DeviceFileEvents
Ta tabela jest częścią Microsoft Defender dla punktów końcowych w usłudze Azure Sentinel. Ta tabela zawiera zdarzenia tworzenia, modyfikowania i innych zdarzeń systemu plików.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | SecurityInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie w czasie pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| ActionType | ciąg | Typ działania, które wyzwoliło zdarzenie. |
| Dodatkowe pola | dynamiczna | Dodatkowe informacje o jednostce lub zdarzeniu. |
| AppGuardContainerId | ciąg | Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania działania przeglądarki. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| DeviceId | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| DeviceName | ciąg | W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. |
| FileName | ciąg | Nazwa pliku, do którego zastosowano zarejestrowaną akcję. |
| FileOriginIP | ciąg | Adres IP, z którego pobrano plik. |
| FileOriginReferrerUrl | ciąg | Adres URL strony internetowej, która łączy się z pobranym plikiem. |
| FileOriginUrl | ciąg | Adres URL, z którego pobrano plik. |
| Rozmiar pliku | długi | Rozmiar pliku w bajtach. |
| Folderpath | ciąg | Folder zawierający plik, do którego zastosowano zarejestrowaną akcję. |
| InicjowanieProcessAccountDomain | ciąg | Domena konta, na które uruchomiono proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountName | ciąg | Nazwa użytkownika konta, na które uruchomiono proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountObjectId | ciąg | Azure AD identyfikator obiektu konta użytkownika, w ramach którego uruchomiono proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta, na które uruchomiono proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessCommandLine | ciąg | Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie. |
| InicjowanieProcessCreationTime | datetime | Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| InicjowanieProcessFileName | ciąg | Nazwa procesu, który zainicjował zdarzenie. |
| InicjowanieProcessFileSize | długi | Rozmiar w bajtach procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessFolderPath | ciąg | Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessId | długi | Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
| InicjowanieProcessIntegrityLevel | ciąg | Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów na podstawie pewnych cech, takich jak uruchomienie ich z pobierania z Internetu. Te poziomy integralności wpływają na uprawnienia do zasobów. |
| InicjowanieProcessMD5 | ciąg | Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessParentCreationTime | datetime | Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie. |
| InicjowanieProcessParentFileName | ciąg | Nazwa procesu nadrzędnego, który zrodził proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessParentId | długi | Identyfikator procesu (PID) procesu nadrzędnego, który zrodził proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessSHA1 | ciąg | Skrót SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessSHA256 | ciąg | Skrót SHA-256 procesu (pliku obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełniane — użyj kolumny SHA1, jeśli jest dostępna. |
| InicjowanieprocessTokenElevation | ciąg | Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowanego do procesu, który zainicjował zdarzenie. |
| InitiatingProcessVersionInfoCompanyName | ciąg | Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoFileDescription | ciąg | Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoInternalFileName | ciąg | Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InitiatingProcessVersionInfoOriginalFileName | ciąg | Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoProductName | ciąg | Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoProductVersion | ciąg | Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| IsAzureInfoProtectionApplied | bool | Wskazuje, czy plik jest szyfrowany przez usługę Azure Information Protection. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| Grupa maszyn | ciąg | Grupa maszyn maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| MD5 | ciąg | Skrót MD5 pliku, do którego zastosowano zarejestrowaną akcję. |
| PreviousFileName | ciąg | Oryginalna nazwa pliku, którego nazwa została zmieniona w wyniku akcji. |
| PreviousFolderPath | ciąg | Oryginalny folder zawierający plik przed zastosowaniem zarejestrowanej akcji. |
| Identyfikator raportu | długi | Identyfikator zdarzenia oparty na liczniku powtarzanym. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
| RequestAccountDomain | ciąg | Domena konta używanego do zdalnego inicjowania działania. |
| RequestAccountName | ciąg | Nazwa użytkownika konta używanego do zdalnego inicjowania działania. |
| RequestAccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta używanego do zdalnego inicjowania działania. |
| RequestProtocol | ciąg | Protokół sieciowy, jeśli ma zastosowanie, używany do inicjowania działania: Nieznany, Lokalny, SMB lub NFS. |
| RequestSourceIP | ciąg | Adres IPv4 lub IPv6 urządzenia zdalnego, które zainicjowało działanie. |
| RequestSourcePort | int | Port źródłowy na urządzeniu zdalnym, które zainicjowało działanie. |
| SensitivityLabel | ciąg | Etykieta zastosowana do wiadomości e-mail, pliku lub innego pliku w celu sklasyfikowania jej pod kątem ochrony informacji. |
| SensitivitySubLabel | ciąg | Etykieta podrzędna zastosowana do wiadomości e-mail, pliku lub innego elementu zawartości w celu sklasyfikowania jej pod kątem ochrony informacji; etykiety podrzędne poufności są grupowane pod etykietami poufności, ale są traktowane niezależnie. |
| SHA1 | ciąg | Skrót SHA-1 pliku, do którego zastosowano zarejestrowaną akcję. |
| SHA256 | ciąg | SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. |
| Nazwaudziału | ciąg | Nazwa folderu udostępnionego zawierającego plik. |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Typ | ciąg | Nazwa tabeli |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla