DeviceFileEvents
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison
La DeviceFileEvents table du schéma de repérage avancé contient des informations sur la création, la modification et d’autres événements du système de fichiers. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Conseil
Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
DeviceId |
string |
Identificateur unique de l’appareil dans le service |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
ActionType |
string |
Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail . |
FileName |
string |
Nom du fichier auquel l’action enregistrée a été appliquée |
FolderPath |
string |
Dossier contenant le fichier auquel l’action enregistrée a été appliquée |
SHA1 |
string |
SHA-1 du fichier auquel l’action enregistrée a été appliquée |
SHA256 |
string |
SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible. |
MD5 |
string |
Hachage MD5 du fichier auquel l’action enregistrée a été appliquée |
FileOriginUrl |
string |
URL à partir de laquelle le fichier a été téléchargé |
FileOriginReferrerUrl |
string |
URL de la page web qui établit un lien vers le fichier téléchargé |
FileOriginIP |
string |
Adresse IP à partir de laquelle le fichier a été téléchargé |
PreviousFolderPath |
string |
Dossier d’origine contenant le fichier avant l’application de l’action enregistrée |
PreviousFileName |
string |
Nom d’origine du fichier qui a été renommé à la suite de l’action |
FileSize |
long |
Taille du fichier en octets |
InitiatingProcessAccountDomain |
string |
Domaine du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountName |
string |
Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement ; si l’appareil est inscrit dans Microsoft Entra ID, le nom d’utilisateur de l’ID Entra du compte qui a exécuté le processus responsable de l’événement peut s’afficher à la place |
InitiatingProcessAccountSid |
string |
Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement ; si l’appareil est inscrit dans Microsoft Entra ID, l’UPN de l’ID Entra du compte qui a exécuté le processus responsable de l’événement peut s’afficher à la place |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra’ID d’objet du compte d’utilisateur qui a exécuté le processus responsable de l’événement |
InitiatingProcessMD5 |
string |
Hachage MD5 du processus (fichier image) qui a lancé l’événement |
InitiatingProcessSHA1 |
string |
SHA-1 du processus (fichier image) qui a lancé l’événement |
InitiatingProcessSHA256 |
string |
SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible. |
InitiatingProcessFolderPath |
string |
Dossier contenant le processus (fichier image) qui a lancé l’événement |
InitiatingProcessFileName |
string |
Nom du fichier de processus qui a lancé l’événement ; s’il n’est pas disponible, le nom du processus à l’origine de l’événement peut être affiché à la place |
InitiatingProcessFileSize |
long |
Taille du processus (fichier image) qui a initié l’événement |
InitiatingProcessVersionInfoCompanyName |
string |
Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoProductName |
string |
Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoProductVersion |
string |
Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoInternalFileName |
string |
Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoFileDescription |
string |
Description des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessId |
long |
ID de processus (PID) du processus qui a lancé l’événement |
InitiatingProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement |
InitiatingProcessCreationTime |
datetime |
Date et heure de démarrage du processus qui a lancé l’événement |
InitiatingProcessIntegrityLevel |
string |
Niveau d’intégrité du processus qui a lancé l’événement. Windows attribue des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils étaient lancés à partir d’un téléchargement Sur Internet. Ces niveaux d’intégrité influencent les autorisations d’accès aux ressources. |
InitiatingProcessTokenElevation |
string |
Type de jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus qui a lancé l’événement |
InitiatingProcessParentId |
long |
ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement |
InitiatingProcessParentFileName |
string |
Nom du processus parent qui a généré le processus responsable de l’événement |
InitiatingProcessParentCreationTime |
datetime |
Date et heure de démarrage du parent du processus responsable de l’événement |
RequestProtocol |
string |
Protocole réseau, le cas échéant, utilisé pour lancer l’activité : Inconnu, Local, SMB ou NFS |
RequestSourceIP |
string |
Adresse IPv4 ou IPv6 de l’appareil distant qui a lancé l’activité |
RequestSourcePort |
int |
Port source sur l’appareil distant qui a lancé l’activité |
RequestAccountName |
string |
Nom d’utilisateur du compte utilisé pour lancer l’activité à distance |
RequestAccountDomain |
string |
Domaine du compte utilisé pour lancer l’activité à distance |
RequestAccountSid |
string |
Identificateur de sécurité (SID) du compte utilisé pour lancer l’activité à distance |
ShareName |
string |
Nom du dossier partagé contenant le fichier |
SensitivityLabel |
string |
Étiquette appliquée à un e-mail, un fichier ou tout autre contenu pour le classer pour la protection des informations |
SensitivitySubLabel |
string |
Sous-étiquette appliquée à un e-mail, un fichier ou tout autre contenu pour le classer pour la protection des informations ; les sous-étiquettes de sensibilité sont regroupées sous des étiquettes de confidentialité, mais elles sont traitées indépendamment |
IsAzureInfoProtectionApplied |
boolean |
Indique si le fichier est chiffré par Azure Information Protection |
ReportId |
long |
Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp. |
AppGuardContainerId |
string |
Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur |
AdditionalFields |
string |
Informations supplémentaires sur l’entité ou l’événement |
InitiatingProcessSessionId |
long |
ID de session Windows du processus initial |
IsInitiatingProcessRemoteSession |
bool |
Indique si le processus de lancement a été exécuté sous une session RDP (remote Desktop Protocol) (true) ou localement (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nom de l’appareil distant à partir duquel la session RDP du processus initial a été lancée |
InitiatingProcessRemoteSessionIP |
string |
Adresse IP de l’appareil distant à partir duquel la session RDP du processus initial a été lancée |
Remarque
Les informations de hachage de fichier s’affichent toujours lorsqu’elles sont disponibles. Toutefois, il existe plusieurs raisons possibles pour lesquelles un SHA1, SHA256 ou MD5 ne peut pas être calculé. Par instance, le fichier peut être situé dans un stockage distant, verrouillé par un autre processus, compressé ou marqué comme virtuel. Dans ces scénarios, les informations de hachage de fichier apparaissent vides.
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.