MDCFileIntegrityMonitoringEvents
Anzeigen von Änderungen von Windows- und Linux-Dateien sowie von Softwareregistrierungsschlüsseln. Ereignisse aus dieser Tabelle werden von Microsoft Defender for Endpoint (MDE) gesammelt.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | LogManagement |
Standardprotokoll | Yes |
Transformation zur Erfassungszeit | No |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AADTenantID | Zeichenfolge | Die AAD-Mandanten-ID des Abonnements, in dem die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
AzureResourceId | Zeichenfolge | Die Azure-Ressourcen-ID der Ressource, deren überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
_BilledSize | real | Die Datensatzgröße in Bytes |
ChangeType | Zeichenfolge | Der Typ der Änderung, die an der Entität aufgetreten ist. Die Entität "Datei" muss entweder "Erstellt", "Geändert", "Umbenannt" oder "Gelöscht" sein. Für die Entität "Registry" muss entweder "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed" sein. |
CloudIdentifier | Zeichenfolge | Der Cloudbezeichner der Ressource. |
CloudProvider | Zeichenfolge | Der Cloudanbieter der Ressource. |
CloudResourceType | Zeichenfolge | Der Typ der Cloudressource. |
Computer | string | Der Name des Computers, auf dem die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
FileMd5 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den MD5 der Datei, die geändert, erstellt oder gelöscht wurde. |
Dateiname | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Namen der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
FilePath | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Pfad der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
FileSha1 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den SHA1 der Datei, die geändert, erstellt oder gelöscht wurde. |
FileSha256 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den SHA256 der Datei, die geändert, erstellt oder gelöscht wurde. |
FileSize | long | Relevant für den überwachten Entitätstyp "Datei". Enthält die aktuelle Größe (in Bytes) der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
FileType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Typ der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. Beispiel für mögliche Werte: Zip, PDF, Xar usw. |
InitialingProcessAccountDomainName | Zeichenfolge | Enthält den Kontodomänennamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessAccountName | Zeichenfolge | Enthält den Kontonamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessAccountSid | Zeichenfolge | Enthält die Konto-SID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitialingProcessCreationTime | datetime | Enthält die Erstellungszeit des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessFirstSeen | datetime | Enthält den zeitpunkt des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessId | long | Enthält die Prozess-ID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitialingProcessImageFileName | Zeichenfolge | Enthält den Imagedateinamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessImageFilePath | Zeichenfolge | Enthält den Imagedateipfad des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessImageFileType | Zeichenfolge | Enthält den Imagedateityp des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessName | Zeichenfolge | Enthält den Namen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessSessionId | long | Enthält die Sitzungs-ID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessSource | Zeichenfolge | Enthält die Quelle des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageCreationTimeUtc | datetime | Enthält die Imageerstellungszeit für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageFileSizeInBytes | long | Enthält die Bilddateigröße (in Bytes) des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageLastAccessTimeUtc | datetime | Enthält den Zeitpunkt des letzten Zugriffs auf das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageLastWriteTimeUtc | datetime | Enthält die Letzte Schreibzeit des Images des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageLsHash | Zeichenfolge | Enthält den Image-LS-Hash für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageMd5 | Zeichenfolge | Enthält das Image MD5 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImagePeTimestampUtc | datetime | Enthält die Bild-PE-Zeit für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageSha1 | Zeichenfolge | Enthält das Image SHA 1 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageSha256 | Zeichenfolge | Enthält das Bild SHA 256 für das Bild des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoCompanyName | Zeichenfolge | Enthält den Firmennamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoFileDescription | Zeichenfolge | Enthält die Versionsinformationsdateibeschreibung des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoInternalFileName | Zeichenfolge | Enthält den internen Dateinamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoOriginalFileName | Zeichenfolge | Enthält die Versionsinformationen des ursprünglichen Dateinamens des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoProductName | Zeichenfolge | Enthält den Produktnamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoProductVersion | Zeichenfolge | Enthält die Produktversion der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
MonitoredEntityType | Zeichenfolge | Der Typ der überwachten Entität, die erstellt, umbenannt, geändert oder gelöscht wurde. Dies kann entweder "Datei" oder "Registrierung" sein. |
NewValueData | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält die Daten des neuen Registrierungswerts. |
NewValueName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den Namen des neuen Registrierungswerts. |
NewValueType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den Werttyp Neuer Registrierungswert. |
OldValueData | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält die vorherigen Registrierungswertdaten. |
OldValueFullRegistryKey | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den vorherigen vollständigen Registrierungsschlüssel. |
OldValueName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den vorherigen Registrierungswertnamen. |
OldValueType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den vorherigen Registrierungswerttyp. |
OriginalFileName | Zeichenfolge | Relevant für den überwachten Entitätstyp "File" und für den Änderungstyp "Rename". Enthält den ursprünglichen Namen der Datei, die vor der Umbenennung umbenannt wurde. |
OriginalFilePath | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei" und für einen Änderungstyp "Umbenennen". Enthält den ursprünglichen Pfad der Datei, die umbenannt wurde, bevor die Umbenennung erfolgte. |
Registryhive | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält die Gruppierungskonfigurationseinstellungen für das Betriebssystem und die Anwendungen. |
RegistryKey | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vollständigen Registrierungsschlüssel der erstellten Registrierung oder den neuen Registrierungsschlüssel der umbenannten Registrierung. |
RequestAccountDomain | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Domäne des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
RequestAccountName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Namen des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
RequestAccountSid | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die SID des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
RequestSource | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Quelle des Kontos des Benutzers, der das Dateiereignis verursacht hat. Beispiel: Local/SMB/NFS. |
RequestSourceIP | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Quell-IP des Kontos des Benutzers, der das Dateiereignis verursacht hat. Für die Remotedatei die IP-Adresse, von der die Anforderung stammt. |
RequestSourcePort | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Quellport des Kontos des Benutzers, der das Dateiereignis verursacht hat. Für die Remotedatei der Port, von dem die Anforderung kam. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Die Uhrzeit (UTC), zu der die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
type | Zeichenfolge | Der Name der Tabelle. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für