MDCFileIntegrityMonitoringEvents
Umožňuje zobrazit změny souborů systému Windows a Linux a také klíčů registru softwaru. Události z této tabulky shromažďuje Microsoft Defender for Endpoint (MDE).
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | LogManagement |
| Základní protokol | No |
| Transformace doby příjmu dat | No |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Description |
|---|---|---|
| AADTenantID | řetězec | ID tenanta AAD předplatného, ve kterém se monitorovaná entita vytvořila, přejmenovala, upravila nebo odstranila. |
| AzureResourceId | řetězec | ID prostředku Azure, jehož monitorovaná entita byla vytvořena, přejmenována, změněna nebo odstraněna. |
| _BilledSize | real | Velikost záznamu v bajtech |
| ChangeType | řetězec | Typ změny, ke které došlo v entitě. Pro "Soubor" musí být entita "Vytvořeno", "Změněno", "Přejmenováno" nebo "Odstraněno". Pro 'Registry' entity musí být buď 'RegistryKeyCreated', 'RegistryKeyDeleted', 'RegistryValueSet', 'RegistryValueDeleted', 'RegistryKeyRenamed'. |
| CloudIdentifier | řetězec | Identifikátor cloudu prostředku. |
| CloudProvider | řetězec | Poskytovatel cloudu prostředku. |
| CloudResourceType | řetězec | Typ cloudového prostředku. |
| Počítač | řetězec | Název počítače, na kterém byla monitorovaná entita vytvořena, přejmenována, změněna nebo odstraněna. |
| SouborMd5 | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje md5 souboru, který byl změněn, vytvořen nebo odstraněn. |
| FileName | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje název souboru, který byl vytvořen, přejmenován, změněn nebo odstraněn. |
| Filepath | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje cestu k souboru, který byl vytvořen, přejmenován, změněn nebo odstraněn. |
| FileSha1 | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje sha1 souboru, který byl změněn, vytvořen nebo odstraněn. |
| SouborSha256 | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje sha256 souboru, který byl změněn, vytvořen nebo odstraněn. |
| Velikost | long | Relevantní pro typ monitorované entity Soubor. Obsahuje aktuální velikost (v bajtech) souboru, který byl vytvořen, přejmenován, změněn nebo odstraněn. |
| Filetype | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje typ souboru, který byl vytvořen, přejmenován, změněn nebo odstraněn. Příklad možných hodnot: Zip, PDF, Xar atd. |
| InitiatingProcessAccountDomainName | řetězec | Obsahuje název domény účtu procesu inicializačního procesu, který způsobil událost monitorované entity. |
| InitiatingProcessAccountName | řetězec | Obsahuje název účtu procesu zahájení, který způsobil událost monitorované entity. |
| InitiatingProcessAccountSid | řetězec | Obsahuje IDENTIFIKÁTOR SID účtu procesu inicializování, který způsobil událost monitorované entity. |
| InitiatingProcessCreationTime | datetime | Obsahuje čas vytvoření procesu zahájení, který způsobil událost monitorované entity. |
| InitiatingProcessFirstSeen | datetime | Obsahuje první zobrazený čas zahájení procesu, který způsobil událost monitorované entity. |
| InitiatingProcessId | long | Obsahuje ID procesu zahájení procesu, který způsobil událost monitorované entity. |
| InitiatingProcessImageFileName | řetězec | Obsahuje název souboru obrázku procesu zahájení, který způsobil událost monitorované entity. |
| InitiatingProcessImageFilePath | řetězec | Obsahuje cestu k souboru obrázku inicializování procesu, který způsobil událost monitorované entity. |
| InitiatingProcessImageFileType | řetězec | Obsahuje typ souboru obrázku iniciujícího procesu, který způsobil událost monitorované entity. |
| InitiatingProcessName | řetězec | Obsahuje název procesu inicializování, který způsobil událost monitorované entity. |
| InitiatingProcessSessionId | long | Obsahuje ID relace inicializování procesu, který způsobil událost monitorované entity. |
| InitiatingProcessSource | řetězec | Obsahuje zdroj inicializuje proces, který způsobil událost monitorované entity. |
| InitProcImageCreationTimeUtc | datetime | Uchovává čas vytvoření image pro obrázek iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcImageFileSizeInBytes | long | Obsahuje velikost souboru obrázku (v bajtech) inicializování procesu, který způsobil událost monitorované entity. |
| InitProcImageLastAccessTimeUtc | datetime | Uchovává čas posledního přístupu k imagi iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcImageLastWriteTimeUtc | datetime | Uchovává čas posledního zápisu obrázku iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcImageLsHash | řetězec | Obsahuje hodnotu hash LS image pro obrázek iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcImageMd5 | řetězec | Obsahuje image MD5 pro obrázek zahajujícího procesu, který způsobil událost monitorované entity. |
| InitProcImagePeTimestampUtc | datetime | Uchovává čas pe image pro image inicialing procesu, který způsobil událost monitorované entity. |
| InitProcImageSha1 | řetězec | Obsahuje sha image 1 pro obrázek iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcImageSha256 | řetězec | Obsahuje image SHA 256 pro image iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcVersionInfoNázev společnosti | řetězec | Obsahuje název společnosti s informacemi o verzi iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcVersionInfoFileDescription | řetězec | Obsahuje popis souboru informací o verzi inicializování procesu, který způsobil událost monitorované entity. |
| InitProcVersionInfoInternalFileName | řetězec | Obsahuje interní název souboru s informacemi o verzi iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcVersionInfoOriginalFileName | řetězec | Obsahuje původní název souboru informací o verzi inicializování procesu, který způsobil událost monitorované entity. |
| InitProcVersionInfoProductName | řetězec | Obsahuje název produktu informace o verzi iniciujícího procesu, který způsobil událost monitorované entity. |
| InitProcVersionInfoProductVersion | řetězec | Obsahuje verzi produktu informace o verzi iniciujícího procesu, který způsobil událost monitorované entity. |
| _IsBillable | řetězec | Určuje, jestli je příjem dat fakturovatelný. Pokud _IsBillable je false příjem dat, neúčtuje se na váš účet Azure |
| MonitoredEntityType | řetězec | Typ monitorované entity, která byla vytvořena, přejmenována, změněna nebo odstraněna. Může to být soubor nebo registr. |
| NewValueData | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje nová data hodnoty registru. |
| Název nové hodnoty | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje název nové hodnoty registru. |
| NewValueType | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje typ hodnoty nový registr. |
| OldValueData | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje předchozí data hodnoty registru. |
| OldValueFullRegistryKey | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje předchozí úplný klíč registru. |
| Název staré hodnoty | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje název předchozí hodnoty registru. |
| OldValueType | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje předchozí typ hodnoty registru. |
| Název původního souboru | řetězec | Relevantní pro typ entity monitorované "Soubor" a typ změny "Přejmenovat". Obsahuje původní název souboru, který byl přejmenován před přejmenování. |
| Cesta k původnímu souboru | řetězec | Relevantní pro typ monitorované entity Soubor a typ změny Přejmenovat. Obsahuje původní cestu k souboru, který byl přejmenován před přejmenování. |
| RegistryHive | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje nastavení konfigurace seskupení pro operační systém a aplikace. |
| Registrykey | řetězec | Relevantní pro typ monitorované entity Registr. Obsahuje úplný klíč registru vytvořeného registru nebo nový klíč registru, který byl přejmenován. |
| RequestAccountDomain | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje doménu účtu uživatele, který způsobil událost souboru. |
| Název_účtu požadavku | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje název účtu uživatele, který způsobil událost souboru. |
| RequestAccountSid | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje IDENTIFIKÁTOR SID účtu uživatele, který způsobil událost souboru. |
| Zdroj žádostí | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje zdroj účtu uživatele, který způsobil událost souboru. Například Local/SMB/NFS. |
| RequestSourceIP | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje zdrojovou IP adresu účtu uživatele, který způsobil událost souboru. U vzdáleného souboru IP adresa, ze které požadavek přišel. |
| RequestSourcePort | řetězec | Relevantní pro typ monitorované entity Soubor. Obsahuje zdrojový port účtu uživatele, který způsobil událost souboru. Pro vzdálený soubor port, ze kterého žádost přišla. |
| SourceSystem | řetězec | Typ agenta, pro který byla událost shromážděna. Například OpsManager pro agenta pro Windows buď přímé připojení, nebo Operations Manager, Linux pro všechny agenty linuxu nebo Azure pro Azure Diagnostics |
| TenantId | řetězec | ID pracovního prostoru služby Log Analytics |
| TimeGenerated | datetime | Čas (UTC), kdy byla monitorovaná entita vytvořena, přejmenována, změněna nebo odstraněna. |
| Typ | řetězec | Název tabulky |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro