DeviceFileEvents
ينطبق على:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceFileEvents يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول إنشاء الملفات وتعديلها وأحداث نظام الملفات الأخرى. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
تلميح
للحصول على معلومات مفصلة حول أنواع الأحداث (ActionTypeالقيم) التي يدعمها جدول، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
DeviceId |
string |
معرف فريد للجهاز في الخدمة |
DeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث. راجع مرجع مخطط المدخل للحصول على التفاصيل. |
FileName |
string |
اسم الملف الذي تم تطبيق الإجراء المسجل عليه |
FolderPath |
string |
مجلد يحتوي على الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA1 |
string |
SHA-1 من الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA256 |
string |
SHA-256 من الملف الذي تم تطبيق الإجراء المسجل عليه. عادة ما لا يتم ملء هذا الحقل — استخدم عمود SHA1 عند توفره. |
MD5 |
string |
تجزئة MD5 للملف الذي تم تطبيق الإجراء المسجل عليه |
FileOriginUrl |
string |
عنوان URL حيث تم تنزيل الملف منه |
FileOriginReferrerUrl |
string |
عنوان URL لصفحة الويب التي ترتبط بالملف الذي تم تنزيله |
FileOriginIP |
string |
عنوان IP حيث تم تنزيل الملف منه |
PreviousFolderPath |
string |
المجلد الأصلي الذي يحتوي على الملف قبل تطبيق الإجراء المسجل |
PreviousFileName |
string |
الاسم الأصلي للملف الذي تمت إعادة تسميته كنتيجة للإجراء |
FileSize |
long |
حجم الملف بالبايت |
InitiatingProcessAccountDomain |
string |
مجال الحساب الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessAccountName |
string |
اسم المستخدم للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم مستخدم معرف Entra للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث بدلا من ذلك |
InitiatingProcessAccountSid |
string |
معرف الأمان (SID) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessAccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث؛ إذا تم تسجيل الجهاز في Microsoft Entra ID، فقد يظهر اسم المستخدم الأساسي لمعرف Entra للحساب الذي قام بتشغيل العملية المسؤولة عن الحدث بدلا من ذلك |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra معرف الكائن لحساب المستخدم الذي قام بتشغيل العملية المسؤولة عن الحدث |
InitiatingProcessMD5 |
string |
تجزئة MD5 للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessSHA1 |
string |
SHA-1 للعملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessSHA256 |
string |
SHA-256 للعملية (ملف الصورة) التي بدأت الحدث. عادة ما لا يتم ملء هذا الحقل — استخدم عمود SHA1 عند توفره. |
InitiatingProcessFolderPath |
string |
مجلد يحتوي على العملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessFileName |
string |
اسم ملف العملية الذي بدأ الحدث؛ إذا لم يكن متوفرا، فقد يظهر اسم العملية التي بدأت الحدث بدلا من ذلك |
InitiatingProcessFileSize |
long |
حجم العملية (ملف الصورة) التي بدأت الحدث |
InitiatingProcessVersionInfoCompanyName |
string |
اسم الشركة من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoProductName |
string |
اسم المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoProductVersion |
string |
إصدار المنتج من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoInternalFileName |
string |
اسم الملف الداخلي من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث |
InitiatingProcessVersionInfoOriginalFileName |
string |
اسم الملف الأصلي من معلومات إصدار العملية (ملف الصورة) المسؤولة عن الحدث |
InitiatingProcessVersionInfoFileDescription |
string |
وصف من معلومات إصدار العملية (ملف الصورة) المسؤول عن الحدث |
InitiatingProcessId |
long |
معرف العملية (PID) للعملية التي بدأت الحدث |
InitiatingProcessCommandLine |
string |
سطر الأوامر المستخدم لتشغيل العملية التي بدأت الحدث |
InitiatingProcessCreationTime |
datetime |
تاريخ ووقت بدء العملية التي بدأت الحدث |
InitiatingProcessIntegrityLevel |
string |
مستوى تكامل العملية التي بدأت الحدث. يعين Windows مستويات تكامل للعمليات استنادا إلى خصائص معينة، مثل ما إذا تم تشغيلها من تنزيل الإنترنت. تؤثر مستويات التكامل هذه على أذونات الموارد. |
InitiatingProcessTokenElevation |
string |
نوع الرمز المميز الذي يشير إلى وجود أو عدم وجود رفع امتياز التحكم في وصول المستخدم (UAC) المطبق على العملية التي بدأت الحدث |
InitiatingProcessParentId |
long |
معرف العملية (PID) للعملية الأصل التي ولدت العملية المسؤولة عن الحدث |
InitiatingProcessParentFileName |
string |
اسم العملية الأصل التي ولدت العملية المسؤولة عن الحدث |
InitiatingProcessParentCreationTime |
datetime |
تاريخ ووقت بدء تشغيل أصل العملية المسؤولة عن الحدث |
RequestProtocol |
string |
بروتوكول الشبكة، إن أمكن، يستخدم لبدء النشاط: غير معروف أو محلي أو SMB أو NFS |
RequestSourceIP |
string |
عنوان IPv4 أو IPv6 للجهاز البعيد الذي بدأ النشاط |
RequestSourcePort |
int |
منفذ المصدر على الجهاز البعيد الذي بدأ النشاط |
RequestAccountName |
string |
اسم المستخدم للحساب المستخدم لبدء النشاط عن بعد |
RequestAccountDomain |
string |
مجال الحساب المستخدم لبدء النشاط عن بعد |
RequestAccountSid |
string |
معرف الأمان (SID) للحساب المستخدم لبدء النشاط عن بعد |
ShareName |
string |
اسم المجلد المشترك الذي يحتوي على الملف |
SensitivityLabel |
string |
التسمية المطبقة على رسالة بريد إلكتروني أو ملف أو محتوى آخر لتصنيفها لحماية المعلومات |
SensitivitySubLabel |
string |
يتم تطبيق تسمية فرعية على بريد إلكتروني أو ملف أو محتوى آخر لتصنيفه لحماية المعلومات؛ يتم تجميع تسميات الحساسية الفرعية ضمن أوصاف الحساسية ولكن يتم التعامل معها بشكل مستقل |
IsAzureInfoProtectionApplied |
boolean |
يشير إلى ما إذا كان الملف مشفرا بواسطة Azure حماية البيانات |
ReportId |
long |
معرف الحدث استنادا إلى عداد مكرر. لتحديد الأحداث الفريدة، يجب استخدام هذا العمود بالاقتران مع عمودي DeviceName و Timestamp. |
AppGuardContainerId |
string |
معرف الحاوية الظاهرية المستخدمة من قبل حماية التطبيقات لعزل نشاط المستعرض |
AdditionalFields |
string |
معلومات إضافية حول الكيان أو الحدث |
InitiatingProcessSessionId |
long |
معرف جلسة Windows لعملية البدء |
IsInitiatingProcessRemoteSession |
bool |
يشير إلى ما إذا كان قد تم تشغيل عملية البدء ضمن جلسة عمل بروتوكول سطح المكتب البعيد (RDP) (صحيح) أو محليا (خطأ) |
InitiatingProcessRemoteSessionDeviceName |
string |
اسم الجهاز للجهاز البعيد الذي تم بدء جلسة RDP الخاصة بعملية البدء منه |
InitiatingProcessRemoteSessionIP |
string |
عنوان IP للجهاز البعيد الذي تم بدء جلسة RDP لعملية البدء منه |
ملاحظة
سيتم دائما عرض معلومات تجزئة الملف عند توفرها. ومع ذلك، هناك عدة أسباب محتملة لتعذر حساب SHA1 أو SHA256 أو MD5. على سبيل المثال، قد يكون الملف موجودا في تخزين بعيد، أو مؤمنا بعملية أخرى، أو مضغوطا، أو تم وضع علامة عليه كظاهري. في هذه السيناريوهات، تظهر معلومات تجزئة الملف فارغة.
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.