Événement
Créer des applications et des agents IA
17 mars, 21 h - 21 mars, 10 h
Rejoignez la série de rencontres pour créer des solutions IA évolutives basées sur des cas d’usage réels avec d’autres développeurs et experts.
S’inscrire maintenantMDECustomCollectionDeviceFileEvents
Ce tableau fait partie des Microsoft Defender pour point de terminaison pour le scénario de collection personnalisée. Ce tableau contient des événements de création, de modification et de système de fichiers pour tout élément explicitement demandé par le client pour la collecte.
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | LogManagement |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Non |
| Exemples de requêtes | - |
| Colonne | Type | Description |
|---|---|---|
| ActionType | string | Type d’activité qui a déclenché l’événement. |
| AdditionalFields | dynamic | Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId | string | Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| DeviceId | string | Identificateur unique de l’appareil dans le service. |
| DeviceName | string | Nom de domaine complet (FQDN) de l’appareil. |
| FileName | string | Nom du fichier auquel l’action enregistrée a été appliquée. |
| FileOriginIP | string | Adresse IP à partir de laquelle le fichier a été téléchargé. |
| FileOriginReferrerUrl | string | URL de la page web qui lie au fichier téléchargé. |
| FileOriginUrl | string | URL à partir de laquelle le fichier a été téléchargé. |
| FileSize | long | Taille du fichier en octets. |
| FolderPath | string | Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| InitProcessAccountDomain | string | Domaine du compte qui a exécuté le processus responsable de l’événement. |
| InitProcessAccountName | string | Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
| InitProcessAccountObjectId | string | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
| InitProcessAccountSid | string | Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
| InitProcessAccountUpn | string | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. |
| InitProcessCommandLine | string | Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement. |
| InitProcessCreationTime | DATETIME | Date et heure de démarrage du processus qui a lancé l’événement. |
| InitProcessFileName | string | Nom du processus qui a lancé l’événement. |
| InitProcessFileSize | long | Taille en octets du processus (fichier image) qui a lancé l’événement. |
| InitProcessFolderPath | string | Dossier contenant le processus (fichier image) qui a lancé l’événement. |
| InitProcessId | long | ID de processus (PID) du processus qui a lancé l’événement. |
| InitProcessIntegrityLevel | string | Niveau d’intégrité du processus qui a lancé l’événement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources. |
| InitProcessMD5 | string | Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
| InitProcessParentCreationTime | DATETIME | Date et heure de démarrage du parent du processus responsable de l’événement. |
| InitProcessParentFileName | string | Nom du processus parent qui a généré le processus responsable de l’événement. |
| InitProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
| InitProcessSHA1 | string | Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
| InitProcessSHA256 | string | Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 quand elle est disponible. |
| InitProcessTokenElevation | string | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus qui a lancé l’événement. |
| InitProcessVersionInfoCompanyName | string | Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitProcessVersionInfoFileDescription | string | Description des informations de version du processus (fichier image) responsable de l’événement. |
| InitProcessVersionInfoInternalFileName | string | Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitProcessVersionInfoOriginalFileName | string | Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitProcessVersionInfoProductName | string | Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitProcessVersionInfoProductVersion | string | Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
| IsAzureInfoProtectionApplied | bool | Indique si le fichier est chiffré par Azure Protection des données. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| MachineGroup | string | Groupe d’ordinateurs de l’ordinateur. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
| MD5 | string | Hachage MD5 du fichier auquel l’action enregistrée a été appliquée. |
| PreviousFileName | string | Nom d’origine du fichier renommé suite à l’action. |
| PreviousFolderPath | string | Dossier d’origine contenant le fichier avant l’application de l’action enregistrée. |
| ReportId | long | Identificateur d’événement basé sur un compteur répétitif. Pour identifier des événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| RequestAccountDomain | string | Domaine du compte utilisé pour lancer l’activité à distance. |
| RequestAccountName | string | Nom d’utilisateur du compte utilisé pour lancer l’activité à distance. |
| RequestAccountSid | string | Identificateur de sécurité (SID) du compte utilisé pour lancer à distance l’activité. |
| RequestProtocol | string | Protocole réseau, le cas échéant, utilisé pour lancer l’activité : Inconnu, Local, SMB ou NFS. |
| RequestSourceIP | string | Adresse IPv4 ou IPv6 de l’appareil distant qui a lancé l’activité. |
| RequestSourcePort | int | Port source sur l’appareil distant qui a lancé l’activité. |
| SensitivityLabel | string | Étiquette appliquée à un e-mail, un fichier ou un autre contenu pour la classer pour la protection des informations. |
| SensitivitySubLabel | string | Sous-étiquette appliquée à un e-mail, un fichier ou un autre contenu pour le classifier pour la protection des informations ; Les sous-étiquettes de sensibilité sont regroupées sous des étiquettes de confidentialité, mais elles sont traitées indépendamment. |
| SHA1 | string | Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 | string | SHA-256 du fichier auquel l’action enregistrée a été appliquée. |
| ShareName | string | Nom du dossier partagé contenant le fichier. |
| SourceSystem | string | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Type | string | Le nom de la table |
Ressources supplémentaires
Formation
Module
Perform device investigations in Microsoft Defender for Endpoint - Training
Perform device investigations in Microsoft Defender for Endpoint
Certification
Microsoft Certified: Security Operations Analyst Associate - Certifications
Investigate, search for, and mitigate threats using Microsoft Sentinel, Microsoft Defender for Cloud, and Microsoft 365 Defender.