Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta tabela jest częścią Microsoft Defender dla Punktów Końcowych w scenariuszu kolekcji niestandardowej. Ta tabela zawiera zdarzenia tworzenia, modyfikowania oraz inne zdarzenia systemu plików na wyraźne życzenie klienta do zebrania.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zarządzanie Logami |
| Podstawowy dziennik | Tak |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Typ akcji | ciąg | Typ działania, które wyzwoliło zdarzenie. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje o jednostce lub zdarzeniu. |
| Identyfikator Kontenera AppGuard | ciąg | Identyfikator zwirtualizowanego kontenera używanego przez funkcję Application Guard do izolowania działania przeglądarki. |
| _RozmiarRachunku | prawdziwy | Rozmiar rekordu w bajtach |
| Identyfikator urządzenia | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia | ciąg | Pełna kwalifikowana nazwa domeny (FQDN) urządzenia. |
| NazwaPliku | ciąg | Nazwa pliku, do którego zastosowano zarejestrowaną akcję. |
| Adres IP pochodzenia pliku | ciąg | Adres IP, z którego pobrano plik. |
| FileOriginReferrerUrl (URL odnośnika źródła pliku) | ciąg | Adres URL strony internetowej, która łączy się z pobranym plikiem. |
| AdresPochodzeniaPliku | ciąg | Adres URL, z którego pobrano plik. |
| Rozmiar pliku | długi | Rozmiar pliku w bajtach. |
| FolderPath | ciąg | Folder zawierający plik, do którego zastosowano zarejestrowaną akcję. |
| InicjujDomenęKontaProcesu | ciąg | Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InitProcessAccountName | ciąg | Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjujProcesKontoObiektId | ciąg | Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InitProcessAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InitProcessAccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InitProcessCommandLine | ciąg | Wiersz polecenia używany do uruchomienia procesu, który zainicjował zdarzenie. |
| InitProcessCreationTime | data/godzina | Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| InitProcessFileName | ciąg | Nazwa procesu, który zainicjował zdarzenie. |
| InitProcessFileSize | długi | Rozmiar w bajtach procesu (plik obrazu), który zainicjował zdarzenie. |
| InitProcessFolderPath | ciąg | Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
| InitProcessId | długi | Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
| InicjacjaPoziomuIntegralnościProcesu | ciąg | Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje procesom poziomy integralności na podstawie pewnych cech, takich jak uruchamianie ich z pobranych danych z Internetu. Te poziomy integralności wpływają na uprawnienia do zasobów. |
| InitProcessMD5 | ciąg | Skrót MD5 procesu (plik obrazu), który zainicjował zdarzenie. |
| InitProcessParentCreationTime | data/godzina | Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie. |
| InitProcessParentFileName | ciąg | Nazwa procesu nadrzędnego, który rozpoczął proces odpowiedzialny za zdarzenie. |
| InitProcessParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który utworzył proces odpowiedzialny za zdarzenie. |
| InitProcessSHA1 | ciąg | Skrót SHA-1 procesu (plik obrazu), który zainicjował zdarzenie. |
| InitProcessSHA256 | ciąg | Skrót SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełniane — jeśli jest dostępna, użyj kolumny SHA1. |
| InitProcessTokenElevation | ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu, który zainicjował zdarzenie. |
| InitProcessVersionInfoCompanyName | ciąg | Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| Opis pliku InitProcessVersionInfo | ciąg | Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InitProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InitProcessVersionInfoNazwaOryginalnegoPliku (InitProcessVersionInfoOriginalFileName) | ciąg | Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InitProcessVersionInfoProductName | ciąg | Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InitProcessVersionInfoProductVersion | ciąg | Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| Czy zastosowano Azure Info Protection? | bool | Wskazuje, czy plik jest szyfrowany przez usługę Azure Information Protection. |
| _PodlegaFakturowaniu | ciąg | Określa, czy pozyskiwanie danych jest fakturowane. Jeśli _IsBillable jest false, wówczas pozyskiwanie nie jest rozliczane na twoim koncie platformy Azure. |
| MachineGroup | ciąg | Grupa maszyn Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| MD5 | ciąg | Skrót MD5 pliku, do którego zastosowano zarejestrowaną akcję. |
| PoprzedniaNazwaPliku | ciąg | Oryginalna nazwa pliku, którego nazwa została zmieniona w wyniku akcji. |
| PreviousFolderPath | ciąg | Oryginalny folder zawierający plik przed zastosowaniem zarejestrowanej akcji. |
| Identyfikator raportu | długi | Identyfikator zdarzenia oparty na powtarzającym się liczniku. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
| ZapytajDomenaKonta | ciąg | Domena konta używanego do zdalnego inicjowania działania. |
| ZądanieNazwyKonta | ciąg | Nazwa użytkownika konta używanego do zdalnego inicjowania działania. |
| RequestAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta używanego do zdalnego inicjowania działania. |
| Protokół żądania | ciąg | Jeśli ma to zastosowanie, protokół sieciowy używany do inicjowania działania: Nieznany, Lokalny, SMB lub NFS. |
| RequestSourceIP | ciąg | Adres IPv4 lub IPv6 urządzenia zdalnego, które zainicjowało działanie. |
| Port źródłowy żądania | int (integer) | Port źródłowy na urządzeniu zdalnym, które zainicjowało działanie. |
| Etykieta poufności | ciąg | Etykieta zastosowana do wiadomości e-mail, pliku lub innego pliku w celu sklasyfikowania jej w celu ochrony informacji. |
| PodetykietaCzułości | ciąg | Etykieta podrzędna zastosowana do wiadomości e-mail, pliku lub innego elementu zawartości w celu sklasyfikowania jej pod kątem ochrony informacji; etykiety podrzędne poufności są grupowane w etykietach poufności, ale są traktowane niezależnie. |
| SHA1 | ciąg | Skrót SHA-1 pliku, do którego zastosowano zarejestrowaną akcję. |
| SHA256 | ciąg | SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. |
| ShareName | ciąg | Nazwa folderu udostępnionego zawierającego plik. |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows—bezpośredniego połączenia lub Operations Manager—Linux dla wszystkich agentów systemu Linux, lub Azure dla Azure Diagnostics |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Godzina utworzenia | data/godzina | Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Typ | ciąg | Nazwa tabeli |