Del via

DeviceFileEvents

  • Artikel

Gælder for:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

Tabellen DeviceFileEvents i det avancerede jagtskema indeholder oplysninger om filoprettelse, ændring og andre filsystemhændelser. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.

Tip

Du kan finde detaljerede oplysninger om de hændelsestyper (ActionTypeværdier), der understøttes af en tabel, ved at bruge den indbyggede skemareference, der er tilgængelig i Microsoft Defender XDR.

Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslæt for registrering af hændelsen
DeviceId string Entydigt id for enheden i tjenesten
DeviceName string Fuldt domænenavn (FQDN) for enheden
ActionType string Aktivitetstype, der udløste hændelsen. Se skemareferencen i portalen for at få flere oplysninger.
FileName string Navnet på den fil, som den registrerede handling blev anvendt på
FolderPath string Mappe, der indeholder den fil, som den registrerede handling blev anvendt på
SHA1 string SHA-1 for den fil, som den registrerede handling blev anvendt på
SHA256 string SHA-256 for den fil, som den registrerede handling blev anvendt på. Dette felt udfyldes normalt ikke. Brug kolonnen SHA1, når det er tilgængeligt.
MD5 string MD5-hash for den fil, som den registrerede handling blev anvendt på
FileOriginUrl string URL-adresse, hvor filen blev downloadet fra
FileOriginReferrerUrl string URL-adressen på den webside, der linker til den downloadede fil
FileOriginIP string IP-adresse, hvor filen blev downloadet fra
PreviousFolderPath string Oprindelig mappe, der indeholder filen, før den registrerede handling blev anvendt
PreviousFileName string Oprindeligt navn på den fil, der blev omdøbt som følge af handlingen
FileSize long Filens størrelse i byte
InitiatingProcessAccountDomain string Domænet for den konto, der kørte processen, som er ansvarlig for hændelsen
InitiatingProcessAccountName string Brugernavnet på den konto, der kørte processen, der er ansvarlig for hændelsen. Hvis enheden er registreret i Microsoft Entra ID, vises brugernavnet til Ettra-id'et for den konto, der kørte den proces, der er ansvarlig for hændelsen, muligvis i stedet for
InitiatingProcessAccountSid string Sikkerheds-id (SID) for den konto, der kørte processen, der er ansvarlig for hændelsen
InitiatingProcessAccountUpn string Brugerens hovednavn (UPN) for den konto, der kørte den proces, der er ansvarlig for hændelsen. Hvis enheden er registreret i Microsoft Entra ID, vises Entra ID UPN'et for den konto, der kørte den proces, der er ansvarlig for hændelsen, muligvis i stedet for
InitiatingProcessAccountObjectId string Microsoft Entra objekt-id for den brugerkonto, der kørte den proces, der er ansvarlig for hændelsen
InitiatingProcessMD5 string MD5-hash for den proces (billedfil), der startede hændelsen
InitiatingProcessSHA1 string SHA-1 for den proces (billedfil), der startede hændelsen
InitiatingProcessSHA256 string SHA-256 for den proces (billedfil), der startede hændelsen. Dette felt udfyldes normalt ikke. Brug kolonnen SHA1, når det er tilgængeligt.
InitiatingProcessFolderPath string Mappe, der indeholder den proces (billedfil), der startede hændelsen
InitiatingProcessFileName string Navnet på den procesfil, der startede hændelsen. Hvis den ikke er tilgængelig, vises navnet på den proces, der startede hændelsen, muligvis i stedet for
InitiatingProcessFileSize long Størrelsen på den proces (billedfil), der startede hændelsen
InitiatingProcessVersionInfoCompanyName string Firmanavn fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen
InitiatingProcessVersionInfoProductName string Produktnavn fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen
InitiatingProcessVersionInfoProductVersion string Produktversion fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen
InitiatingProcessVersionInfoInternalFileName string Internt filnavn fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen
InitiatingProcessVersionInfoOriginalFileName string Oprindeligt filnavn fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen
InitiatingProcessVersionInfoFileDescription string Beskrivelse fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for hændelsen
InitiatingProcessId long Proces-id (PID) for den proces, der startede hændelsen
InitiatingProcessCommandLine string Kommandolinje, der bruges til at køre den proces, der startede hændelsen
InitiatingProcessCreationTime datetime Dato og klokkeslæt for, hvornår den proces, der startede hændelsen, blev startet
InitiatingProcessIntegrityLevel string Integritetsniveau for den proces, der startede hændelsen. Windows tildeler integritetsniveauer til processer baseret på visse egenskaber, f.eks. hvis de blev startet fra en internetdownload. Disse integritetsniveauer påvirker tilladelser til ressourcer.
InitiatingProcessTokenElevation string Tokentype, der angiver tilstedeværelsen eller fraværet af udvidede rettigheder for Bruger Access Control (UAC) for den proces, der startede hændelsen
InitiatingProcessParentId long Proces-id (PID) for den overordnede proces, der forgrenede processen, der er ansvarlig for hændelsen
InitiatingProcessParentFileName string Navnet på den overordnede proces, der forgrenede processen, der er ansvarlig for hændelsen
InitiatingProcessParentCreationTime datetime Dato og klokkeslæt for, hvornår den overordnede for den proces, der er ansvarlig for hændelsen, blev startet
RequestProtocol string Netværksprotokol, hvis det er relevant, bruges til at starte aktiviteten: Ukendt, Lokal, SMB eller NFS
RequestSourceIP string IPv4- eller IPv6-adressen på den eksterne enhed, der startede aktiviteten
RequestSourcePort int Kildeport på den eksterne enhed, der startede aktiviteten
RequestAccountName string Brugernavnet på den konto, der bruges til at fjern starte aktiviteten
RequestAccountDomain string Domænet for den konto, der bruges til at fjern starte aktiviteten
RequestAccountSid string Sikkerheds-id (SID) for den konto, der bruges til at fjern starte aktiviteten
ShareName string Navnet på den delte mappe, der indeholder filen
SensitivityLabel string Mærkat, der anvendes på en mail, fil eller andet indhold for at klassificere den med henblik på beskyttelse af oplysninger
SensitivitySubLabel string Underabel, der anvendes på en mail, fil eller andet indhold for at klassificere den med henblik på beskyttelse af oplysninger. følsomhedsundermærkater grupperes under følsomhedsmærkater, men behandles uafhængigt
IsAzureInfoProtectionApplied boolean Angiver, om filen er krypteret af Azure Information Protection
ReportId long Hændelses-id baseret på en gentaget tæller. Hvis du vil identificere entydige hændelser, skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp.
AppGuardContainerId string Id for den virtualiserede objektbeholder, der bruges af Application Guard til at isolere browseraktivitet
AdditionalFields string Yderligere oplysninger om enheden eller hændelsen
InitiatingProcessSessionId long Windows-sessions-id for startprocessen
IsInitiatingProcessRemoteSession bool Angiver, om startprocessen blev kørt under en RDP-session (Remote Desktop Protocol) (sand) eller lokalt (falsk)
InitiatingProcessRemoteSessionDeviceName string Enhedsnavnet på den eksterne enhed, som startprocessens RDP-session blev startet fra
InitiatingProcessRemoteSessionIP string IP-adressen på den eksterne enhed, som startprocessens RDP-session blev startet fra

Bemærk!

Filhashoplysninger vises altid, når de er tilgængelige. Der er dog flere mulige årsager til, at en SHA1, SHA256 eller MD5 ikke kan beregnes. Filen kan f.eks. være placeret i et fjernlager, låst af en anden proces, komprimeret eller markeret som virtuel. I disse scenarier vises hashoplysningerne for filen som tomme.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.