MDCFileIntegrityMonitoringEvents
A Windows- és Linux-fájlok, valamint a szoftverregisztrációs kulcsok változásainak megtekintése. A táblából származó eseményeket a Végponthoz készült Microsoft Defender (MDE) gyűjti össze.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | LogManagement |
| Alapszintű napló | Yes |
| Betöltési idő átalakítás | No |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| AADTenantID | sztring | Annak az előfizetésnek az AAD-bérlőazonosítója, amelyben a figyelt entitást létrehozták, átnevezték, módosították vagy törölték. |
| AzureResourceId | sztring | Annak az erőforrásnak az Azure-erőforrás-azonosítója, amelynek monitorozott entitását létrehozták, átnevezték, módosították vagy törölték. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| ChangeType | sztring | Az entitáson történt változás típusa. A "Fájl" entitás esetében a "Létrehozva", a "Módosítás", az "Átnevezve" vagy a "Törölt" entitásnak kell lennie. A "Registry" entitás esetében a következőnek kell lennie: "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed". |
| CloudIdentifier | sztring | Az erőforrás felhőazonosítója. |
| CloudProvider | sztring | Az erőforrás felhőszolgáltatója. |
| CloudResourceType | sztring | A felhőerőforrás típusa. |
| Computer | sztring | Annak a gépnek a neve, amelyen a figyelt entitást létrehozták, átnevezték, módosították vagy törölték. |
| FileMd5 | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A módosított, létrehozott vagy törölt fájl MD5-öt tartalmazza. |
| Fájlnév | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A létrehozott, átnevezett, módosított vagy törölt fájl nevét tartalmazza. |
| FilePath | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A létrehozott, átnevezett, módosított vagy törölt fájl elérési útját tartalmazza. |
| FileSha1 | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A módosított, létrehozott vagy törölt fájl SHA1-et tartalmazza. |
| FileSha256 | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A módosított, létrehozott vagy törölt fájl SHA256-ot tartalmazza. |
| Fájlméretet | hosszú | A "Fájl" figyelt entitástípushoz kapcsolódó. A létrehozott, átnevezett, módosított vagy törölt fájl aktuális méretét (bájtban) tárolja. |
| Filé | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A létrehozott, átnevezett, módosított vagy törölt fájl típusát tartalmazza. Példa a lehetséges értékekre: Zip, PDF, Xar stb. |
| InitiatingProcessAccountDomainName | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat fióktartománynevét tárolja. |
| InitiatingProcessAccountName | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat fióknevét tárolja. |
| InitiatingProcessAccountSid | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat fiók SID-azonosítóját tárolja. |
| InitiatingProcessCreationTime | dátum/idő | A figyelt entitáseseményt okozó kezdeményező folyamat létrehozási idejét tárolja. |
| InitiateingProcessFirstSeen | dátum/idő | A figyelt entitáseseményt okozó kezdeményező folyamat első látható időpontját tárolja. |
| Folyamatazonosító kezdeményezése | hosszú | A figyelt entitáseseményt okozó kezdeményező folyamat azonosítóját tárolja. |
| InitiatingProcessImageFileName | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat képfájlnevét tárolja. |
| InitiatingProcessImageFilePath | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat képfájl-elérési útját tárolja. |
| InitiatingProcessImageFileType | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat képfájltípusát tárolja. |
| KezdeményezőProcessName | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat nevét tartalmazza. |
| InitiatingProcessSessionId | hosszú | A figyelt entitáseseményt okozó kezdeményező folyamat munkamenet-azonosítóját tárolja. |
| IniciálásProcessSource | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat forrását tárolja. |
| InitProcImageCreationTimeUtc | dátum/idő | A figyelt entitáseseményt okozó kezdeményező folyamat képének képlétrehozási idejét tárolja. |
| InitProcImageFileSizeInBytes | hosszú | A figyelt entitáseseményt okozó kezdeményező folyamat képfájlméretét (bájtban) tárolja. |
| InitProcImageLastAccessTimeUtc | dátum/idő | A rendszerkép utolsó hozzáférési idejét tárolja a figyelt entitáseseményt okozó kezdeményező folyamat képéhez. |
| InitProcImageLastWriteTimeUtc | dátum/idő | A figyelt entitáseseményt okozó kezdeményező folyamat képének utolsó írási idejét tárolja. |
| InitProcImageLsHash | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat képének LS-kivonatát tárolja. |
| InitProcImageMd5 | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat képéhez tartozó MD5 rendszerképet tárolja. |
| InitProcImagePeTimestampUtc | dátum/idő | A figyelt entitáseseményt okozó kezdeményező folyamat képének pe-idejét tárolja. |
| InitProcImageSha1 | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat képéhez tartozó SHA 1 rendszerképet tárolja. |
| InitProcImageSha256 | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat képéhez tartozó SHA 256 rendszerképet tárolja. |
| InitProcVersionInfoCompanyName | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat verzióinformációs cégnevét tárolja. |
| InitProcVersionInfoFileDescription | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat verzióinformációs fájljának leírását tartalmazza. |
| InitProcVersionInfoInternalFileName | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat verzióinformációs belső fájlnevét tárolja. |
| InitProcVersionInfoOriginalFileName | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat verzióinformációs eredeti fájlnevét tárolja. |
| InitProcVersionInfoProductName | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat verzióinformációs terméknevét tárolja. |
| InitProcVersionInfoProductVersion | sztring | A figyelt entitáseseményt okozó kezdeményező folyamat verzióinformációs termékverzióját tárolja. |
| _IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
| MonitoredEntityType | sztring | A létrehozott, átnevezett, módosított vagy törölt figyelt entitás típusa. Lehet "Fájl" vagy "Beállításjegyzék". |
| NewValueData | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. Az Új beállításjegyzék-érték adatait tárolja. |
| NewValueName | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. Az Új beállításjegyzék-érték nevét tárolja. |
| NewValueType | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. Az Új beállításjegyzék-értéktípust tárolja. |
| OldValueData | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. Az előző beállításjegyzék-értékadatokat tárolja. |
| OldValueFullRegistryKey | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. Az előző teljes beállításkulcsot tárolja. |
| OldValueName | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. Az előző beállításjegyzék-érték nevét tárolja. |
| OldValueType | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. Az előző beállításjegyzék-értéktípust tárolja. |
| OriginalFileName | sztring | A "Fájl" figyelt entitástípushoz és az "Átnevezés" változástípushoz kapcsolódó. Az átnevezett fájl eredeti nevét tartalmazza az átnevezés előtt. |
| OriginalFilePath | sztring | A "Fájl" figyelt entitástípushoz és az "Átnevezés" változástípushoz kapcsolódó. Az átnevezett fájl eredeti elérési útját tárolja az átnevezés előtt. |
| RegistryHive | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. Az operációs rendszer és az alkalmazások csoportosítási konfigurációs beállításait tárolja. |
| Beállításkulcs | sztring | A "Registry" figyelt entitástípushoz kapcsolódó. A létrehozott beállításjegyzék teljes beállításkulcsát vagy az átnevezett beállításjegyzék új beállításkulcsát tartalmazza. |
| RequestAccountDomain | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A fájleseményt okozó felhasználó fiókjának tartományát tárolja. |
| RequestAccountName | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A fájleseményt okozó felhasználó fiókjának nevét tartalmazza. |
| RequestAccountSid | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A fájleseményt okozó felhasználó fiókjának SID-azonosítóját tárolja. |
| RequestSource | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A fájleseményt okozó felhasználó fiókjának forrását tárolja. Például: Local/SMB/NFS. |
| RequestSourceIP | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A fájleseményt okozó felhasználó fiókjának forrás IP-címét tárolja. Távoli fájl esetén az IP-cím, amelyről a kérés érkezett. |
| RequestSourcePort | sztring | A "Fájl" figyelt entitástípushoz kapcsolódó. A fájleseményt okozó felhasználó fiókjának forrásportját tárolja. Távoli fájl esetén az a port, amelyről a kérés érkezett. |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök, vagy Azure a Azure Diagnostics |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| TimeGenerated | dátum/idő | A figyelt entitás létrehozásának, átnevezésének, módosításának vagy törlésének időpontja (UTC). |
| Típus | sztring | A tábla neve |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: