MDECustomCollectionDeviceFileEvents
Diese Tabelle ist Teil von Microsoft Defender für Endpunkte für das Szenario "Benutzerdefinierte Sammlung". Diese Tabelle enthält Dateierstellungs-, Änderungs- und andere Dateisystemereignisse für alles, was vom Kunden explizit zur Sammlung angefordert wird.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | LogManagement |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | No |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| ActionType | Zeichenfolge | Typ der Aktivität, die das Ereignis ausgelöst hat. |
| AdditionalFields | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId | Zeichenfolge | Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| deviceId | Zeichenfolge | Eindeutiger Bezeichner für das Gerät im Dienst. |
| DeviceName | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts. |
| Dateiname | Zeichenfolge | Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| FileOriginIP | Zeichenfolge | IP-Adresse, von der die Datei heruntergeladen wurde. |
| FileOriginReferrerUrl | Zeichenfolge | URL der Webseite, die mit der heruntergeladenen Datei verknüpft ist. |
| FileOriginUrl | Zeichenfolge | URL, aus der die Datei heruntergeladen wurde. |
| FileSize | long | Die Länge der Datei in Bytes. |
| FolderPath | Zeichenfolge | Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| InitProcessAccountDomain | Zeichenfolge | Domäne des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessAccountName | Zeichenfolge | Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessAccountObjectId | Zeichenfolge | Die Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessAccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessAccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessCommandLine | Zeichenfolge | Die Befehlszeile wird verwendet, um den Prozess auszuführen, der das Ereignis initiiert hat. |
| InitProcessCreationTime | datetime | Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| InitProcessFileName | Zeichenfolge | Name des Prozesses, der das Ereignis initiiert hat. |
| InitProcessFileSize | long | Größe in Byte des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitProcessFolderPath | Zeichenfolge | Ordner mit dem Prozess (Bilddatei), der das Ereignis initiiert hat. |
| InitProcessId | long | Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
| InitProcessIntegrityLevel | Zeichenfolge | Integritätsebene des Prozesses, der das Ereignis initiiert hat. Windows weist Prozessen Integritätsebenen zu, die auf bestimmten Merkmalen basieren, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsebenen beeinflussen Berechtigungen für Ressourcen. |
| InitProcessMD5 | Zeichenfolge | MD5-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitProcessParentCreationTime | datetime | Datum und Uhrzeit, zu dem das übergeordnete Element des für das Ereignis verantwortlichen Prozesses gestartet wurde. |
| InitProcessParentFileName | Zeichenfolge | Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess ausgelöst hat. |
| InitProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess ausgelöst hat. |
| InitProcessSHA1 | Zeichenfolge | SHA-1-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. |
| InitProcessSHA256 | Zeichenfolge | SHA-256-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat. Dieses Feld wird normalerweise nicht aufgefüllt. Verwenden Sie die SHA1-Spalte, wenn verfügbar. |
| InitProcessTokenElevation | Zeichenfolge | Tokentyp, der das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (UAC) angibt, die auf den Prozess angewendet werden, der das Ereignis initiiert hat. |
| InitProcessVersionInfoCompanyName | Zeichenfolge | Firmenname aus den Versionsinformationen des prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoFileDescription | Zeichenfolge | Beschreibung aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoInternalFileName | Zeichenfolge | Interner Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoOriginalFileName | Zeichenfolge | Ursprünglicher Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoProductName | Zeichenfolge | Produktname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoProductVersionVersion | Zeichenfolge | Produktversion aus den Versionsinformationen des prozesses (Imagedatei), die für das Ereignis verantwortlich sind. |
| IsAzureInfoProtectionApplied | bool | Gibt an, ob die Datei von Azure Information Protection verschlüsselt wird. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| MachineGroup | Zeichenfolge | Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| MD5 | Zeichenfolge | MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| PreviousFileName | Zeichenfolge | Der ursprüngliche Name der Datei, die als Ergebnis der Aktion umbenannt wurde. |
| PreviousFolderPath | Zeichenfolge | Ursprünglicher Ordner, der die Datei enthält, bevor die aufgezeichnete Aktion angewendet wurde. |
| ReportId | long | Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| RequestAccountDomain | Zeichenfolge | Domäne des Kontos, das zum Remote-Initiieren der Aktivität verwendet wird. |
| RequestAccountName | Zeichenfolge | Benutzername des Kontos, das zur Remote-Initiierung der Aktivität verwendet wird. |
| RequestAccountSid | Zeichenfolge | Security Identifier (SID) des Kontos, das zum Remote-Initiieren der Aktivität verwendet wird. |
| RequestProtocol | Zeichenfolge | Netzwerkprotokoll, falls zutreffend, das zum Initiieren der Aktivität verwendet wird: Unbekannt, Lokal, SMB oder NFS. |
| RequestSourceIP | Zeichenfolge | IPv4- oder IPv6-Adresse des Remotegeräts, das die Aktivität initiiert hat. |
| RequestSourcePort | INT | Quellport auf dem Remotegerät, das die Aktivität initiiert hat. |
| SensitivityLabel | Zeichenfolge | Bezeichnung, die auf eine E-Mail, Datei oder einen anderen Inhalt angewendet wird, um sie für den Informationsschutz zu klassifizieren. |
| SensitivitySubLabel | Zeichenfolge | Unterlabel, das auf eine E-Mail, Datei oder einen anderen Inhalt angewendet wird, um sie für den Informationsschutz zu klassifizieren; Vertraulichkeitsunterbezeichnungen werden unter Vertraulichkeitsbezeichnungen gruppiert, aber unabhängig behandelt. |
| SHA1 | Zeichenfolge | SHA-1-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SHA256 | Zeichenfolge | SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| ShareName | Zeichenfolge | Name des freigegebenen Ordners, der die Datei enthält. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Datum und Uhrzeit, zu der das Ereignis vom MDE-Agent auf dem Endpunkt aufgezeichnet wurde. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für