DeviceFileEvents
Questa tabella fa parte di Microsoft Defender per endpoint con Azure Sentinel. Questa tabella contiene la creazione, la modifica e altri eventi del file system.
Attributi tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| ActionType | string | Tipo di attività che ha attivato l'evento. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId | string | Identificatore per il contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize | real | Dimensioni del record in byte |
| DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
| DeviceName | string | Nome di dominio completo (FQDN) del dispositivo. |
| FileName | string | Nome del file a cui è stata applicata l'azione registrata. |
| FileOriginIP | string | Indirizzo IP da cui è stato scaricato il file. |
| FileOriginReferrerUrl | string | URL della pagina Web che collega al file scaricato. |
| FileOriginUrl | string | URL da cui è stato scaricato il file. |
| FileSize | long | Dimensioni del file, in byte. |
| FolderPath | string | Cartella contenente il file a cui è stata applicata l'azione registrata. |
| AvvioprocessAccountDomain | string | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountName | string | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountObjectId | string | ID oggetto Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| Avvio diProcessAccountSid | string | Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountUpn | string | Nome entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessCommandLine | string | Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| AvvioprocessCreationTime | Datetime | Data e ora dell'avvio del processo avviato dall'evento. |
| AvvioProcessFileName | string | Nome del processo che ha avviato l'evento. |
| AvvioprocessFileSize | long | Dimensioni in byte del processo (file immagine) che ha avviato l'evento. |
| Avvio diProcessFolderPath | string | Cartella contenente il processo (file immagine) che ha avviato l'evento. |
| AvvioprocessId | long | ID processo (PID) del processo che ha avviato l'evento. |
| AvvioprocessIntegrityLevel | string | Livello di integrità del processo che ha avviato l'evento. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| AvvioprocessMD5 | string | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessParentCreationTime | Datetime | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| AvvioProcessParentFileName | string | Nome del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessParentId | long | ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessSHA1 | string | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessSHA256 | string | Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. Questo campo in genere non viene popolato. Usare la colonna SHA1, se disponibile. |
| AvvioprocessTokenElevation | string | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di Controllo di accesso utente applicata al processo che ha avviato l'evento. |
| AvvioProcessVersionInfoCompanyName | string | Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoFileDescription | string | Descrizione delle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoInternalFileName | string | Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoOriginalFileName | string | Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoProductName | string | Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioProcessVersionInfoProductVersion | string | Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| IsAzureInfoProtectionApplied | bool | Indica se il file è crittografato da Azure Information Protection. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| MachineGroup | string | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| MD5 | string | Hash MD5 del file a cui è stata applicata l'azione registrata. |
| PreviousFileName | string | Nome originale del file rinominato in seguito all'azione. |
| PreviousFolderPath | string | Cartella originale contenente il file prima dell'applicazione dell'azione registrata. |
| ReportId | long | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere utilizzata insieme alle colonne ComputerName e EventTime. |
| RequestAccountDomain | string | Dominio dell'account usato per avviare in remoto l'attività. |
| RequestAccountName | string | Nome utente dell'account usato per avviare in remoto l'attività. |
| RequestAccountSid | string | Identificatore di sicurezza (SID) dell'account usato per avviare in remoto l'attività. |
| RequestProtocol | string | Protocollo di rete, se applicabile, usato per avviare l'attività: Sconosciuto, Locale, SMB o NFS. |
| RequestSourceIP | string | Indirizzo IPv4 o IPv6 del dispositivo remoto che ha avviato l'attività. |
| RequestSourcePort | INT | Porta di origine nel dispositivo remoto che ha avviato l'attività. |
| SensitivityLabel | string | Etichetta applicata a un messaggio di posta elettronica, a un file o a un altro contenuto per classificarla per la protezione delle informazioni. |
| SensitivitySubLabel | string | Etichetta secondaria applicata a un messaggio di posta elettronica, file o altro contenuto per classificarla per la protezione delle informazioni; le etichette secondarie di riservatezza vengono raggruppate in etichette di riservatezza, ma vengono trattate in modo indipendente. |
| SHA1 | string | Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 | string | SHA-256 del file a cui è stata applicata l'azione registrata. |
| ShareName | string | Nome della cartella condivisa contenente il file. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per