DeviceFileEvents
Tato tabulka je součástí Microsoft Defender pro koncové body se službou Azure Sentinel. Tato tabulka obsahuje vytváření, úpravy souborů a další události systému souborů.
Atributy tabulky
Atribut | Hodnota |
---|---|
Typy prostředků | - |
Kategorie | Zabezpečení |
Řešení | SecurityInsights |
Základní protokol | No |
Transformace doby příjmu dat | Yes |
Ukázkové dotazy | - |
Sloupce
Sloupec | Typ | Description |
---|---|---|
ActionType | řetězec | Typ aktivity, která aktivovala událost. |
Další pole | dynamic | Další informace o entitě nebo události |
AppGuardContainerId | řetězec | Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivit prohlížeče. |
_BilledSize | real | Velikost záznamu v bajtech |
DeviceId | řetězec | Jedinečný identifikátor zařízení ve službě. |
DeviceName | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
FileName | řetězec | Název souboru, u kterého byla zaznamenána akce. |
FileOriginIP | řetězec | IP adresa, ze které byl soubor stažen. |
SouborOriginReferrerUrl | řetězec | Adresa URL webové stránky, která odkazuje na stažený soubor. |
SouborOriginUrl | řetězec | Adresa URL, ze které byl soubor stažen. |
Velikost | long | Velikost souboru v bajtech. |
Cesta ke složce | řetězec | Složka obsahující soubor, na který byla zaznamenána akce. |
InitiatingProcessAccountDomain | řetězec | Doména účtu, který spustil proces zodpovědný za událost. |
InitiatingProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zodpovědný za událost. |
InitiatingProcessAccountObjectId | řetězec | Azure AD ID objektu uživatelského účtu, který spustil proces zodpovědný za událost. |
InitiatingProcessAccountSid | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost. |
InitiatingProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost. |
InitiatingProcessCommandLine | řetězec | Příkazový řádek použitý ke spuštění procesu, který událost inicioval. |
InitiatingProcessCreationTime | datetime | Datum a čas zahájení procesu, který událost inicioval. |
InitiatingProcessFileName | řetězec | Název procesu, který událost inicioval. |
InitiatingProcessFileSize | long | Velikost v bajtech procesu (souboru obrázku), který událost inicioval. |
InitiatingProcessFolderPath | řetězec | Složka obsahující proces (soubor obrázku), který událost inicioval. |
InitiatingProcessId | long | ID procesu (PID) procesu, který událost inicioval. |
InitiatingProcessIntegrityLevel | řetězec | Úroveň integrity procesu, který událost inicioval. Systém Windows přiřazuje procesům úrovně integrity na základě určitých charakteristik, například pokud byly spuštěny ze stahování z internetu. Tyto úrovně integrity ovlivňují oprávnění k prostředkům. |
InitiatingProcessMD5 | řetězec | Hodnota hash MD5 procesu (soubor obrázku), který událost inicioval. |
InitiatingProcessParentCreationTime | datetime | Datum a čas, kdy byl zahájen nadřazený proces zodpovědný za událost. |
InitiatingProcessParentFileName | řetězec | Název nadřazeného procesu, který zprovozní proces zodpovědný za událost. |
InitiatingProcessParentId | long | ID procesu (PID) nadřazeného procesu, který zprovozní proces zodpovědný za událost. |
InicialingProcessSHA1 | řetězec | Hodnota hash SHA-1 procesu (souboru obrázku), který událost inicioval. |
InicialingProcessSHA256 | řetězec | SHA-256 hash procesu (soubor obrázku), který událost inicioval. Toto pole se obvykle nevyplní – pokud je k dispozici, použijte sloupec SHA1. |
InitiatingProcessTokenElevation | řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění user Access Control (UAC) použitého na proces, který událost inicioval. |
InitiatingProcessVersionInfoCompanyName | řetězec | Název společnosti z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
InitiatingProcessVersionInfoFileDescription | řetězec | Popis z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
InitiatingProcessVersionInfoInternalFileName | řetězec | Interní název souboru z informací o verzi procesu (soubor obrázku), který je zodpovědný za událost. |
InitiatingProcessVersionInfoOriginalFileName | řetězec | Původní název souboru z informací o verzi procesu (soubor obrázku), který je zodpovědný za událost. |
InitiatingProcessVersionInfoProductName | řetězec | Název produktu z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
InitiatingProcessVersionInfoProductVersion | řetězec | Verze produktu z informací o verzi procesu (soubor obrázku) zodpovědného za událost. |
IsAzureInfoProtectionApplied | bool | Označuje, jestli je soubor šifrovaný službou Azure Information Protection. |
_IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud se _IsBillable false příjem dat neúčtuje na váš účet Azure |
MachineGroup | řetězec | Skupina počítačů počítače. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
MD5 | řetězec | Hodnota hash md5 souboru, na který byla zaznamenána akce. |
PreviousFileName | řetězec | Původní název souboru, který byl přejmenován v důsledku akce. |
PreviousFolderPath | řetězec | Původní složka obsahující soubor před provedením zaznamenané akce. |
Id sestavy | long | Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci ComputerName a EventTime. |
RequestAccountDomain | řetězec | Doména účtu použitého k vzdálenému zahájení aktivity |
Název_účtu požadavku | řetězec | Uživatelské jméno účtu použitého k vzdálenému zahájení aktivity. |
RequestAccountSid | řetězec | Identifikátor zabezpečení (SID) účtu použitého ke vzdálenému zahájení aktivity. |
RequestProtocol | řetězec | Síťový protokol, pokud je k dispozici, použitý k zahájení aktivity: Neznámý, Místní, SMB nebo NFS. |
RequestSourceIP | řetězec | IPv4 nebo IPv6 adresa vzdáleného zařízení, které aktivitu iniciovalo. |
RequestSourcePort | int | Zdrojový port na vzdáleném zařízení, které aktivitu iniciovalo. |
Popisek citlivosti | řetězec | Popisek použitý u e-mailu, souboru nebo jiného obsahu pro klasifikaci pro účely ochrany informací. |
SensitivitySubLabel | řetězec | Dílčí popisek použitý u e-mailu, souboru nebo jiného obsahu pro klasifikaci pro účely ochrany informací; podznačky citlivosti jsou seskupeny pod popisky citlivosti, ale zpracovávají se nezávisle. |
SHA1 | řetězec | Hodnota hash SHA-1 souboru, na který se použila zaznamenaná akce. |
SHA256 | řetězec | SHA-256 souboru, na který byla zaznamenána akce. |
Název_sdílené_položky | řetězec | Název sdílené složky obsahující soubor |
SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
TimeGenerated | datetime | Datum a čas, kdy byla událost zaznamenána agentem MDE v koncovém bodu. |
Typ | řetězec | Název tabulky |
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro