Compartir vía


DeviceFileEvents

Se aplica a:

  • Microsoft Defender XDR
  • Microsoft Defender para punto de conexión

La DeviceFileEvents tabla del esquema de búsqueda avanzada contiene información sobre la creación, modificación y otros eventos del sistema de archivos. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Sugerencia

Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se registró el evento.
DeviceId string Identificador único del dispositivo en el servicio
DeviceName string Nombre de dominio completo (FQDN) del dispositivo
ActionType string Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información.
FileName string Nombre del archivo donde se aplicó la acción registrada
FolderPath string Carpeta que contiene el archivo al que se aplicó la acción registrada
SHA1 string SHA-1 del archivo donde fue aplicada la acción registrada
SHA256 string SHA-256 del archivo donde se aplicó la acción registrada. Este campo no suele estar rellenado; use la columna SHA1 cuando se encuentre disponible.
MD5 string Hash MD5 del archivo al que se aplicó la acción registrada
FileOriginUrl string Dirección URL desde la que se descargó el archivo
FileOriginReferrerUrl string Dirección URL de la página web que vincula al archivo descargado
FileOriginIP string Dirección IP desde la que se descargó el archivo
PreviousFolderPath string Carpeta original que contiene el archivo antes de aplicar la acción registrada
PreviousFileName string Nombre original del archivo al que se cambió el nombre como resultado de la acción
FileSize long Tamaño del archivo en bytes
InitiatingProcessAccountDomain string Dominio de la cuenta que ejecutó el proceso responsable del evento
InitiatingProcessAccountName string Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento; si el dispositivo está registrado en Microsoft Entra ID, es posible que en su lugar se muestre el nombre de usuario de id. de entra de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessAccountSid string Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento
InitiatingProcessAccountUpn string Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento; si el dispositivo está registrado en Microsoft Entra ID, es posible que se muestre el UPN de id. de entra de la cuenta que ejecutó el proceso responsable del evento.
InitiatingProcessAccountObjectId string Microsoft Entra identificador de objeto de la cuenta de usuario que ejecutó el proceso responsable del evento
InitiatingProcessMD5 string Hash MD5 del proceso (archivo de imagen) que inició el evento
InitiatingProcessSHA1 string SHA-1 del proceso (archivo de imagen) que inició el evento
InitiatingProcessSHA256 string SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo no suele estar rellenado; use la columna SHA1 cuando se encuentre disponible.
InitiatingProcessFolderPath string Carpeta que contiene el proceso (archivo de imagen) que inició el evento
InitiatingProcessFileName string Nombre del archivo de proceso que inició el evento; si no está disponible, el nombre del proceso que inició el evento podría mostrarse en su lugar.
InitiatingProcessFileSize long Tamaño del proceso (archivo de imagen) que inició el evento
InitiatingProcessVersionInfoCompanyName string Nombre de la empresa de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoProductName string Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoProductVersion string Versión del producto a partir de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoInternalFileName string Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoOriginalFileName string Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoFileDescription string Descripción de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessId long Identificador de proceso (PID) del proceso que inició el evento
InitiatingProcessCommandLine string Línea de comandos usada para ejecutar el proceso que inició el evento
InitiatingProcessCreationTime datetime Fecha y hora en que se inició el proceso que inició el evento
InitiatingProcessIntegrityLevel string Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de ciertas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos de los recursos.
InitiatingProcessTokenElevation string Tipo de token que indica la presencia o ausencia de elevación de privilegios de Access Control de usuario (UAC) aplicada al proceso que inició el evento
InitiatingProcessParentId long Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento
InitiatingProcessParentFileName string Nombre del proceso primario que generó el proceso responsable del evento
InitiatingProcessParentCreationTime datetime Fecha y hora en que se inició el elemento primario del proceso responsable del evento
RequestProtocol string Protocolo de red, si procede, que se usa para iniciar la actividad: Desconocido, Local, SMB o NFS
RequestSourceIP string Dirección IPv4 o IPv6 del dispositivo remoto que inició la actividad
RequestSourcePort int Puerto de origen en el dispositivo remoto que inició la actividad
RequestAccountName string Nombre de usuario de la cuenta que se usa para iniciar la actividad de forma remota
RequestAccountDomain string Dominio de la cuenta usada para iniciar la actividad de forma remota
RequestAccountSid string Identificador de seguridad (SID) de la cuenta usada para iniciar la actividad de forma remota
ShareName string Nombre de la carpeta compartida que contiene el archivo
SensitivityLabel string Etiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información
SensitivitySubLabel string Subetiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información; subetiquetas de confidencialidad se agrupan en etiquetas de confidencialidad, pero se tratan de forma independiente
IsAzureInfoProtectionApplied boolean Indica si Azure Information Protection cifra el archivo
ReportId long Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp.
AppGuardContainerId string Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador
AdditionalFields string Información adicional sobre la entidad o el evento
InitiatingProcessSessionId long Identificador de sesión de Windows del proceso de inicio
IsInitiatingProcessRemoteSession bool Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false)
InitiatingProcessRemoteSessionDeviceName string Nombre del dispositivo remoto desde el que se inició la sesión rdp del proceso de inicio
InitiatingProcessRemoteSessionIP string Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso de inicio

Nota:

La información de hash de archivo siempre se mostrará cuando esté disponible. Sin embargo, hay varias razones posibles por las que un SHA1, SHA256 o MD5 no se puede calcular. Por ejemplo, el archivo puede encontrarse en el almacenamiento remoto, bloqueado por otro proceso, comprimido o marcado como virtual. En estos escenarios, la información de hash de archivo aparece vacía.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.