Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a táblázat a Microsoft Defender for Endpoints része az Egyéni gyűjtemény szcenárió esetében. Ez a táblázat fájllétrehozás, módosítás és egyéb fájlrendszeres eseményeket tartalmaz minden olyan eseményhez, amelyet az ügyfél kifejezetten kér a gyűjteményhez.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | Naplókezelés |
| Alapszintű napló | Igen |
| Adatfeldolgozási idő átalakítás | Nem |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Leírás |
|---|---|---|
| Akciótípus | húr | Az eseményt kiváltó tevékenység típusa. |
| További mezők | dinamikus | További információ az entitásról vagy eseményről. |
| AppGuardKonténerAzonosító | húr | A Alkalmazásőr által a böngészőtevékenység elkülönítéséhez használt virtualizált tároló azonosítója. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| DeviceId | húr | A szolgáltatásban lévő eszköz egyedi azonosítója. |
| Készüléknév | húr | Az eszköz teljes tartományneve (FQDN). |
| fájlnév | húr | Annak a fájlnak a neve, amelyekre a rögzített műveletet alkalmazták. |
| FájlEredetIP | húr | IP-cím, ahonnan a fájlt letöltötték. |
| FájlEredetHivatkozóUrl | húr | A letöltött fájlra mutató weblap URL-címe. |
| FájlEredetUrl | húr | URL-cím, ahonnan a fájlt letöltötték. |
| Fájlméret | hosszú | A fájl mérete bájtban. |
| MappaÚtvonal | húr | A rögzített műveletet alkalmazó fájlt tartalmazó mappa. |
| InitProcessAccountDomain | húr | Az eseményért felelős folyamatot futtató fiók tartománya. |
| InitProcessAccountName | húr | Annak a fióknak a felhasználóneve, amely az eseményért felelős folyamatot futtatta. |
| InitProcessAccountObjectId | húr | Az eseményért felelős folyamatot futtató felhasználói fiók Azure AD-objektumazonosítója. |
| InitProcessAccountSid | húr | Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID). |
| InitProcessAccountUpn | húr | Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN). |
| InitProcessCommandLine | húr | Az eseményt kezdeményező folyamat futtatásához használt parancssor. |
| InitProcessCreationTime | dátum/idő | Az eseményt kezdeményező folyamat elindításának dátuma és időpontja. |
| InitProcessFileName | húr | Az eseményt kezdeményező folyamat neve. |
| InitProcessFileSize | hosszú | Az eseményt kezdeményező folyamat (képfájl) bájtban megadott mérete. |
| InitProcessFolderPath | húr | Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa. |
| InitProcessId | hosszú | Az eseményt kezdeményező folyamat folyamatazonosítója (PID). |
| InitProcessIntegrityLevel | húr | Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzőkön alapuló integritási szinteket rendel a folyamatokhoz, például internetes letöltésből indították őket. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
| InitProcessMD5 | húr | Az eseményt kezdeményező folyamat (képfájl) MD5 kivonata. |
| InitProcessParentCreationTime | dátum/idő | Az eseményért felelős folyamat szülőjének kezdő dátuma és időpontja. |
| InitProcessParentFileName | húr | Annak a szülőfolyamatnak a neve, amely az eseményért felelős folyamatot meghozta. |
| InitProcessParentId | hosszú | Az eseményért felelős folyamatot generáló szülőfolyamat folyamatazonosítója (PID). |
| InitProcessSHA1 | húr | AZ eseményt kezdeményező folyamat (képfájl) SHA-1 kivonata. |
| InitProcessSHA256 | húr | AZ eseményt kezdeményező folyamat (képfájl) SHA-256 kivonata. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
| InitProcessTokenElevation | húr | Az eseményt kezdeményező folyamatra alkalmazott felhasználói hozzáférés-vezérlési (UAC) jogosultságszint-emeltség meglétét vagy hiányát jelző jogkivonattípus. |
| InitProcessVersionInfoCompanyName | húr | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév. |
| InitProcessVersionInfo fájlleírás | húr | Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása. |
| InitProcessVersionInfoInternalFileName | húr | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó belső fájlnév. |
| InitProcessVersionInfoOriginalFileName | húr | Az eseményért felelős folyamat (képfájl) verzióadatainak eredeti fájlneve. |
| InitProcessVersionInfoProductName | húr | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó terméknév. |
| InitProcessVersionInfoProductVersion | húr | Az eseményért felelős folyamat (képfájl) verzióadataiból származó termékverzió. |
| AzAzureInformációvédelemAlkalmazvaVanE | boolean | Azt jelzi, hogy a fájlt az Azure Information Protection titkosítja-e. |
| _Felszámítható-e | húr | Meghatározza, hogy az adatok beolvasása számlázható-e. Ha a _IsBillable betölti, false a számlázás nem történik meg az Azure-fiókjában |
| MachineGroup | húr | A gép gépcsoportja. Ezt a csoportot a szerepköralapú hozzáférés-vezérlés használja a géphez való hozzáférés meghatározásához. |
| MD5 | húr | A rögzített művelet által alkalmazott fájl MD5 kivonata. |
| ElőzőFájlNév | húr | A művelet eredményeként átnevezett fájl eredeti neve. |
| PreviousFolderPath | húr | A rögzített művelet alkalmazása előtt a fájlt tartalmazó eredeti mappa. |
| Jelentésazonosító | hosszú | Eseményazonosító ismétlődő számláló alapján. Az egyedi események azonosításához ezt az oszlopot a ComputerName és az EventTime oszlopokkal együtt kell használni. |
| Fiókterület Kérése | húr | A tevékenység távoli kezdeményezéséhez használt fiók tartománya. |
| Fióknév kérése | húr | A tevékenység távoli kezdeményezéséhez használt fiók felhasználóneve. |
| FiókSID kérése | húr | A tevékenység távoli kezdeményezéséhez használt fiók biztonsági azonosítója (SID). |
| Kérésp protokoll | húr | A tevékenység elindításához használt hálózati protokoll, ha van: Ismeretlen, Helyi, SMB vagy NFS. |
| RequestSourceIP | húr | A tevékenységet kezdeményező távoli eszköz IPv4- vagy IPv6-címe. |
| RequestSourcePort | egész | A tevékenységet kezdeményező távoli eszköz forrásportja. |
| Érzékenységi címke | húr | Egy e-mailre, fájlra vagy más tartalomra alkalmazott címke az információvédelemhez való besorolásához. |
| ÉrzékenységAlcímke | húr | Egy e-mailre, fájlra vagy más tartalomra alkalmazott alcímke az információvédelemhez való besorolásához; a bizalmassági alcímkék bizalmassági címkék alá vannak csoportosítva, de egymástól függetlenül vannak kezelve. |
| SHA1 | húr | A rögzített művelet által alkalmazott fájl SHA-1 kivonata. |
| SHA256 | húr | Az a fájl, amelyre a rögzített művelet alkalmazva lett, SHA-256 értéke. |
| MegosztásNeve | húr | A fájlt tartalmazó megosztott mappa neve. |
| SourceSystem | húr | Az ügynök típusa, amely az eseményt gyűjtötte. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök esetében, vagy Azure az Azure Diagnostics esetében |
| BérlőAzonosító | húr | A Log Analytics-munkaterület azonosítója |
| GenerálásiIdőpont | dátum/idő | Az esemény rögzítésének dátuma és időpontja az MDE-ügynök által a végponton. |
| Típus | húr | A tábla neve |