DeviceFileEvents
Questa tabella fa parte di Microsoft Defender per endpoint con Azure Sentinel. Questa tabella contiene la creazione, la modifica e altri eventi del file system.
Attributi tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | SecurityInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
ActionType | string | Tipo di attività che ha attivato l'evento. |
Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
AppGuardContainerId | string | Identificatore per il contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
_BilledSize | real | Dimensioni del record in byte |
DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
DeviceName | string | Nome di dominio completo (FQDN) del dispositivo. |
FileName | string | Nome del file a cui è stata applicata l'azione registrata. |
FileOriginIP | string | Indirizzo IP da cui è stato scaricato il file. |
FileOriginReferrerUrl | string | URL della pagina Web che collega al file scaricato. |
FileOriginUrl | string | URL da cui è stato scaricato il file. |
FileSize | long | Dimensioni del file, in byte. |
FolderPath | string | Cartella contenente il file a cui è stata applicata l'azione registrata. |
AvvioprocessAccountDomain | string | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessAccountName | string | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessAccountObjectId | string | ID oggetto Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
Avvio diProcessAccountSid | string | Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessAccountUpn | string | Nome entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
AvvioprocessCommandLine | string | Riga di comando usata per eseguire il processo che ha avviato l'evento. |
AvvioprocessCreationTime | Datetime | Data e ora dell'avvio del processo avviato dall'evento. |
AvvioProcessFileName | string | Nome del processo che ha avviato l'evento. |
AvvioprocessFileSize | long | Dimensioni in byte del processo (file immagine) che ha avviato l'evento. |
Avvio diProcessFolderPath | string | Cartella contenente il processo (file immagine) che ha avviato l'evento. |
AvvioprocessId | long | ID processo (PID) del processo che ha avviato l'evento. |
AvvioprocessIntegrityLevel | string | Livello di integrità del processo che ha avviato l'evento. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
AvvioprocessMD5 | string | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
AvvioprocessParentCreationTime | Datetime | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
AvvioProcessParentFileName | string | Nome del processo padre che ha generato il processo responsabile dell'evento. |
AvvioprocessParentId | long | ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
AvvioprocessSHA1 | string | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
AvvioprocessSHA256 | string | Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. Questo campo in genere non viene popolato. Usare la colonna SHA1, se disponibile. |
AvvioprocessTokenElevation | string | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di Controllo di accesso utente applicata al processo che ha avviato l'evento. |
AvvioProcessVersionInfoCompanyName | string | Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoFileDescription | string | Descrizione delle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoInternalFileName | string | Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoOriginalFileName | string | Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoProductName | string | Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
AvvioProcessVersionInfoProductVersion | string | Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
IsAzureInfoProtectionApplied | bool | Indica se il file è crittografato da Azure Information Protection. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
MachineGroup | string | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
MD5 | string | Hash MD5 del file a cui è stata applicata l'azione registrata. |
PreviousFileName | string | Nome originale del file rinominato in seguito all'azione. |
PreviousFolderPath | string | Cartella originale contenente il file prima dell'applicazione dell'azione registrata. |
ReportId | long | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere utilizzata insieme alle colonne ComputerName e EventTime. |
RequestAccountDomain | string | Dominio dell'account usato per avviare in remoto l'attività. |
RequestAccountName | string | Nome utente dell'account usato per avviare in remoto l'attività. |
RequestAccountSid | string | Identificatore di sicurezza (SID) dell'account usato per avviare in remoto l'attività. |
RequestProtocol | string | Protocollo di rete, se applicabile, usato per avviare l'attività: Sconosciuto, Locale, SMB o NFS. |
RequestSourceIP | string | Indirizzo IPv4 o IPv6 del dispositivo remoto che ha avviato l'attività. |
RequestSourcePort | INT | Porta di origine nel dispositivo remoto che ha avviato l'attività. |
SensitivityLabel | string | Etichetta applicata a un messaggio di posta elettronica, a un file o a un altro contenuto per classificarla per la protezione delle informazioni. |
SensitivitySubLabel | string | Etichetta secondaria applicata a un messaggio di posta elettronica, file o altro contenuto per classificarla per la protezione delle informazioni; le etichette secondarie di riservatezza vengono raggruppate in etichette di riservatezza, ma vengono trattate in modo indipendente. |
SHA1 | string | Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
SHA256 | string | SHA-256 del file a cui è stata applicata l'azione registrata. |
ShareName | string | Nome della cartella condivisa contenente il file. |
SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
TenantId | string | ID area di lavoro Log Analytics |
TimeGenerated | Datetime | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
Type | string | Nome della tabella |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per