Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet table fait partie de Microsoft Defender for Endpoint avec Azure Sentinel. Ce tableau contient la création, la modification et d’autres événements de système de fichiers.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | SecurityInsights |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | - |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| Type d'action | chaîne | Type d’activité qui a déclenché l’événement. |
| AdditionalFields | dynamique | Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId | chaîne | Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur. |
| _BilledSize | réel | Taille de l’enregistrement en octets |
| DeviceId | chaîne | Identificateur unique de l’appareil dans le service. |
| Nom de l'appareil | chaîne | Nom de domaine complet (FQDN) de l’appareil. |
| Nom de fichier | chaîne | Nom du fichier auquel l’action enregistrée a été appliquée. |
| Adresse IP d'origine du fichier (FileOriginIP) | chaîne | Adresse IP à partir de laquelle le fichier a été téléchargé. |
| FileOriginReferrerUrl | chaîne | URL de la page web qui lie au fichier téléchargé. |
| URLD'OrigineDuFichier | chaîne | URL à partir de laquelle le fichier a été téléchargé. |
| Taille du fichier | long | Taille du fichier en octets. |
| FolderPath | chaîne | Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| Démarrage de ProcessAccountDomain | chaîne | Domaine du compte qui a exécuté le processus responsable de l’événement. |
| InitiatingProcessAccountName | chaîne | Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
| InitiatingProcessAccountObjectId | chaîne | ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
| Démarrage de ProcessAccountSid | chaîne | Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
| InitiatingProcessAccountUpn | chaîne | Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. |
| InitiatingProcessCommandLine | chaîne | Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement. |
| InitiatingProcessCreationTime | date et heure | Date et heure de démarrage du processus qui a lancé l’événement. |
| InitiatingProcessFileName | chaîne | Nom du processus qui a lancé l’événement. |
| InitiatingProcessFileSize | long | Taille en octets du processus (fichier image) qui a lancé l’événement. |
| InitiatingProcessFolderPath | chaîne | Dossier contenant le processus (fichier image) qui a lancé l’événement. |
| Lancement de ProcessId | long | ID de processus (PID) du processus qui a lancé l’événement. |
| InitiatingProcessIntegrityLevel | chaîne | Niveau d’intégrité du processus qui a lancé l’événement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources. |
| Lancement de ProcessMD5 | chaîne | Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
| InitiatingProcessParentCreationTime | date et heure | Date et heure de démarrage du parent du processus responsable de l’événement. |
| InitiatingProcessParentFileName | chaîne | Nom du processus parent qui a généré le processus responsable de l’événement. |
| InitiatingProcessParentId | long | ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
| InitiatingProcessRemoteSessionDeviceName | chaîne | Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| InitiatingProcessRemoteSessionIP | chaîne | Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| InitiatingProcessSessionId | long | ID de session Windows du processus de lancement. |
| InitiatingProcessSHA1 | chaîne | Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
| Lancement du processus SHA256 | chaîne | Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 quand elle est disponible. |
| InitiatingProcessTokenElevation | chaîne | Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus qui a lancé l’événement. |
| InitiatingProcessUniqueId | chaîne | Identificateur unique du processus de lancement ; il s’agit de la clé de démarrage du processus sur les appareils Windows. |
| InitiatingProcessVersionInfoCompanyName | chaîne | Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoFileDescription | chaîne | Description des informations de version du processus (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoInternalFileName | chaîne | Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoOriginalFileName | chaîne | Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoProductName | chaîne | Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
| InitiatingProcessVersionInfoProductVersion | chaîne | Version de produit issue des informations de version du processus (fichier image) responsable de l’événement. |
| Est-ce que la protection Azure Info est appliquée | bool | Indique si le fichier est chiffré par Azure Protection des données. |
| _IsBillable | chaîne | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsInitiatingProcessRemoteSession | bool | Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
| MachineGroup | chaîne | Groupe de machines de la machine. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
| MD5 | chaîne | Hachage MD5 du fichier auquel l’action enregistrée a été appliquée. |
| NomDuFichierPrécédent | chaîne | Nom d’origine du fichier renommé suite à l’action. |
| PreviousFolderPath | chaîne | Dossier d’origine contenant le fichier avant l’application de l’action enregistrée. |
| ReportId | long | Identificateur d’événement basé sur un compteur répétitif. Pour identifier des événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| RequestAccountDomain | chaîne | Domaine du compte utilisé pour lancer l’activité à distance. |
| RequestAccountName | chaîne | Nom d’utilisateur du compte utilisé pour lancer l’activité à distance. |
| RequestAccountSid | chaîne | Identificateur de sécurité (SID) du compte utilisé pour lancer à distance l’activité. |
| Protocole de requête | chaîne | Protocole réseau, le cas échéant, utilisé pour lancer l’activité : Inconnu, Local, SMB ou NFS. |
| AdresseIPDeLaRequête | chaîne | Adresse IPv4 ou IPv6 de l’appareil distant qui a lancé l’activité. |
| RequestSourcePort | Int | Port source sur l’appareil distant qui a lancé l’activité. |
| SensitivityLabel | chaîne | Étiquette appliquée à un e-mail, un fichier ou un autre contenu pour la classer pour la protection des informations. |
| SensitivitySubLabel | chaîne | Sous-étiquette appliquée à un e-mail, un fichier ou un autre contenu pour le classifier pour la protection des informations ; Les sous-étiquettes de sensibilité sont regroupées sous des étiquettes de confidentialité, mais elles sont traitées indépendamment. |
| SHA1 | chaîne | Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 | chaîne | SHA-256 du fichier auquel l’action enregistrée a été appliquée. |
| ShareName | chaîne | Nom du dossier partagé contenant le fichier. |
| SourceSystem | chaîne | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Id de locataire | chaîne | ID de l’espace de travail Log Analytics |
| TimeGenerated | date et heure | Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Catégorie | chaîne | Le nom de la table de données |