Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wyświetlanie zmian plików systemu Windows i Linux, a także kluczy rejestru oprogramowania. Zdarzenia z tej tabeli są zbierane przez Microsoft Defender dla Punktu Końcowego (MDE).
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zarządzanie logami |
| Dziennik podstawowy | Tak |
| Przekształcanie podczas pozyskiwania danych | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Identyfikator dzierżawcy AAD | ciąg | Identyfikator dzierżawy AAD subskrypcji, w której utworzono monitorowaną jednostkę, zmieniono nazwę, zmodyfikowano, lub usunięto. |
| AzureResourceId | ciąg | Identyfikator zasobu platformy Azure, którego monitorowana jednostka została utworzona, zmieniona, zmodyfikowana lub usunięta. |
| _RozmiarRachunku | rzeczywiste | Rozmiar rekordu w bajtach |
| TypZmiany | ciąg | Typ zmiany, która wystąpiła w jednostce. W przypadku jednostki "File" musi mieć wartość "Created", "Modified", "Renamed" lub "Deleted". W przypadku jednostki "Registry" musi być jednym z: "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed". |
| Identyfikator Chmury | ciąg | Identyfikator zasobu w chmurze. |
| Dostawca chmury | ciąg | Dostawca usług w chmurze zasobu. |
| TypZasobuChmurowego | ciąg | Typ zasobu w chmurze. |
| Komputer | ciąg | Nazwa maszyny, na której utworzono monitorowaną jednostkę, zmieniono jej nazwę, zmodyfikowano lub usunięto. |
| FileMd5 | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje md5 pliku, który został zmodyfikowany, utworzony lub usunięty. |
| NazwaPliku | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje nazwę pliku, który został utworzony, zmieniono nazwę, zmodyfikowano lub usunięto. |
| FilePath | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje ścieżkę pliku, który został utworzony, zmieniono nazwę, zmodyfikowano lub usunięto. |
| PlikSha1 | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje sha1 pliku, który został zmodyfikowany, utworzony lub usunięty. |
| FileSha256 | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje sha256 pliku, który został zmodyfikowany, utworzony lub usunięty. |
| Rozmiar pliku | długi | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje bieżący rozmiar (w bajtach) pliku, który został utworzony, zmieniono nazwę, zmodyfikowano lub usunięto. |
| Typ pliku | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje typ utworzonego, zmienionego, zmodyfikowanego lub usuniętego pliku. Przykład możliwych wartości: Zip, PDF, Xar itp. |
| Inicjowanie procesu nazwy domeny konta | ciąg | Przechowuje nazwę domeny konta procesu, który zainicjował zdarzenie monitorowanego podmiotu. |
| InicjowanieProcessAccountName | ciąg | Przechowuje nazwę konta procesu inicjującego, który spowodował zdarzenie monitorowanego podmiotu. |
| InicjowanieProcessAccountSid | ciąg | Przechowuje identyfikator SID konta procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieCzasTworzeniaProcesu | data/godzina | Przechowuje czas utworzenia procesu inicjującego, który spowodował zdarzenie związane z monitorowaną jednostką. |
| InicjowanieProcesuPierwszeZobaczenie | data/godzina | Przechowuje czas pierwszego wykrycia procesu inicjującego, który spowodował wydarzenie monitorowanej jednostki. |
| IdentyfikatorProcesuRozpoczęcia | długi | Przechowuje identyfikator procesu inicjującego, który spowodował zdarzenie jednostki monitorowanej. |
| InicjowanieProcessImageFileName | ciąg | Przechowuje nazwę pliku obrazu procesu inicjującego, który wywołał zdarzenie związane z monitorowaną jednostką. |
| InicjowanieProcessImageFilePath | ciąg | Przechowuje ścieżkę pliku obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| Inicjowanie typu pliku obrazu procesu | ciąg | Przechowuje typ pliku obrazu procesu, który inicjuje zdarzenie dotyczące monitorowanej jednostki. |
| InicjowanieNazwaProcesu | ciąg | Przechowuje nazwę procesu inicjującego, który wywołał zdarzenie dotyczące monitorowanej jednostki. |
| Inicjowanie ProcessSessionId | długi | Przechowuje identyfikator sesji procesu inicjującego, który spowodował zdarzenie monitorowanego obiektu. |
| InicjowanieŹródłaProcesu | ciąg | Przechowuje źródło procesu, który zainicjował zdarzenie monitorowanej jednostki. |
| InitProcImageCreationTimeUtc | data/godzina | Przechowuje czas utworzenia obrazu dla obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageFileSizeInBytes | długi | Przechowuje rozmiar pliku obrazu (w bajtach) procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageLastAccessTimeUtc | data/godzina | Przechowuje czas ostatniego dostępu do obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageOstatniCzasZapisaniaUtc | data/godzina | Przechowuje czas ostatniego zapisu dla obrazu procesu inicjującego, który wywołał zdarzenie jednostki monitorowanej. |
| InitProcImageLsHash | ciąg | Przechowuje skrót LS obrazu procesu inicjującego, który spowodował zdarzenie jednostki monitorowanej. |
| InitProcImageMd5 | ciąg | Przechowuje wartość MD5 obrazu procesu inicjującego, który spowodował zdarzenie dotyczące monitorowanej jednostki. |
| InitProcImagePeTimestampUtc | data/godzina | Przechowuje czas obrazu PE dla obrazu inicjującego procesu, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageSha1 | ciąg | Przechowuje obraz SHA 1 dla obrazu procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageSha256 | ciąg | Przechowuje wartość SHA 256 obrazu procesu inicjującego, który spowodował zdarzenie jednostki monitorowanej. |
| InitProcVersionInfoCompanyName | ciąg | Przechowuje nazwę firmy w informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoFileDescription | ciąg | Przechowuje opis pliku informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanego obiektu. |
| InitProcVersionInfoInternalFileName | ciąg | Przechowuje wewnętrzną nazwę pliku zawierającą informacje o wersji procesu inicjującego, który spowodował zdarzenie dotyczące monitorowanej jednostki. |
| InitProcVersionInfoOryginalnaNazwaPliku | ciąg | Przechowuje oryginalną nazwę pliku informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoProductName | ciąg | Przechowuje nazwę produktu zawierającego informacje o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoProductVersion | ciąg | Przechowuje informacje o wersji produktu dotyczące wersji procesu, który inicjował zdarzenie monitorowanej jednostki. |
| _CzyPodlegaOpłacie | ciąg | Określa, czy przetwarzanie danych jest obciążone kosztami. Gdy _IsBillable false, pozyskiwanie nie jest rozliczane na twoim koncie Azure. |
| TypObserwowanegoPodmiotu | ciąg | Typ monitorowanej jednostki, która została utworzona, zmieniona, zmodyfikowana lub usunięta. Może to być "Plik" lub "Rejestr". |
| DaneNowejWartości | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje dane nowej wartości rejestru. |
| NazwaNowejWartości | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje nazwę nowej wartości rejestru. |
| NowyTypWartości | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje nowy typ wartości rejestru. |
| OldValueData | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje poprzednie dane wartości rejestru. |
| PełnyKluczRejestruStarejWartości | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje poprzedni pełny klucz rejestru. |
| StaraNazwaWartości | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje poprzednią nazwę wartości rejestru. |
| StaryTypWartości | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje poprzedni typ wartości rejestru. |
| OryginalnaNazwaPliku | ciąg | Istotne dla typu jednostki monitorowanej "Plik" i typu zmiany "Zmień nazwę". Przechowuje oryginalną nazwę pliku, którego nazwa została zmieniona, przed wystąpieniem zmiany nazwy. |
| OriginalFilePath | ciąg | Istotne dla typu jednostki monitorowanej "Plik" i typu zmiany "Zmień nazwę". Przechowuje oryginalną ścieżkę pliku, którego nazwa została zmieniona, przed wystąpieniem zmiany nazwy. |
| Registry Hive | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje ustawienia konfiguracji grupowania dla systemu operacyjnego i aplikacji. |
| Klucz rejestru | ciąg | Odpowiednie dla typu jednostki monitorowanej przez 'Rejestr'. Przechowuje pełny klucz rejestru rejestru, który został utworzony lub nowy klucz rejestru, którego nazwa została zmieniona. |
| ŻądanieDomenyKonta | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje domenę konta użytkownika, który był przyczyną zdarzenia pliku. |
| Prośba o nazwę konta | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje nazwę konta użytkownika, który spowodował zdarzenie związane z plikiem. |
| RequestAccountSid | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje identyfikator SID konta użytkownika, które doprowadziło do zdarzenia plikowego. |
| ŹródłoŻądania | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje konto użytkownika będącego źródłem zdarzenia pliku. Na przykład Local/SMB/NFS. |
| RequestSourceIP | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje źródłowy adres IP konta użytkownika, które spowodowało zdarzenie pliku. W przypadku pliku zdalnego adres IP, z którego pochodzi żądanie. |
| Port źródłowy żądania | ciąg | Dotyczy typu monitorowanego elementu „Plik”. Przechowuje port źródłowy konta użytkownika, który spowodował zdarzenie pliku. W przypadku pliku zdalnego port, z którego pochodzi żądanie. |
| SourceSystem | ciąg | Typ agenta, za pomocą którego zdarzenie zostało zebrane. Na przykład OpsManager dla agenta systemu Windows, czy to bezpośredniego połączenia, czy Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Azure Diagnostics |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Godzina (UTC) utworzenia monitorowanej jednostki, zmiany nazwy, modyfikacji lub usunięcia. |
| Typ | ciąg | Nazwa tabeli |