Condividi tramite


DeviceFileEvents

Si applica a:

  • Microsoft Defender XDR
  • Microsoft Defender per endpoint

La DeviceFileEvents tabella nello schema di ricerca avanzata contiene informazioni sulla creazione, la modifica e altri eventi del file system. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.

Consiglio

Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.

Nome colonna Tipo di dati Descrizione
Timestamp datetime Data e ora di registrazione dell'evento
DeviceId string Identificatore univoco per il dispositivo nel servizio
DeviceName string Nome di dominio completo (FQDN) del dispositivo
ActionType string Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale .
FileName string Nome del file a cui è stata applicata l'azione registrata
FolderPath string Cartella contenente il file a cui è stata applicata l'azione registrata
SHA1 string SHA-1 del file a cui è stata applicata l'azione registrata
SHA256 string SHA-256 del file a cui è stata applicata l'azione registrata. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile).
MD5 string Hash MD5 del file a cui è stata applicata l'azione registrata
FileOriginUrl string URL da cui è stato scaricato il file
FileOriginReferrerUrl string URL della pagina Web collegata al file scaricato
FileOriginIP string Indirizzo IP da cui è stato scaricato il file
PreviousFolderPath string Cartella originale contenente il file prima dell'applicazione dell'azione registrata
PreviousFileName string Nome originale del file rinominato in seguito all'azione
FileSize long Dimensioni del file in byte
InitiatingProcessAccountDomain string Dominio dell'account che ha eseguito il processo responsabile dell'evento
InitiatingProcessAccountName string Nome utente dell'account che ha eseguito il processo responsabile dell'evento; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato il nome utente dell'ID Entra dell'account che ha eseguito il processo responsabile dell'evento
InitiatingProcessAccountSid string Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento
InitiatingProcessAccountUpn string Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato l'UPN ENTRA ID dell'account che ha eseguito il processo responsabile dell'evento.
InitiatingProcessAccountObjectId string Microsoft Entra ID oggetto dell'account utente che ha eseguito il processo responsabile dell'evento
InitiatingProcessMD5 string Hash MD5 del processo (file di immagine) che ha avviato l'evento
InitiatingProcessSHA1 string SHA-1 del processo (file di immagine) che ha avviato l'evento
InitiatingProcessSHA256 string SHA-256 del processo (file di immagine) che ha avviato l'evento. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile).
InitiatingProcessFolderPath string Cartella contenente il processo (file di immagine) che ha avviato l'evento
InitiatingProcessFileName string Nome del file di processo che ha avviato l'evento; se non è disponibile, potrebbe essere visualizzato il nome del processo che ha avviato l'evento
InitiatingProcessFileSize long Dimensioni del processo (file di immagine) che ha avviato l'evento
InitiatingProcessVersionInfoCompanyName string Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento
InitiatingProcessVersionInfoProductName string Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento
InitiatingProcessVersionInfoProductVersion string Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento
InitiatingProcessVersionInfoInternalFileName string Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento
InitiatingProcessVersionInfoOriginalFileName string Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento
InitiatingProcessVersionInfoFileDescription string Descrizione dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento
InitiatingProcessId long ID processo (PID) del processo che ha avviato l'evento
InitiatingProcessCommandLine string Riga di comando usata per eseguire il processo che ha avviato l'evento
InitiatingProcessCreationTime datetime Data e ora di avvio del processo che ha avviato l'evento
InitiatingProcessIntegrityLevel string Livello di integrità del processo che ha avviato l'evento. Windows assegna i livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet. Questi livelli di integrità influenzano le autorizzazioni per le risorse.
InitiatingProcessTokenElevation string Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di User Controllo di accesso (UAC) applicata al processo che ha avviato l'evento
InitiatingProcessParentId long ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento
InitiatingProcessParentFileName string Nome del processo padre che ha generato il processo responsabile dell'evento
InitiatingProcessParentCreationTime datetime Data e ora di avvio dell'elemento padre del processo responsabile dell'evento
RequestProtocol string Protocollo di rete, se applicabile, usato per avviare l'attività: Sconosciuto, Locale, SMB o NFS
RequestSourceIP string Indirizzo IPv4 o IPv6 del dispositivo remoto che ha avviato l'attività
RequestSourcePort int Porta di origine nel dispositivo remoto che ha avviato l'attività
RequestAccountName string Nome utente dell'account usato per avviare l'attività in remoto
RequestAccountDomain string Dominio dell'account usato per avviare l'attività in remoto
RequestAccountSid string Identificatore di sicurezza (SID) dell'account usato per avviare l'attività in remoto
ShareName string Nome della cartella condivisa contenente il file
SensitivityLabel string Etichetta applicata a un messaggio di posta elettronica, un file o altro contenuto per classificarlo per la protezione delle informazioni
SensitivitySubLabel string Etichetta secondaria applicata a un messaggio di posta elettronica, un file o altro contenuto per classificarlo per la protezione delle informazioni; le etichette secondarie di riservatezza sono raggruppate in etichette di riservatezza, ma vengono trattate in modo indipendente
IsAzureInfoProtectionApplied boolean Indica se il file è crittografato da Azure Information Protection
ReportId long Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp.
AppGuardContainerId string Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser
AdditionalFields string Informazioni aggiuntive sull'entità o sull'evento
InitiatingProcessSessionId long ID sessione di Windows del processo di avvio
IsInitiatingProcessRemoteSession bool Indica se il processo di avvio è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false)
InitiatingProcessRemoteSessionDeviceName string Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio
InitiatingProcessRemoteSessionIP string Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio

Nota

Le informazioni sull'hash dei file verranno sempre visualizzate quando sono disponibili. Tuttavia, esistono diversi possibili motivi per cui non è possibile calcolare un SHA1, SHA256 o MD5. Ad esempio, il file potrebbe trovarsi in archiviazione remota, bloccato da un altro processo, compresso o contrassegnato come virtuale. In questi scenari, le informazioni sull'hash del file vengono visualizzate vuote.

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.