процесса |
ParentProcessFileSha256 |
string |
SHA256-хэш исполняемого файла родительского процесса |
ParentProcessFileAttr |
int |
Список атрибутов файловой системы для исполняемого файла родительского процесса |
ParentProcessFileType |
string |
Тип исполняемого файла родительского процесса |
ParentProcessFileUrl |
string |
URL, с которого был загружен исполняемый файл родительского процесса |
ParentProcessFileEmailSrcAddress |
string |
Адрес отправителя, с которого исполняемый файл родительского процесса был получен как вложение |
ParentProcessFileOwnerUserId |
int |
Идентификатор пользователя владельца исполняемого файла родительского процесса |
ParentProcessFileOwnerGroupId |
int |
Идентификатор группы, к которой принадлежит владелец исполняемого файла родительского процесса |
ParentProcessFileOwnerUserName |
string |
Имя пользователя владельца исполняемого файла родительского процесса |
ParentProcessFileOwnerGroupName |
string |
Имя группы, к которой принадлежит владелец исполняемого файла родительского процесса |
ParentProcessFileCapEffective |
string |
Эффективные возможности исполняемого файла родительского процесса |
ParentProcessFileProductname |
string |
Значение имени продукта из ресурса VERSIONINFO ресурс исполняемого файла родительского процесса |
ParentProcessFileOriginalname |
string |
Оригинальное имя файла из ресурса VERSIONINFO исполняемого файла родительского процесса |
ParentProcessFileProductvendor |
string |
Значение имени компании из ресурса VERSIONINFO исполняемого файла родительского процесса |
ParentProcessFileDescription |
string |
Описание из ресурса VERSIONINFO исполняемого файла родительского процесса |
ParentProcessFileSignResult |
string |
Результат проверки подписи файла родительского процесса: пройдена - true, иначе - false |
ParentProcessFileSignTimestamp |
int |
Дата и время подписания файла родительского процесса |
ParentProcessFileSignSubjectname |
string |
Название организации, выпустившей сертификат, которым был подписан файл родительского процесса |
ParentProcessLogonType |
string |
Тип сеанса входа в систему родительского процесса |
ParentProcessLogonSessionId |
int |
Идентификатор сеанса входа из токена доступа родительского процесса |
ParentProcessProperties |
int |
Список свойств аккаунта, из-под которого был запущен родительский процесс |
ParentProcessUserName |
string |
Домен и имя пользователя, запустившего родительский процесс |
GrandParentProcessUniqueid |
int |
Уникальный идентификатор прародительского процесса |
GrandParentProcessId |
int |
Идентификатор прародительского процесса |
GrandParentProcessCmdline |
string |
Командная строка прародительского процесса |
GrandParentProcessCreationflags |
string |
Флаги создания прародительского процесса |
GrandParentProcessDirectory |
string |
Директория, из которой был запущен прародительский процесс |
GrandParentProcessFileLnkName |
string |
Имя LNK-файла, из которого был запущен прародительский процесс (без пути) |
GrandParentProcessFileLnkPath |
string |
Полный путь к LNK-файлу, из которого был запущен прародительский процесс(без имени файла) |
GrandParentProcessFileLnkFullname |
string |
Полный путь к LNK-файлу, из которого был запущен прародительский процесс |
GrandParentProcessFileLnkCmdline |
string |
Командная строка LNK-файла, из которого был запущен прародительский процесс |
GrandParentProcessFileLnkMd5 |
string |
MD5-хэш LNK-файла, из которого был запущен прародительский процесс |
GrandParentProcessFileLnkSha256 |
string |
SHA256 хэш LNK-файла, из которого был запущен прародительский процесс |
GrandParentProcessIntegritylevel |
int |
Уровень целостности прародительского процесса |
GrandParentProcessType |
string |
Тип прародительского процесса |
GrandParentProcessUserRealid |
int |
Действующий (реальный) идентификатор пользователя, запустившего прародительский процесс. Указано для Linux и macOS |
GrandParentProcessGroupRealid |
int |
Действующий (реальный) идентификатор группы пользователя, запустившего прародительский процесс. Указывается для Linux и macOS |
GrandParentProcessUserRealname |
string |
Действующее (реальное) имя пользователя, запустившего прародительский процесс. Указано для Linux и macOS |
GrandParentProcessGroupRealname |
string |
Действующее (реальное) имя группы пользователя, запустившего прародительский процесс. Указано для Linux и macOS |
GrandParentProcessUserEffectiveid |
int |
Эффективный идентификатор пользователя, запустившего прародительский процесс. Ссылочное поле Auditd |
GrandParentProcessGroupEffectiveid |
int |
Эффективный идентификатор группы, к которой принадлежит пользователь, запустивший прародительский процесс. Указывается для Linux и macOS |
GrandParentProcessUserEffectivename |
string |
Эффективное имя пользователя, запустившего прародительский процесс. Ссылочное поле Auditd |
GrandParentProcessGroupEffectivename |
string |
Эффективное имя группы пользователя, запустившего прародительский процесс. Указывается для Linux и macOS |
GrandParentProcessFileName |
string |
Имя исполняемого файла прародительского процесса (без пути) |
GrandParentProcessFilePath |
string |
Полный путь к исполняемому файлу прародительского процесса (без имени файла). |
GrandParentProcessFileFullname |
string |
Полный путь к исполняемому файлу прародительского процесса |
GrandParentProcessFileCreationtime |
int |
Дата и время создания исполняемого файла прародительского процесса |
GrandParentProcessFileModificationtime |
int |
Последнее время, когда исполняемый файл прародительского процесса был изменен |
GrandParentProcessFileAttrModificationtime |
int |
Последнее время, когда были изменены атрибуты исполняемого файла прародительского процесса |
GrandParentProcessFileMd5 |
string |
MD5-хэш исполняемого файла прародительского процесса |
GrandParentProcessFileSha256 |
string |
SHA256-хэш исполняемого файла прародительского процесса |
GrandParentProcessFileAttr |
int |
Список атрибутов файловой системы для исполняемого файла прародительского процесса |
GrandParentProcessFileType |
string |
Тип исполняемого файла прародительского процесса |
GrandParentProcessFileUrl |
string |
URL, откуда был загружен исполняемый файл прародительского процесса. Заполняется если файл прародительского процесса был загружен из интернета |
GrandParentProcessFileEmailSrcAddress |
string |
Адрес отправителя, с которого исполняемый файл прародительского процесса был получен как вложение. Заполняется, если файл прародительского процесса был получен в письме как вложение |
GrandParentProcessFileOwnerUserId |
int |
Идентификатор пользователя владельца исполняемого файла прародительского процесса |
GrandParentProcessFileOwnerGroupId |
int |
Идентификатор группы, к которой принадлежит владелец исполняемого файла прародительского процесса |
GrandParentProcessFileOwnerUserName |
string |
Имя пользователя владельца исполняемого файла прародительского процесса |
GrandParentProcessFileOwnerGroupName |
string |
Имя группы владельца исполняемого файла прародительского процесса |
GrandParentProcessFileCapEffective |
string |
Эффективные возможности исполняемого файла прародительского процесса |
GrandParentProcessFileProductname |
string |
Значение имени продукта из ресурса VERSIONINFO исполняемого файла прародительского процесса |
GrandParentProcessFileOriginalname |
string |
Оригинальное имя файла из ресурса VERSIONINFO исполняемого файла прародительского процесса |
GrandParentProcessFileProductvendor |
string |
Значение имени компании из ресурса VERSIONINFO исполняемого файла прародительского процесса |
GrandParentProcessFileDescription |
string |
Описание из ресурса VERSIONINFO исполняемого файла прародительского процесса |
GrandParentProcessFileSignResult |
string |
Результат проверки подписи файла прародительского процесса: пройдена - true, иначе - false |
GrandParentProcessFileSignTimestamp |
int |
Дата и время подписания файла прародительского процесса |
GrandParentProcessFileSignSubjectname |
string |
Название организации, выпустившей сертификат, которым был подписан файл прародительского процесса |
GrandParentProcessLogonType |
string |
Идентификатор сеанса входа из токена доступа прародительского процесса |
GrandParentProcessLogonSessionId |
int |
Идентификатор сессии входа в систему из маркера доступа grand-parent процесса |
GrandParentProcessProperties |
int |
Список свойств аккаунта, из-под которого был запущен прародительский процесс |
GrandParentProcessUserName |
string |
Имя пользователя (с доменом), запустившего прародительский процесс |
DownloaderProcessUniqueid |
int |
Уникальный идентификатор процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessId |
int |
Идентификатор процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessCmdline |
string |
Командная строка процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessCreationflags |
string |
Флаги создания процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessDirectory |
string |
Текущая рабочая директория, из которой был запущен процесс-загрузчик (загрузивший файл текущего процесса) |
DownloaderProcessFileLnkName |
string |
Имя LNK-файла процесса-загрузчика (загрузившего файл текущего процесса), без пути |
DownloaderProcessFileLnkPath |
string |
Путь к LNK-файлу процесса-загрузчика (загрузившего файл текущего процесса), без имени файла |
DownloaderProcessFileLnkFullname |
string |
Полный путь к LNK-файлу процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileLnkCmdline |
string |
Командная строка LNK-файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileLnkMd5 |
string |
MD5-хэш LNK-файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileLnkSha256 |
string |
SHA256-хэш LNK-файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessIntegritylevel |
int |
Уровень целостности процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessType |
string |
Тип процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessUserRealid |
int |
Действующий (реальный) идентификатор пользователя, запустившего процесс-загрузчик (загрузивший файл текущего процесса). Указывается для Linux и macOS |
DownloaderProcessGroupRealid |
int |
Действующий (реальный) идентификатор группы пользователя, запустившего процесс-загрузчик (загрузившего файл текущего процесса). Указывается для Linux и macOS |
DownloaderProcessUserRealname |
string |
Действующее (реальное) имя пользователя, запустившего процесс-загрузчик (загрузивший файл текущего процесса). Указывается для Linux и macOS |
DownloaderProcessGroupRealname |
string |
Действующее (реальное) имя группы пользователя, запустившего процесс-загрузчик (загрузившего файл текущего процесса). Указывается для Linux и macOS |
DownloaderProcessUserEffectiveid |
int |
Эффективный идентификатор пользователя, запустившего процесс-загрузчик (загрузивший файл текущего процесса) |
DownloaderProcessGroupEffectiveid |
int |
Эффективный идентификатор группы, к которой принадлежит пользователь, запустивший процесс-загрузчик (загрузившего файл текущего процесса). Указывается для Linux и macOS |
DownloaderProcessUserEffectivename |
string |
Эффективное имя пользователя, запустившего процесс-загрузчик (загрузивший файл текущего процесса) |
DownloaderProcessGroupEffectivename |
string |
Эффективное имя группы пользователя, запустившего процесс-загрузчик (загрузившего файл текущего процесса). Указывается для Linux и macOS |
DownloaderProcessFileName |
string |
Имя исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFilePath |
string |
Полный путь к исполняемому файлу процесса-загрузчика (загрузившего файл текущего процесса), без имени файла |
DownloaderProcessFileFullname |
string |
Полный путь к исполняемому файлу процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileCreationtime |
int |
Время создания исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileModificationtime |
int |
Время последнего изменения исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileAttrModificationtime |
int |
Время последнего изменения атрибутов исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileMd5 |
string |
MD5-хэш исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileSha256 |
string |
SHA256-хэш исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileAttr |
int |
Список атрибутов файловой системы исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileType |
string |
Тип исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileUrl |
string |
URL, с которого был загружен исполняемый файл процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileEmailSrcAddress |
string |
Адрес отправителя, с которого исполняемый файл процесса-загрузчика (загрузившего файл текущего процесса) был получен как вложение |
DownloaderProcessFileOwnerUserId |
int |
Идентификатор пользователя владельца исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileOwnerGroupId |
int |
Идентификатор группы, к которой принадлежит владелец исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileOwnerUserName |
string |
Имя пользователя владельца исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileOwnerGroupName |
string |
Имя группы, к которой принадлежит владелец исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileCapEffective |
string |
Эффективные возможности исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileProductname |
string |
Значение имени продукта из ресурса VERSIONINFO исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileOriginalname |
string |
Оригинальное имя файла из ресурса VERSIONINFO исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileProductvendor |
string |
Значение названия компании из ресурса VERSIONINFO исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileDescription |
string |
Описание из ресурса VERSIONINFO исполняемого файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileSignResult |
string |
Результат проверки подписи процесса-загрузчика (загрузившего файл текущего процесса): пройдена - true, иначе - false |
DownloaderProcessFileSignTimestamp |
int |
Дата и время подписания файла процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessFileSignSubjectname |
string |
Название организации, выпустившей сертификат, которым подписан файл процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessLogonType |
string |
Тип сеанса входа в систему пользователя, запустившего процесс-загрузчик (загрузивший файл текущего процесса) |
DownloaderProcessLogonSessionId |
int |
Идентификатор сеанса входа из токена доступа процесса-загрузчика (загрузившего файл текущего процесса) |
DownloaderProcessProperties |
int |
Свойства аккаунта, из-под которого был запущен процесса-загрузчик (загрузивший файл текущего процесса) |
DownloaderProcessUserName |
string |
Имя пользователя (с доменом), запустившего процесс-загрузчик (загрузивший файл текущего процесса) |
CreatorProcessUniqueid |
int |
Уникальный идентификатор процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessId |
int |
Идентификатор процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessCmdline |
string |
Командная строка процесса, запустившего дочерний процесс |
CreatorProcessCreationflags |
string |
Флаги создания процесса, запустившего дочерний процесс |
CreatorProcessDirectory |
string |
Текущий рабочий каталог процесса, запустившего дочерний процесс |
CreatorProcessFileLnkName |
string |
Имя LNK-файла (без пути), из которого был запущен процесс, являющийся фактическим создателем текущего процесса |
CreatorProcessFileLnkPath |
string |
Полный путь к LNK-файлу, из которого был запущен процесс, являющийся фактическим создателем текущего процесса |
CreatorProcessFileLnkFullname |
string |
Полный путь к LNK-файлу, из которого был запущен процесс, являющийся фактическим создателем текущего процесса |
CreatorProcessFileLnkCmdline |
string |
Командная строка LNK-файла, из которого был запущен процесс, являющийся фактическим создателем текущего процесса |
CreatorProcessFileLnkMd5 |
string |
MD5-хэш LNK-файла, из которого был запущен процесс, являющийся фактическим создателем текущего процесса |
CreatorProcessFileLnkSha256 |
string |
SHA256-хэш LNK-файла, из которого был запущен процесс, являющийся фактическим создателем текущего процесса |
CreatorProcessIntegritylevel |
int |
Уровень целостности процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessType |
string |
Тип процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessUserRealid |
int |
Действующий (реальный) идентификатор пользователя, выполнившего процесс, являющийся фактическим создателем текущего процесса Указано для Linux и macOS |
CreatorProcessGroupRealid |
int |
Действующий (реальный) идентификатор группы пользователя, запустившего процесс, являющийся фактическим создателем текущего процесса. Указывается для Linux и macOS |
CreatorProcessUserRealname |
string |
Действующее (реальное) имя пользователя, запустившего процесс, являющийся фактическим создателем текущего процесса Указано для Linux и macOS |
CreatorProcessGroupRealname |
string |
Действующее (реальное) имя группы пользователя, запустившего процесс, являющийся фактическим создателем текущего процесса. Указывается для Linux и macOS |
CreatorProcessUserEffectiveid |
int |
Эффективный идентификатор пользователя, запустившего текущий процесс в качестве дочернего |
CreatorProcessGroupEffectiveid |
int |
Эффективный идентификатор группы, к которой принадлежит пользователь, запустивший процесс, являющийся фактическим создателем текущего процесса. Указывается для Linux и macOS |
CreatorProcessUserEffectivename |
string |
Эффективное имя пользователя, запустившего текущий процесс в качестве дочернего |
CreatorProcessGroupEffectivename |
string |
Имя эффективной группы пользователя, запустившего процесс, являющийся фактическим создателем текущего процесса. Указывается для Linux и macOS |
CreatorProcessFileName |
string |
Имя исполняемого файла процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessFilePath |
string |
Полный путь к исполняемому файлу процесса, запустившему в качестве дочернего текущий процесс |
CreatorProcessFileFullname |
string |
Полный путь к исполняемому файлу процесса, запустившему текущий процесс в качестве дочернего |
CreatorProcessFileCreationtime |
int |
Время создания исполняемого файла процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessFileModificationtime |
int |
Время модификации исполняемого файла процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessFileAttrModificationtime |
int |
Время модификации атрибутов исполняемого файла процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessFileMd5 |
string |
MD5-хэш исполняемого файла процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessFileSha256 |
string |
SHA256 хэш исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileAttr |
int |
Список атрибутов файловой системы для исполняемого файла процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessFileType |
string |
Тип исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileUrl |
string |
URL-адрес, с которого был загружен исполняемый файл процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileEmailSrcAddress |
string |
Адрес отправителя, от которого исполняемый файл процесса, запустившего текущий процесс в качестве дочернего, был получен в виде вложения |
CreatorProcessFileOwnerUserId |
int |
Идентификатор пользователя владельца исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileOwnerGroupId |
int |
Идентификатор группы владельца исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileOwnerUserName |
string |
Имя пользователя владельца исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileOwnerGroupName |
string |
Имя группы владельца исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileCapEffective |
string |
Эффективные возможности исполняемого файла процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessFileProductname |
string |
Значение имени продукта из ресурса VERSIONINFO исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileOriginalname |
string |
Оригинальное имя файла из ресурса VERSIONINFO исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileProductvendor |
string |
Значение имени компании из ресурса VERSIONINFO исполняемого файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileDescription |
string |
Описание из ресурса VERSIONINFO исполняемого файла процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessFileSignResult |
string |
Результат проверки подписи исполняемого файла процесса, запустившего в качестве дочернего текущий процесс: пройдена - true, иначе - false |
CreatorProcessFileSignTimestamp |
int |
Дата и время подписания файла процесса, запустившего в качестве дочернего текущий процесс |
CreatorProcessFileSignSubjectname |
string |
Название организации, выпустившей сертификат, которым подписан файл процесса, запустивший в качестве дочернего текущий процесс |
CreatorProcessLogonType |
string |
Тип сеанса входа в систему пользователя, запустившего процесс, являющийся фактическим создателем текущего процесса |
CreatorProcessLogonSessionId |
int |
Идентификатор сеанса входа из маркера доступа процесса, запустившего текущий процесс в качестве дочернего |
CreatorProcessProperties |
int |
Свойства аккаунта, из-под которого был запущен процесс, являющийся фактическим создателем текущего процесса |
CreatorProcessUserName |
string |
Имя пользователя (с доменом), выполнившего процесс, являющийся фактическим создателем текущего процесса |