MDCFileIntegrityMonitoringEvents
Affichez les modifications des fichiers Windows et Linux, ainsi que des clés de Registre logicielles. Les événements de cette table sont collectés par Microsoft Defender pour point de terminaison (MDE).
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Sécurité |
| Solutions | LogManagement |
| Journal de base | No |
| Transformation au moment de l’ingestion | No |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AADTenantID | string | ID de locataire AAD de l’abonnement dans lequel l’entité supervisée a été créée, renommée, modifiée ou supprimée. |
| AzureResourceId | string | ID de ressource Azure de la ressource dont l’entité supervisée a été créée, renommée, modifiée ou supprimée. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| ChangeType | string | Type de modification qui s’est produite sur l’entité. Pour l’entité « File » doit être « Created », « Modified », « Renamed » ou « Deleted ». Pour « Registry », l’entité doit être « RegistryKeyCreated », « RegistryKeyDeleted », « RegistryValueSet », « RegistryValueDeleted », « RegistryKeyRenamed ». |
| CloudIdentifier | string | Identificateur cloud de la ressource. |
| CloudProvider | string | Fournisseur de cloud de la ressource. |
| CloudResourceType | string | Type de la ressource cloud. |
| Computer | string | Nom de l’ordinateur sur lequel l’entité supervisée a été créée, renommée, modifiée ou supprimée. |
| FileMd5 | string | Pertinent pour le type d’entité supervisée « File ». Contient le MD5 du fichier qui a été modifié, créé ou supprimé. |
| FileName | string | Pertinent pour le type d’entité supervisée « File ». Contient le nom du fichier créé, renommé, modifié ou supprimé. |
| FilePath | string | Pertinent pour le type d’entité supervisée « File ». Contient le chemin du fichier qui a été créé, renommé, modifié ou supprimé. |
| FileSha1 | string | Pertinent pour le type d’entité supervisée « File ». Contient le SHA1 du fichier qui a été modifié, créé ou supprimé. |
| FileSha256 | string | Pertinent pour le type d’entité supervisée « File ». Contient le SHA256 du fichier qui a été modifié, créé ou supprimé. |
| FileSize | long | Pertinent pour le type d’entité supervisée « File ». Contient la taille actuelle (en octets) du fichier créé, renommé, modifié ou supprimé. |
| FileType | string | Pertinent pour le type d’entité supervisée « File ». Contient le type du fichier créé, renommé, modifié ou supprimé. Exemple de valeurs possibles : Zip, PDF, Xar, etc. |
| InitialingProcessAccountDomainName | string | Contient le nom de domaine du compte du processus initial qui a provoqué l’événement d’entité supervisée. |
| InitialingProcessAccountName | string | Contient le nom du compte du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitialingProcessAccountSid | string | Contient le SID du compte du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitiatingProcessCreationTime | DATETIME | Contient l’heure de création du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| Lancement deProcessFirstSeen | DATETIME | Contient la première heure du processus de lancement qui a provoqué l’événement d’entité supervisé. |
| InitialingProcessId | long | Contient l’ID de processus du processus initial qui a provoqué l’événement d’entité supervisée. |
| InitialingProcessImageFileName | string | Contient le nom de fichier image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitiatingProcessImageFilePath | string | Contient le chemin du fichier image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitiatingProcessImageFileType | string | Contient le type de fichier image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitialingProcessName | string | Contient le nom du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitialingProcessSessionId | long | Contient l’ID de session du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitialingProcessSource | string | Contient la source du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImageCreationTimeUtc | DATETIME | Conserve le temps de création de l’image pour l’image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImageFileSizeInBytes | long | Contient la taille du fichier image (en octets) du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImageLastAccessTimeUtc | DATETIME | Conserve l’heure du dernier accès de l’image pour l’image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImageLastWriteTimeUtc | DATETIME | Contient l’heure de la dernière écriture de l’image pour l’image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImageLsHash | string | Contient le hachage LS de l’image pour l’image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImageMd5 | string | Contient l’image MD5 pour l’image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImagePeTimestampUtc | DATETIME | Contient le temps PE de l’image pour l’image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImageSha1 | string | Contient l’image SHA 1 pour l’image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcImageSha256 | string | Contient l’image SHA 256 pour l’image du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcVersionInfoCompanyName | string | Contient le nom de la société d’informations de version du processus initial qui a provoqué l’événement d’entité supervisée. |
| InitProcVersionInfoFileDescription | string | Contient la description du fichier d’informations de version du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcVersionInfoInternalFileName | string | Contient le nom de fichier interne d’informations de version du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcVersionInfoOriginalFileName | string | Contient le nom de fichier d’origine des informations de version du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcVersionInfoProductName | string | Contient le nom de produit d’informations de version du processus de lancement qui a provoqué l’événement d’entité supervisée. |
| InitProcVersionInfoProductVersion | string | Contient la version produit d’informations de version du processus d’initialisation qui a provoqué l’événement d’entité supervisée. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
| MonitoredEntityType | string | Type de l’entité supervisée qui a été créée, renommée, modifiée ou supprimée. Il peut s’agir de « Fichier » ou « Registre ». |
| NewValueData | string | Pertinent pour le type d’entité supervisée « Registry ». Contient les nouvelles données de valeur de Registre. |
| NewValueName | string | Pertinent pour le type d’entité supervisée « Registry ». Contient le nouveau nom de la valeur de Registre. |
| NewValueType | string | Pertinent pour le type d’entité supervisée « Registry ». Contient le type de valeur de Registre New. |
| OldValueData | string | Pertinent pour le type d’entité supervisée « Registry ». Contient les données de valeur de Registre précédentes. |
| OldValueFullRegistryKey | string | Pertinent pour le type d’entité supervisée « Registry ». Contient la clé de Registre complète précédente. |
| OldValueName | string | Pertinent pour le type d’entité supervisée « Registry ». Contient le nom de la valeur de Registre précédente. |
| OldValueType | string | Pertinent pour le type d’entité supervisée « Registry ». Contient le type de valeur de Registre précédent. |
| OriginalFileName | string | Pertinent pour le type d’entité supervisé « Fichier » et pour un type de modification « Renommer ». Contient le nom d’origine du fichier qui a été renommé, avant le renommage. |
| OriginalFilePath | string | Pertinent pour le type d’entité supervisé « Fichier » et pour un type de modification « Renommer ». Contient le chemin d’accès d’origine du fichier qui a été renommé, avant le renommage. |
| RegistryHive | string | Pertinent pour le type d’entité supervisée « Registry ». Contient les paramètres de configuration de regroupement pour le système d’exploitation et les applications. |
| RegistryKey | string | Pertinent pour le type d’entité supervisée « Registry ». Contient la clé de Registre complète du registre qui a été créé ou la nouvelle clé de Registre du Registre qui a été renommé. |
| RequestAccountDomain | string | Pertinent pour le type d’entité supervisée « File ». Contient le domaine du compte de l’utilisateur qui a provoqué l’événement de fichier. |
| RequestAccountName | string | Pertinent pour le type d’entité supervisée « File ». Contient le nom du compte de l’utilisateur qui a provoqué l’événement de fichier. |
| RequestAccountSid | string | Pertinent pour le type d’entité supervisée « File ». Contient le SID du compte de l’utilisateur qui a provoqué l’événement de fichier. |
| RequestSource | string | Pertinent pour le type d’entité supervisée « File ». Contient la source du compte de l’utilisateur qui a provoqué l’événement de fichier. Par exemple Local/SMB/NFS. |
| RequestSourceIP | string | Pertinent pour le type d’entité supervisée « File ». Contient l’adresse IP source du compte de l’utilisateur qui a provoqué l’événement de fichier. Pour le fichier distant, l’adresse IP d’où provient la demande. |
| RequestSourcePort | string | Pertinent pour le type d’entité supervisée « File ». Contient le port source du compte de l’utilisateur qui a provoqué l’événement de fichier. Pour le fichier distant, port d’où provient la demande. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Heure (UTC) à laquelle l’entité supervisée a été créée, renommée, modifiée ou supprimée. |
| Type | string | Le nom de la table |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour