DeviceFileEvents
Cette table fait partie de Microsoft Defender pour les points de terminaison avec Azure Sentinel. Cette table contient la création, la modification et d’autres événements de système de fichiers.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| ActionType | string | Type d’activité qui a déclenché l’événement. |
| AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId | string | Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| deviceId | string | Identificateur unique de l’appareil dans le service. |
| DeviceName | string | Nom de domaine complet (FQDN) de l’appareil. |
| FileName | string | Nom du fichier auquel l’action enregistrée a été appliquée. |
| FileOriginIP | string | Adresse IP à partir de laquelle le fichier a été téléchargé. |
| FileOriginReferrerUrl | string | URL de la page web qui établit un lien vers le fichier téléchargé. |
| FileOriginUrl | string | URL à partir de laquelle le fichier a été téléchargé. |
| FileSize | long | Taille du fichier en octets. |
| FolderPath | string | Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| Lancement deProcessAccountDomain | string | Domaine du compte qui a exécuté le processus responsable de l’événement. |
| InitialingProcessAccountName | string | Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountObjectId | string | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
| InitialingProcessAccountSid | string | Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountUpn | string | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessCommandLine | string | Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement. |
| InitiatingProcessCreationTime | DATETIME | Date et heure de démarrage du processus à l’origine de l’événement. |
| InitialingProcessFileName | string | Nom du processus qui a lancé l’événement. |
| Lancement deProcessFileSize | long | Taille en octets du processus (fichier image) à l’origine de l’événement. |
| Lancement deProcessFolderPath | string | Dossier contenant le processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessId | long | ID de processus (PID) du processus qui a lancé l’événement. |
| InitiatingProcessIntegrityLevel | string | Niveau d’intégrité du processus à l’origine de l’événement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources. |
| Lancement deProcessMD5 | string | Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessParentCreationTime | DATETIME | Date et heure de démarrage du parent du processus responsable de l’événement. |
| InitiatingProcessParentFileName | string | Nom du processus parent qui a généré le processus responsable de l’événement. |
| InitiatingProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
| InitialingProcessSHA1 | string | Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessSHA256 | string | Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 lorsqu’elle est disponible. |
| Lancement deProcessTokenElevation | string | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges Access Control utilisateur (UAC) appliquée au processus qui a lancé l’événement. |
| InitialingProcessVersionInfoCompanyName | string | Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoFileDescription | string | Description des informations de version du processus (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoInternalFileName | string | Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitialingProcessVersionInfoProductName | string | Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
| Lancement deProcessVersionInfoProductVersion | string | Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
| IsAzureInfoProtectionApplied | bool | Indique si le fichier est chiffré par Azure Information Protection. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| MachineGroup | string | Groupe d’ordinateurs de la machine. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à la machine. |
| MD5 | string | Hachage MD5 du fichier auquel l’action enregistrée a été appliquée. |
| PreviousFileName | string | Nom d’origine du fichier qui a été renommé à la suite de l’action. |
| PreviousFolderPath | string | Dossier d’origine contenant le fichier avant l’application de l’action enregistrée. |
| ReportId | long | Identificateur d’événement basé sur un compteur répétiteur. Pour identifier des événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| RequestAccountDomain | string | Domaine du compte utilisé pour lancer l’activité à distance. |
| RequestAccountName | string | Nom d’utilisateur du compte utilisé pour lancer l’activité à distance. |
| RequestAccountSid | string | Identificateur de sécurité (SID) du compte utilisé pour lancer l’activité à distance. |
| RequestProtocol | string | Protocole réseau, le cas échéant, utilisé pour lancer l’activité : Inconnu, Local, SMB ou NFS. |
| RequestSourceIP | string | Adresse IPv4 ou IPv6 de l’appareil distant qui a lancé l’activité. |
| RequestSourcePort | int | Port source sur l’appareil distant qui a lancé l’activité. |
| SensitivityLabel | string | Étiquette appliquée à un e-mail, à un fichier ou à un autre contenu pour le classer à des fins de protection des informations. |
| SensitivitySubLabel | string | Sous-étiquette appliquée à un e-mail, à un fichier ou à un autre contenu pour le classer à des fins de protection des informations ; Les sous-étiquettes de sensibilité sont regroupées sous des étiquettes de confidentialité, mais elles sont traitées indépendamment. |
| SHA1 | string | Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 | string | SHA-256 du fichier auquel l’action enregistrée a été appliquée. |
| ShareName | string | Nom du dossier partagé contenant le fichier. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour