Partager via


DeviceFileEvents

S’applique à :

  • Microsoft Defender XDR
  • Microsoft Defender pour point de terminaison

La DeviceFileEvents table du schéma de repérage avancé contient des informations sur la création, la modification et d’autres événements du système de fichiers. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
DeviceId string Identificateur unique de l’appareil dans le service
DeviceName string Nom de domaine complet (FQDN) de l’appareil
ActionType string Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail .
FileName string Nom du fichier auquel l’action enregistrée a été appliquée
FolderPath string Dossier contenant le fichier auquel l’action enregistrée a été appliquée
SHA1 string SHA-1 du fichier auquel l’action enregistrée a été appliquée
SHA256 string SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible.
MD5 string Hachage MD5 du fichier auquel l’action enregistrée a été appliquée
FileOriginUrl string URL à partir de laquelle le fichier a été téléchargé
FileOriginReferrerUrl string URL de la page web qui établit un lien vers le fichier téléchargé
FileOriginIP string Adresse IP à partir de laquelle le fichier a été téléchargé
PreviousFolderPath string Dossier d’origine contenant le fichier avant l’application de l’action enregistrée
PreviousFileName string Nom d’origine du fichier qui a été renommé à la suite de l’action
FileSize long Taille du fichier en octets
InitiatingProcessAccountDomain string Domaine du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountName string Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement ; si l’appareil est inscrit dans Microsoft Entra ID, le nom d’utilisateur de l’ID Entra du compte qui a exécuté le processus responsable de l’événement peut s’afficher à la place
InitiatingProcessAccountSid string Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountUpn string Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement ; si l’appareil est inscrit dans Microsoft Entra ID, l’UPN de l’ID Entra du compte qui a exécuté le processus responsable de l’événement peut s’afficher à la place
InitiatingProcessAccountObjectId string Microsoft Entra’ID d’objet du compte d’utilisateur qui a exécuté le processus responsable de l’événement
InitiatingProcessMD5 string Hachage MD5 du processus (fichier image) qui a lancé l’événement
InitiatingProcessSHA1 string SHA-1 du processus (fichier image) qui a lancé l’événement
InitiatingProcessSHA256 string SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible.
InitiatingProcessFolderPath string Dossier contenant le processus (fichier image) qui a lancé l’événement
InitiatingProcessFileName string Nom du fichier de processus qui a lancé l’événement ; s’il n’est pas disponible, le nom du processus à l’origine de l’événement peut être affiché à la place
InitiatingProcessFileSize long Taille du processus (fichier image) qui a initié l’événement
InitiatingProcessVersionInfoCompanyName string Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoProductName string Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoProductVersion string Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoInternalFileName string Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoOriginalFileName string Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoFileDescription string Description des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessId long ID de processus (PID) du processus qui a lancé l’événement
InitiatingProcessCommandLine string Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement
InitiatingProcessCreationTime datetime Date et heure de démarrage du processus qui a lancé l’événement
InitiatingProcessIntegrityLevel string Niveau d’intégrité du processus qui a lancé l’événement. Windows attribue des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils étaient lancés à partir d’un téléchargement Sur Internet. Ces niveaux d’intégrité influencent les autorisations d’accès aux ressources.
InitiatingProcessTokenElevation string Type de jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus qui a lancé l’événement
InitiatingProcessParentId long ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement
InitiatingProcessParentFileName string Nom du processus parent qui a généré le processus responsable de l’événement
InitiatingProcessParentCreationTime datetime Date et heure de démarrage du parent du processus responsable de l’événement
RequestProtocol string Protocole réseau, le cas échéant, utilisé pour lancer l’activité : Inconnu, Local, SMB ou NFS
RequestSourceIP string Adresse IPv4 ou IPv6 de l’appareil distant qui a lancé l’activité
RequestSourcePort int Port source sur l’appareil distant qui a lancé l’activité
RequestAccountName string Nom d’utilisateur du compte utilisé pour lancer l’activité à distance
RequestAccountDomain string Domaine du compte utilisé pour lancer l’activité à distance
RequestAccountSid string Identificateur de sécurité (SID) du compte utilisé pour lancer l’activité à distance
ShareName string Nom du dossier partagé contenant le fichier
SensitivityLabel string Étiquette appliquée à un e-mail, un fichier ou tout autre contenu pour le classer pour la protection des informations
SensitivitySubLabel string Sous-étiquette appliquée à un e-mail, un fichier ou tout autre contenu pour le classer pour la protection des informations ; les sous-étiquettes de sensibilité sont regroupées sous des étiquettes de confidentialité, mais elles sont traitées indépendamment
IsAzureInfoProtectionApplied boolean Indique si le fichier est chiffré par Azure Information Protection
ReportId long Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp.
AppGuardContainerId string Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur
AdditionalFields string Informations supplémentaires sur l’entité ou l’événement
InitiatingProcessSessionId long ID de session Windows du processus initial
IsInitiatingProcessRemoteSession bool Indique si le processus de lancement a été exécuté sous une session RDP (remote Desktop Protocol) (true) ou localement (false)
InitiatingProcessRemoteSessionDeviceName string Nom de l’appareil distant à partir duquel la session RDP du processus initial a été lancée
InitiatingProcessRemoteSessionIP string Adresse IP de l’appareil distant à partir duquel la session RDP du processus initial a été lancée

Remarque

Les informations de hachage de fichier s’affichent toujours lorsqu’elles sont disponibles. Toutefois, il existe plusieurs raisons possibles pour lesquelles un SHA1, SHA256 ou MD5 ne peut pas être calculé. Par instance, le fichier peut être situé dans un stockage distant, verrouillé par un autre processus, compressé ou marqué comme virtuel. Dans ces scénarios, les informations de hachage de fichier apparaissent vides.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.