DeviceFileEvents
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión
La DeviceFileEvents tabla del esquema de búsqueda avanzada contiene información sobre la creación, modificación y otros eventos del sistema de archivos. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Sugerencia
Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
DeviceId |
string |
Identificador único del dispositivo en el servicio |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
ActionType |
string |
Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información. |
FileName |
string |
Nombre del archivo donde se aplicó la acción registrada |
FolderPath |
string |
Carpeta que contiene el archivo al que se aplicó la acción registrada |
SHA1 |
string |
SHA-1 del archivo donde fue aplicada la acción registrada |
SHA256 |
string |
SHA-256 del archivo donde se aplicó la acción registrada. Este campo no suele estar rellenado; use la columna SHA1 cuando se encuentre disponible. |
MD5 |
string |
Hash MD5 del archivo al que se aplicó la acción registrada |
FileOriginUrl |
string |
Dirección URL desde la que se descargó el archivo |
FileOriginReferrerUrl |
string |
Dirección URL de la página web que vincula al archivo descargado |
FileOriginIP |
string |
Dirección IP desde la que se descargó el archivo |
PreviousFolderPath |
string |
Carpeta original que contiene el archivo antes de aplicar la acción registrada |
PreviousFileName |
string |
Nombre original del archivo al que se cambió el nombre como resultado de la acción |
FileSize |
long |
Tamaño del archivo en bytes |
InitiatingProcessAccountDomain |
string |
Dominio de la cuenta que ejecutó el proceso responsable del evento |
InitiatingProcessAccountName |
string |
Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento; si el dispositivo está registrado en Microsoft Entra ID, es posible que en su lugar se muestre el nombre de usuario de id. de entra de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountSid |
string |
Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento |
InitiatingProcessAccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento; si el dispositivo está registrado en Microsoft Entra ID, es posible que se muestre el UPN de id. de entra de la cuenta que ejecutó el proceso responsable del evento. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra identificador de objeto de la cuenta de usuario que ejecutó el proceso responsable del evento |
InitiatingProcessMD5 |
string |
Hash MD5 del proceso (archivo de imagen) que inició el evento |
InitiatingProcessSHA1 |
string |
SHA-1 del proceso (archivo de imagen) que inició el evento |
InitiatingProcessSHA256 |
string |
SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo no suele estar rellenado; use la columna SHA1 cuando se encuentre disponible. |
InitiatingProcessFolderPath |
string |
Carpeta que contiene el proceso (archivo de imagen) que inició el evento |
InitiatingProcessFileName |
string |
Nombre del archivo de proceso que inició el evento; si no está disponible, el nombre del proceso que inició el evento podría mostrarse en su lugar. |
InitiatingProcessFileSize |
long |
Tamaño del proceso (archivo de imagen) que inició el evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nombre de la empresa de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoProductName |
string |
Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versión del producto a partir de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descripción de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessId |
long |
Identificador de proceso (PID) del proceso que inició el evento |
InitiatingProcessCommandLine |
string |
Línea de comandos usada para ejecutar el proceso que inició el evento |
InitiatingProcessCreationTime |
datetime |
Fecha y hora en que se inició el proceso que inició el evento |
InitiatingProcessIntegrityLevel |
string |
Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de ciertas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos de los recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica la presencia o ausencia de elevación de privilegios de Access Control de usuario (UAC) aplicada al proceso que inició el evento |
InitiatingProcessParentId |
long |
Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento |
InitiatingProcessParentFileName |
string |
Nombre del proceso primario que generó el proceso responsable del evento |
InitiatingProcessParentCreationTime |
datetime |
Fecha y hora en que se inició el elemento primario del proceso responsable del evento |
RequestProtocol |
string |
Protocolo de red, si procede, que se usa para iniciar la actividad: Desconocido, Local, SMB o NFS |
RequestSourceIP |
string |
Dirección IPv4 o IPv6 del dispositivo remoto que inició la actividad |
RequestSourcePort |
int |
Puerto de origen en el dispositivo remoto que inició la actividad |
RequestAccountName |
string |
Nombre de usuario de la cuenta que se usa para iniciar la actividad de forma remota |
RequestAccountDomain |
string |
Dominio de la cuenta usada para iniciar la actividad de forma remota |
RequestAccountSid |
string |
Identificador de seguridad (SID) de la cuenta usada para iniciar la actividad de forma remota |
ShareName |
string |
Nombre de la carpeta compartida que contiene el archivo |
SensitivityLabel |
string |
Etiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información |
SensitivitySubLabel |
string |
Subetiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información; subetiquetas de confidencialidad se agrupan en etiquetas de confidencialidad, pero se tratan de forma independiente |
IsAzureInfoProtectionApplied |
boolean |
Indica si Azure Information Protection cifra el archivo |
ReportId |
long |
Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp. |
AppGuardContainerId |
string |
Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador |
AdditionalFields |
string |
Información adicional sobre la entidad o el evento |
InitiatingProcessSessionId |
long |
Identificador de sesión de Windows del proceso de inicio |
IsInitiatingProcessRemoteSession |
bool |
Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nombre del dispositivo remoto desde el que se inició la sesión rdp del proceso de inicio |
InitiatingProcessRemoteSessionIP |
string |
Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso de inicio |
Nota:
La información de hash de archivo siempre se mostrará cuando esté disponible. Sin embargo, hay varias razones posibles por las que un SHA1, SHA256 o MD5 no se puede calcular. Por ejemplo, el archivo puede encontrarse en el almacenamiento remoto, bloqueado por otro proceso, comprimido o marcado como virtual. En estos escenarios, la información de hash de archivo aparece vacía.
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.