DeviceFileEvents
Si applica a:
- Microsoft Defender XDR
- Microsoft Defender per endpoint
La DeviceFileEvents tabella nello schema di ricerca avanzata contiene informazioni sulla creazione, la modifica e altri eventi del file system. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
ActionType |
string |
Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale . |
FileName |
string |
Nome del file a cui è stata applicata l'azione registrata |
FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata |
SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata |
SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile). |
MD5 |
string |
Hash MD5 del file a cui è stata applicata l'azione registrata |
FileOriginUrl |
string |
URL da cui è stato scaricato il file |
FileOriginReferrerUrl |
string |
URL della pagina Web collegata al file scaricato |
FileOriginIP |
string |
Indirizzo IP da cui è stato scaricato il file |
PreviousFolderPath |
string |
Cartella originale contenente il file prima dell'applicazione dell'azione registrata |
PreviousFileName |
string |
Nome originale del file rinominato in seguito all'azione |
FileSize |
long |
Dimensioni del file in byte |
InitiatingProcessAccountDomain |
string |
Dominio dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountName |
string |
Nome utente dell'account che ha eseguito il processo responsabile dell'evento; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato il nome utente dell'ID Entra dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountSid |
string |
Identificatore di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento |
InitiatingProcessAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento; se il dispositivo è registrato in Microsoft Entra ID, potrebbe essere visualizzato l'UPN ENTRA ID dell'account che ha eseguito il processo responsabile dell'evento. |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID oggetto dell'account utente che ha eseguito il processo responsabile dell'evento |
InitiatingProcessMD5 |
string |
Hash MD5 del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessSHA1 |
string |
SHA-1 del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessSHA256 |
string |
SHA-256 del processo (file di immagine) che ha avviato l'evento. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile). |
InitiatingProcessFolderPath |
string |
Cartella contenente il processo (file di immagine) che ha avviato l'evento |
InitiatingProcessFileName |
string |
Nome del file di processo che ha avviato l'evento; se non è disponibile, potrebbe essere visualizzato il nome del processo che ha avviato l'evento |
InitiatingProcessFileSize |
long |
Dimensioni del processo (file di immagine) che ha avviato l'evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoProductName |
string |
Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrizione dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento |
InitiatingProcessId |
long |
ID processo (PID) del processo che ha avviato l'evento |
InitiatingProcessCommandLine |
string |
Riga di comando usata per eseguire il processo che ha avviato l'evento |
InitiatingProcessCreationTime |
datetime |
Data e ora di avvio del processo che ha avviato l'evento |
InitiatingProcessIntegrityLevel |
string |
Livello di integrità del processo che ha avviato l'evento. Windows assegna i livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono stati avviati da un download Internet. Questi livelli di integrità influenzano le autorizzazioni per le risorse. |
InitiatingProcessTokenElevation |
string |
Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di User Controllo di accesso (UAC) applicata al processo che ha avviato l'evento |
InitiatingProcessParentId |
long |
ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento |
InitiatingProcessParentFileName |
string |
Nome del processo padre che ha generato il processo responsabile dell'evento |
InitiatingProcessParentCreationTime |
datetime |
Data e ora di avvio dell'elemento padre del processo responsabile dell'evento |
RequestProtocol |
string |
Protocollo di rete, se applicabile, usato per avviare l'attività: Sconosciuto, Locale, SMB o NFS |
RequestSourceIP |
string |
Indirizzo IPv4 o IPv6 del dispositivo remoto che ha avviato l'attività |
RequestSourcePort |
int |
Porta di origine nel dispositivo remoto che ha avviato l'attività |
RequestAccountName |
string |
Nome utente dell'account usato per avviare l'attività in remoto |
RequestAccountDomain |
string |
Dominio dell'account usato per avviare l'attività in remoto |
RequestAccountSid |
string |
Identificatore di sicurezza (SID) dell'account usato per avviare l'attività in remoto |
ShareName |
string |
Nome della cartella condivisa contenente il file |
SensitivityLabel |
string |
Etichetta applicata a un messaggio di posta elettronica, un file o altro contenuto per classificarlo per la protezione delle informazioni |
SensitivitySubLabel |
string |
Etichetta secondaria applicata a un messaggio di posta elettronica, un file o altro contenuto per classificarlo per la protezione delle informazioni; le etichette secondarie di riservatezza sono raggruppate in etichette di riservatezza, ma vengono trattate in modo indipendente |
IsAzureInfoProtectionApplied |
boolean |
Indica se il file è crittografato da Azure Information Protection |
ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare eventi univoci, questa colonna deve essere usata insieme alle colonne DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser |
AdditionalFields |
string |
Informazioni aggiuntive sull'entità o sull'evento |
InitiatingProcessSessionId |
long |
ID sessione di Windows del processo di avvio |
IsInitiatingProcessRemoteSession |
bool |
Indica se il processo di avvio è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio |
InitiatingProcessRemoteSessionIP |
string |
Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio |
Nota
Le informazioni sull'hash dei file verranno sempre visualizzate quando sono disponibili. Tuttavia, esistono diversi possibili motivi per cui non è possibile calcolare un SHA1, SHA256 o MD5. Ad esempio, il file potrebbe trovarsi in archiviazione remota, bloccato da un altro processo, compresso o contrassegnato come virtuale. In questi scenari, le informazioni sull'hash del file vengono visualizzate vuote.
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.