DeviceFileEvents

  • מאמר

חל על:

  • Microsoft Defender XDR
  • Microsoft Defender עבור נקודת קצה

הטבלה DeviceFileEventsבסכימת הציד המתקדמות מכילה מידע אודות יצירת קבצים, שינוי ואירועי מערכת קבצים אחרים. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.

עצה

לקבלת מידע מפורט אודות סוגי האירועים (ActionTypeערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.

לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.

שם עמודה סוג נתונים תיאור
Timestamp datetime תאריך ושעה שבהם האירוע הוקלט
DeviceId string מזהה ייחודי עבור המכשיר בשירות
DeviceName string שם תחום מלא (FQDN) של המכשיר
ActionType string סוג הפעילות שהפעילה את האירוע. עיין בהפניית הסכימה בתוך הפורטל לקבלת פרטים.
FileName string שם הקובץ הפעולה המוקלטת הוחלה עליו
FolderPath string תיקיה המכילה את הקובץ הפעולה המוקלטת הוחלה עליו
SHA1 string SHA-1 של הקובץ הפעולה המוקלטת הוחלה עליו
SHA256 string SHA-256 של הקובץ הפעולה המוקלטת הוחלה עליו. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין.
MD5 string קוד Hash של MD5 של הקובץ הפעולה המוקלטת הוחלה עליו
FileOriginUrl string כתובת URL של שם הקובץ שהורד
FileOriginReferrerUrl string כתובת ה- URL של דף האינטרנט המקשר לקובץ שהורד
FileOriginIP string כתובת IP שאליה הקובץ הורד
PreviousFolderPath string התיקיה המקורית המכילה את הקובץ לפני החלת הפעולה המוקלטת
PreviousFileName string השם המקורי של הקובץ ששמו השתנה כתוצאה מהפעולה
FileSize long גודל הקובץ בבתים
InitiatingProcessAccountDomain string תחום החשבון שהרץ את התהליך האחראי לאירוע
InitiatingProcessAccountName string שם המשתמש של החשבון שהרץ את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, שם המשתמש Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להיות מוצג במקום זאת
InitiatingProcessAccountSid string מזהה אבטחה (SID) של החשבון שהרץ את התהליך האחראי לאירוע
InitiatingProcessAccountUpn string שם ראשי של משתמש (UPN) של החשבון שהגדיר את התהליך האחראי לאירוע; אם המכשיר רשום ב- Microsoft Entra מזהה, ה- UPN מסוג Entra ID של החשבון שהרץ את התהליך האחראי לאירוע עשוי להופיע במקום זאת
InitiatingProcessAccountObjectId string Microsoft Entra מזהה האובייקט של חשבון המשתמש שהרץ את התהליך האחראי לאירוע
InitiatingProcessMD5 string קוד Hash של MD5 של התהליך (קובץ תמונה) שה מאתחל את האירוע
InitiatingProcessSHA1 string SHA-1 של התהליך (קובץ תמונה) שה מאתחל את האירוע
InitiatingProcessSHA256 string SHA-256 של התהליך (קובץ תמונה) שהתחל את האירוע. שדה זה בדרך כלל אינו מאוכלס — השתמש בעמודה SHA1 כאשר הוא זמין.
InitiatingProcessFolderPath string תיקיה המכילה את התהליך (קובץ תמונה) שה מאתחל את האירוע
InitiatingProcessFileName string שם התהליך שה מאתחל את האירוע
InitiatingProcessFileSize long גודל התהליך (קובץ תמונה) שה מאתחל את האירוע
InitiatingProcessVersionInfoCompanyName string שם חברה ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע
InitiatingProcessVersionInfoProductName string שם מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע
InitiatingProcessVersionInfoProductVersion string גירסת מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע
InitiatingProcessVersionInfoInternalFileName string שם קובץ פנימי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע
InitiatingProcessVersionInfoOriginalFileName string שם הקובץ המקורי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע
InitiatingProcessVersionInfoFileDescription string תיאור ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע
InitiatingProcessId long מזהה תהליך (PID) של התהליך שה מאתחל את האירוע
InitiatingProcessCommandLine string שורת הפקודה המשמשת להפעלת התהליך שהפעיל את האירוע
InitiatingProcessCreationTime datetime תאריך ושעה שבהם התהליך שהחיל את האירוע הופעל
InitiatingProcessIntegrityLevel string רמת תקינות של התהליך שה מאתחל את האירוע. Windows מקצה רמות תקינות לתהליכים בהתבסס על מאפיינים מסוימים, כגון אם הם הופעלו מהורדה באינטרנט. רמות תקינות אלה משפיעות על הרשאות למשאבים.
InitiatingProcessTokenElevation string סוג אסימון המציין את רמת הנוכחות או היעדרה של העלאת הרשאה של בקרת גישת משתמש (UAC) שחלה על התהליך שה הפעיל את האירוע
InitiatingProcessParentId long מזהה תהליך (PID) של תהליך האב שהריץ את התהליך האחראי לאירוע
InitiatingProcessParentFileName string שם תהליך האב שהריץ את התהליך האחראי לאירוע
InitiatingProcessParentCreationTime datetime התאריך והשעה שבהם האב של התהליך האחראי לאירוע הופעל
RequestProtocol string פרוטוקול רשת, אם ישים, משמש ליזום את הפעילות: Unknown, Local, SMB או NFS
RequestSourceIP string כתובת IPv4 או IPv6 של המכשיר המרוחק שהפעיל את הפעילות
RequestSourcePort int יציאת מקור במכשיר המרוחק שהפעיל את הפעילות
RequestAccountName string שם המשתמש של החשבון המשמש ליזום מרחוק את הפעילות
RequestAccountDomain string תחום החשבון המשמש ליזום מרחוק את הפעילות
RequestAccountSid string מזהה אבטחה (SID) של החשבון המשמש ליזום מרחוק את הפעילות
ShareName string שם התיקיה המשותפת המכילה את הקובץ
SensitivityLabel string התווית הוחלה על דואר אלקטרוני, קובץ או תוכן אחר כדי לסווג אותם עבור הגנה על מידע
SensitivitySubLabel string טבלת משנה חלה על דואר אלקטרוני, קובץ או תוכן אחר כדי לסווג אותם להגנה על מידע; תוויות משנה של רגישות מקובצות תחת תוויות רגישות, אך מטופלות באופן עצמאי
IsAzureInfoProtectionApplied boolean ציון אם הקובץ מוצפן על-ידי Azure Information Protection
ReportId long מזהה אירוע בהתבסס על מונה חוזר. כדי לזהות אירועים ייחודיים, יש להשתמש בעמודה זו בשילוב עם העמודות DeviceName ו- Timestamp.
AppGuardContainerId string מזהה עבור הגורם המכיל הווירטואלי המשמש את Application Guard כדי לבודד פעילות דפדפן
AdditionalFields string מידע נוסף אודות הישות או האירוע

הערה

מידע Hash של קובץ ה- Hash יוצג תמיד כאשר הוא יהיה זמין. עם זאת, קיימות כמה סיבות אפשריות לכך שלא ניתן לחשב SHA1, SHA256 או MD5. לדוגמה, ייתכן שהקובץ ממוקם באחסון מרוחק, נעול על-ידי תהליך אחר, דחוס או מסומן כ וירטואלי. בתרחישים אלה, פרטי קוד ה- Hash של הקובץ נראים ריקים.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.