DeviceFileEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
A DeviceFileEventsspeciális veszélyforrás-keresési séma táblázata a fájllétrehozásról, a módosításról és más fájlrendszereseményekről tartalmaz információkat. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
| Oszlopnév | Adattípus | Leírás |
|---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
DeviceId |
string |
Az eszköz egyedi azonosítója a szolgáltatásban |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa. A részletekért tekintse meg a portálon belüli sémareferenciát . |
FileName |
string |
Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták |
FolderPath |
string |
A rögzített műveletet alkalmazó fájlt tartalmazó mappa |
SHA1 |
string |
A rögzített műveletet alkalmazó fájl SHA-1 fájlja |
SHA256 |
string |
A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
MD5 |
string |
A rögzített műveletet alkalmazó fájl MD5-kivonata |
FileOriginUrl |
string |
AZ URL-cím, ahonnan a fájlt letöltötték |
FileOriginReferrerUrl |
string |
A letöltött fájlra hivatkozó weblap URL-címe |
FileOriginIP |
string |
IP-cím, ahonnan a fájlt letöltötték |
PreviousFolderPath |
string |
A rögzített művelet alkalmazása előtti fájlt tartalmazó eredeti mappa |
PreviousFileName |
string |
A művelet eredményeként átnevezett fájl eredeti neve |
FileSize |
long |
A fájl mérete bájtban |
InitiatingProcessAccountDomain |
string |
Az eseményért felelős folyamatot futtató fiók tartománya |
InitiatingProcessAccountName |
string |
Az eseményért felelős folyamatot futtató fiók felhasználóneve; ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra-azonosító felhasználóneve jelenhet meg helyette |
InitiatingProcessAccountSid |
string |
Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID) |
InitiatingProcessAccountUpn |
string |
Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN); ha az eszköz regisztrálva van Microsoft Entra ID, az eseményért felelős folyamatot futtató fiók Entra ID UPN-je jelenhet meg helyette |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját |
InitiatingProcessMD5 |
string |
Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata |
InitiatingProcessSHA1 |
string |
Az eseményt kezdeményező folyamat (képfájl) SHA-1 |
InitiatingProcessSHA256 |
string |
SHA-256 az eseményt kezdeményező folyamatból (képfájl). Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
InitiatingProcessFolderPath |
string |
Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa |
InitiatingProcessFileName |
string |
Az eseményt kezdeményező folyamat neve |
InitiatingProcessFileSize |
long |
Az eseményt kezdeményező folyamat (képfájl) mérete |
InitiatingProcessVersionInfoCompanyName |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév |
InitiatingProcessVersionInfoProductName |
string |
Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl) |
InitiatingProcessVersionInfoProductVersion |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió |
InitiatingProcessVersionInfoInternalFileName |
string |
Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl) |
InitiatingProcessVersionInfoFileDescription |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása |
InitiatingProcessId |
long |
Az eseményt kezdeményező folyamat folyamatazonosítója (PID) |
InitiatingProcessCommandLine |
string |
Az eseményt kezdeményező folyamat futtatásához használt parancssor |
InitiatingProcessCreationTime |
datetime |
Az eseményt kezdeményező folyamat indításának dátuma és időpontja |
InitiatingProcessIntegrityLevel |
string |
Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
InitiatingProcessTokenElevation |
string |
Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi |
InitiatingProcessParentId |
long |
Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID) |
InitiatingProcessParentFileName |
string |
Az eseményért felelős folyamatot kiváltó szülőfolyamat neve |
InitiatingProcessParentCreationTime |
datetime |
Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja |
RequestProtocol |
string |
A tevékenység kezdeményezéséhez használt hálózati protokoll , ha van ilyen: Ismeretlen, Helyi, SMB vagy NFS |
RequestSourceIP |
string |
A tevékenységet kezdeményező távoli eszköz IPv4- vagy IPv6-címe |
RequestSourcePort |
int |
Forrásport a tevékenységet kezdeményező távoli eszközön |
RequestAccountName |
string |
A tevékenység távoli kezdeményezéséhez használt fiók felhasználóneve |
RequestAccountDomain |
string |
A tevékenység távoli kezdeményezéséhez használt fiók tartománya |
RequestAccountSid |
string |
A tevékenység távoli elindításához használt fiók biztonsági azonosítója (SID) |
ShareName |
string |
A fájlt tartalmazó megosztott mappa neve |
SensitivityLabel |
string |
E-mailre, fájlra vagy más tartalomra alkalmazott címke az információvédelemhez való besorolásához |
SensitivitySubLabel |
string |
Egy e-mailre, fájlra vagy más tartalomra alkalmazott alcímke az információvédelemhez való besorolásához; A bizalmassági alcímkék bizalmassági címkék alá vannak csoportosítva, de egymástól függetlenül vannak kezelve |
IsAzureInfoProtectionApplied |
boolean |
Azt jelzi, hogy a fájlt titkosítja-e az Azure Information Protection |
ReportId |
long |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni. |
AppGuardContainerId |
string |
A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója |
AdditionalFields |
string |
További információ az entitásról vagy eseményről |
Megjegyzés:
A fájlkivonat adatai mindig megjelennek, ha elérhetők. Az SHA1, SHA256 vagy MD5 kiszámításának azonban több lehetséges oka is lehet. Előfordulhat például, hogy a fájl távoli tárolóban található, egy másik folyamat zárolta, tömörítette vagy virtuálisként jelölte meg. Ezekben az esetekben a fájlkivonat adatai üresen jelennek meg.
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: