DeviceFileEvents
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Kehittyneen DeviceFileEventsmetsästysrakenteen taulukko sisältää tietoja tiedoston luomisesta, muokkaamisesta ja muista tiedostojärjestelmän tapahtumista. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
DeviceId |
string |
Palvelun laitteen yksilöllinen tunniste |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittaus -kohdassa . |
FileName |
string |
Sen tiedoston nimi, jossa tallennettua toimintoa käytettiin |
FolderPath |
string |
Kansio, joka sisältää tiedoston, jossa tallennettua toimintoa käytettiin |
SHA1 |
string |
Sen tiedoston SHA-1, jossa tallennettua toimintoa sovellettiin |
SHA256 |
string |
Sen tiedoston SHA-256, jossa tallennettua toimintoa sovellettiin. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä. |
MD5 |
string |
Sen tiedoston MD5-hajautusarvo, johon tallennettu toiminto suoritettiin |
FileOriginUrl |
string |
URL-osoite, josta tiedosto ladattiin |
FileOriginReferrerUrl |
string |
Ladatun tiedoston linkittämisen verkkosivun URL-osoite |
FileOriginIP |
string |
IP-osoite, josta tiedosto ladattiin |
PreviousFolderPath |
string |
Alkuperäinen kansio, joka sisältää tiedoston ennen tallennetun toiminnon käyttöönottoa |
PreviousFileName |
string |
Toiminnon seurauksena uudelleennimetyn tiedoston alkuperäinen nimi |
FileSize |
long |
Tiedoston koko tavuina |
InitiatingProcessAccountDomain |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin toimialue |
InitiatingProcessAccountName |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin käyttäjänimi. jos laite on rekisteröity Microsoft Entra ID, tapahtumasta vastuussa olevan tilin Entra ID -käyttäjänimi saatetaan näyttää sen sijaan |
InitiatingProcessAccountSid |
string |
Tapahtumasta vastuussa olevan tilin suojaustunnus (SID) |
InitiatingProcessAccountUpn |
string |
Tapahtumasta vastuussa olevan tilin täydellinen käyttäjätunnus (UPN). jos laite on rekisteröity Microsoft Entra ID, tapahtumasta vastuussa olevan tilin Entra ID UPN saatetaan näyttää sen sijaan |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra sen käyttäjätilin objektitunnuksen, joka suoritti tapahtumasta vastaavan prosessin |
InitiatingProcessMD5 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) MD5-hajautusarvo |
InitiatingProcessSHA1 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-1 |
InitiatingProcessSHA256 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-256. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä. |
InitiatingProcessFolderPath |
string |
Kansio, joka sisältää tapahtuman aloittaneen prosessin (kuvatiedoston). |
InitiatingProcessFileName |
string |
Tapahtuman aloittaneen prosessin nimi |
InitiatingProcessFileSize |
long |
Tapahtuman aloittaneen prosessin (kuvatiedoston) koko |
InitiatingProcessVersionInfoCompanyName |
string |
Yrityksen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductName |
string |
Tuotteen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductVersion |
string |
Tuoteversio tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto). |
InitiatingProcessVersionInfoInternalFileName |
string |
Sisäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Alkuperäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoFileDescription |
string |
Tapahtumasta vastaavan prosessin (kuvatiedoston) versiotietojen kuvaus |
InitiatingProcessId |
long |
Tapahtuman aloittaneen prosessin prosessitunnus (PID) |
InitiatingProcessCommandLine |
string |
Komentorivi, jota käytetään tapahtuman aloittaneen prosessin suorittamiseen |
InitiatingProcessCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuman käynnistänyt prosessi käynnistettiin |
InitiatingProcessIntegrityLevel |
string |
Tapahtuman aloittaneen prosessin eheystaso. Windows määrittää prosesseille eheystasot tiettyjen ominaisuuksien perusteella, esimerkiksi jos ne käynnistettiin Internet-latauksesta. Nämä eheystasot vaikuttavat resurssien käyttöoikeuksiin. |
InitiatingProcessTokenElevation |
string |
Tunnustyyppi, joka ilmaisee tapahtuman aloittaneessa prosessissa käytetyn Käyttäjän Käyttöoikeuksien hallinta (UAC) -oikeuksien korotuksen olemassaolon tai puuttumisen |
InitiatingProcessParentId |
long |
Tapahtumasta vastuussa olevan prosessin luoneen pääprosessin prosessitunnus (PID) |
InitiatingProcessParentFileName |
string |
Tapahtumasta vastuussa olevan prosessin synnyttäneen pääprosessin nimi |
InitiatingProcessParentCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtumasta vastaavan prosessin pääelementtiä on aloitettu |
RequestProtocol |
string |
Verkkoprotokolla, jos käytettävissä, toiminnon käynnistämiseen: Tuntematon, Paikallinen, SMB tai NFS |
RequestSourceIP |
string |
Toiminnon aloittaneen etälaitteen IPv4- tai IPv6-osoite |
RequestSourcePort |
int |
Toiminnon aloittaneen etälaitteen lähdeportti |
RequestAccountName |
string |
Toiminnon etäkäynnistämiseen käytetyn tilin käyttäjänimi |
RequestAccountDomain |
string |
Sen tilin toimialue, jota käytetään aktiviteetin etäkäynnistämiseen |
RequestAccountSid |
string |
Toiminnon etäkäynnistämiseen käytetyn tilin suojaustunnus (SID) |
ShareName |
string |
Tiedoston sisältävän jaetun kansion nimi |
SensitivityLabel |
string |
Selite, jota käytetään sähköpostissa, tiedostossa tai muussa sisällössä sen luokittelemiseksi tietojen suojaamiseksi |
SensitivitySubLabel |
string |
Sähköpostissa, tiedostossa tai muussa sisällössä käytetty alanimi, jolla se luokitellaan tietojen suojaamiseksi. luottamuksellisuusalatunnisteet on ryhmitelty luottamuksellisuustunnisteiden alle, mutta niitä käsitellään erikseen |
IsAzureInfoProtectionApplied |
boolean |
Ilmaisee, onko Azure-Information Protection salannut tiedoston |
ReportId |
long |
Toistuvaan laskuriin perustuva tapahtumatunnus. Jos haluat tunnistaa yksilölliset tapahtumat, tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa. |
AppGuardContainerId |
string |
Tunnus virtualisoidulle säilölle, jota Sovellussuoja käyttää selaimen toiminnan eristämiseen |
AdditionalFields |
string |
Lisätietoja entiteetistä tai tapahtumasta |
Huomautus
Tiedoston hajautusarvot näytetään aina, kun ne ovat käytettävissä. On kuitenkin useita mahdollisia syitä, miksi SHA1-, SHA256- tai MD5-arvoa ei voida laskea. Tiedosto saattaa esimerkiksi sijaita etätallennustilassa, lukita toisen prosessin, pakata tai merkitä virtuaaliseksi. Näissä tilanteissa tiedoston hajautusarvon tiedot näkyvät tyhjinä.
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle