DeviceFileEvents
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור נקודת קצה
הטבלה DeviceFileEvents
בסכימת הציד המתקדמות מכילה מידע אודות יצירת קבצים, שינוי ואירועי מערכת קבצים אחרים. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionType
ערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
שם עמודה | סוג נתונים | תיאור |
---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
DeviceId |
string |
מזהה ייחודי עבור המכשיר בשירות |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע. עיין בהפניית הסכימה בתוך הפורטל לקבלת פרטים. |
FileName |
string |
שם הקובץ הפעולה המוקלטת הוחלה עליו |
FolderPath |
string |
תיקיה המכילה את הקובץ הפעולה המוקלטת הוחלה עליו |
SHA1 |
string |
SHA-1 של הקובץ הפעולה המוקלטת הוחלה עליו |
SHA256 |
string |
SHA-256 של הקובץ הפעולה המוקלטת הוחלה עליו. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין. |
MD5 |
string |
קוד Hash של MD5 של הקובץ הפעולה המוקלטת הוחלה עליו |
FileOriginUrl |
string |
כתובת URL של שם הקובץ שהורד |
FileOriginReferrerUrl |
string |
כתובת ה- URL של דף האינטרנט המקשר לקובץ שהורד |
FileOriginIP |
string |
כתובת IP שאליה הקובץ הורד |
PreviousFolderPath |
string |
התיקיה המקורית המכילה את הקובץ לפני החלת הפעולה המוקלטת |
PreviousFileName |
string |
השם המקורי של הקובץ ששמו השתנה כתוצאה מהפעולה |
FileSize |
long |
גודל הקובץ בבתים |
InitiatingProcessAccountDomain |
string |
תחום החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountName |
string |
שם המשתמש של החשבון שהרץ את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, שם המשתמש Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להיות מוצג במקום זאת |
InitiatingProcessAccountSid |
string |
מזהה אבטחה (SID) של החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון שהגדיר את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, ה- UPN מסוג Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להופיע במקום זאת |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra מזהה האובייקט של חשבון המשתמש שהרץ את התהליך האחראי לאירוע |
InitiatingProcessMD5 |
string |
קוד Hash של MD5 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessSHA1 |
string |
SHA-1 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessSHA256 |
string |
SHA-256 של התהליך (קובץ תמונה) שהתחל את האירוע. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין. |
InitiatingProcessFolderPath |
string |
תיקיה המכילה את התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessFileName |
string |
שם התהליך שה מאתחל את האירוע |
InitiatingProcessFileSize |
long |
גודל התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessVersionInfoCompanyName |
string |
שם חברה ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductName |
string |
שם מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductVersion |
string |
גירסת מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoInternalFileName |
string |
שם קובץ פנימי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoOriginalFileName |
string |
שם הקובץ המקורי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoFileDescription |
string |
תיאור ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessId |
long |
מזהה תהליך (PID) של התהליך שה מאתחל את האירוע |
InitiatingProcessCommandLine |
string |
שורת הפקודה המשמשת להפעלת התהליך שהפעיל את האירוע |
InitiatingProcessCreationTime |
datetime |
תאריך ושעה שבהם התהליך שהחיל את האירוע הופעל |
InitiatingProcessIntegrityLevel |
string |
רמת תקינות של התהליך שה מאתחל את האירוע. Windows מקצה רמות תקינות לתהליכים בהתבסס על מאפיינים מסוימים, כגון אם הם הופעלו מהורדה באינטרנט. רמות תקינות אלה משפיעות על הרשאות למשאבים. |
InitiatingProcessTokenElevation |
string |
סוג אסימון המציין את רמת הנוכחות או היעדרה של העלאת הרשאה של בקרת גישת משתמש (UAC) שחלה על התהליך שה הפעיל את האירוע |
InitiatingProcessParentId |
long |
מזהה תהליך (PID) של תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentFileName |
string |
שם תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentCreationTime |
datetime |
התאריך והשעה שבהם האב של התהליך האחראי לאירוע הופעל |
RequestProtocol |
string |
פרוטוקול רשת, אם ישים, משמש ליזום את הפעילות: Unknown, Local, SMB או NFS |
RequestSourceIP |
string |
כתובת IPv4 או IPv6 של המכשיר המרוחק שהפעיל את הפעילות |
RequestSourcePort |
int |
יציאת מקור במכשיר המרוחק שהפעיל את הפעילות |
RequestAccountName |
string |
שם המשתמש של החשבון המשמש ליזום מרחוק את הפעילות |
RequestAccountDomain |
string |
תחום החשבון המשמש ליזום מרחוק את הפעילות |
RequestAccountSid |
string |
מזהה אבטחה (SID) של החשבון המשמש ליזום מרחוק את הפעילות |
ShareName |
string |
שם התיקיה המשותפת המכילה את הקובץ |
SensitivityLabel |
string |
התווית הוחלה על דואר אלקטרוני, קובץ או תוכן אחר כדי לסווג אותם עבור הגנה על מידע |
SensitivitySubLabel |
string |
טבלת משנה חלה על דואר אלקטרוני, קובץ או תוכן אחר כדי לסווג אותם להגנה על מידע; תוויות משנה של רגישות מקובצות תחת תוויות רגישות, אך מטופלות באופן עצמאי |
IsAzureInfoProtectionApplied |
boolean |
ציון אם הקובץ מוצפן על-ידי Azure Information Protection |
ReportId |
long |
מזהה אירוע בהתבסס על מונה חוזר. כדי לזהות אירועים ייחודיים, יש להשתמש בעמודה זו בשילוב עם העמודות DeviceName ו- Timestamp. |
AppGuardContainerId |
string |
מזהה עבור הגורם המכיל הווירטואלי המשמש את Application Guard כדי לבודד פעילות דפדפן |
AdditionalFields |
string |
מידע נוסף אודות הישות או האירוע |
הערה
מידע Hash של קובץ ה- Hash יוצג תמיד כאשר הוא יהיה זמין. עם זאת, קיימות כמה סיבות אפשריות לכך שלא ניתן לחשב SHA1, SHA256 או MD5. לדוגמה, ייתכן שהקובץ ממוקם באחסון מרוחק, נעול על-ידי תהליך אחר, דחוס או מסומן כ וירטואלי. בתרחישים אלה, פרטי קוד ה- Hash של הקובץ נראים ריקים.
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור