MDCFileIntegrityMonitoringEvents
Wyświetlanie zmian plików systemu Windows i Linux oraz kluczy rejestru oprogramowania. Zdarzenia z tej tabeli są zbierane przez Ochrona punktu końcowego w usłudze Microsoft Defender (MDE).
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zarządzanie dziennikami |
| Dziennik podstawowy | Nie |
| Przekształcanie czasu pozyskiwania | Nie |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| AADTenantID | ciąg | Identyfikator dzierżawy usługi AAD subskrypcji, w której utworzono monitorowaną jednostkę, zmieniono jej nazwę, zmodyfikowano lub usunięto. |
| AzureResourceId | ciąg | Identyfikator zasobu platformy Azure, którego monitorowana jednostka została utworzona, zmieniona, zmodyfikowana lub usunięta. |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| ChangeType | ciąg | Typ zmiany, która wystąpiła w jednostce. W przypadku jednostki "File" musi być "Created", "Modified", "Renamed" lub "Deleted". W przypadku jednostki "Registry" musi być albo "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed". |
| CloudIdentifier | ciąg | Identyfikator chmury zasobu. |
| CloudProvider | ciąg | Dostawca chmury zasobu. |
| CloudResourceType | ciąg | Typ zasobu w chmurze. |
| Computer (Komputer) | ciąg | Nazwa maszyny, na której utworzono monitorowaną jednostkę, zmieniono jej nazwę, zmodyfikowano lub usunięto. |
| FileMd5 | ciąg | Dotyczy typu monitorowanej jednostki "Plik". Przechowuje md5 pliku, który został zmodyfikowany, utworzony lub usunięty. |
| FileName | ciąg | Dotyczy typu monitorowanej jednostki "Plik". Przechowuje nazwę pliku, który został utworzony, zmieniono nazwę, zmodyfikowano lub usunięto. |
| Filepath | ciąg | Dotyczy typu monitorowanej jednostki "Plik". Przechowuje ścieżkę pliku, który został utworzony, zmieniono jego nazwę, zmodyfikowano lub usunięto. |
| FileSha1 | ciąg | Dotyczy typu monitorowanej jednostki "Plik". Przechowuje sha1 pliku, który został zmodyfikowany, utworzony lub usunięty. |
| FileSha256 | ciąg | Dotyczy typu monitorowanej jednostki "Plik". Przechowuje sha256 pliku, który został zmodyfikowany, utworzony lub usunięty. |
| FileSize | długi | Dotyczy typu monitorowanej jednostki "Plik". Przechowuje bieżący rozmiar (w bajtach) utworzonego pliku, zmiany nazwy, modyfikacji lub usunięcia. |
| Filetype | ciąg | Dotyczy typu monitorowanej jednostki "Plik". Przechowuje typ utworzonego pliku, zmiany nazwy, modyfikacji lub usunięcia. Przykład możliwych wartości: Zip, PDF, Xar itp. |
| InicjowanieProcessAccountDomainName | ciąg | Przechowuje nazwę domeny konta procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessAccountName | ciąg | Przechowuje nazwę konta procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessAccountSid | ciąg | Przechowuje identyfikator SID konta procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessCreationTime | datetime | Przechowuje czas tworzenia procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessFirstSeen | datetime | Przechowuje pierwszy raz procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| Identyfikator inicjowaniaProcessId | długi | Przechowuje identyfikator procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessImageFileName | ciąg | Przechowuje nazwę pliku obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessImageFilePath | ciąg | Przechowuje ścieżkę pliku obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessImageFileType | ciąg | Przechowuje typ pliku obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessName | ciąg | Przechowuje nazwę procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessSessionId | długi | Przechowuje identyfikator sesji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InicjowanieProcessSource | ciąg | Przechowuje źródło procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageCreationTimeUtc | datetime | Przechowuje czas tworzenia obrazu dla obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageFileSizeInBytes | długi | Przechowuje rozmiar pliku obrazu (w bajtach) procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageLastAccessTimeUtc | datetime | Przechowuje obraz czas ostatniego dostępu do obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageLastWriteTimeUtc | datetime | Przechowuje obraz czas ostatniego zapisu obrazu procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageLsHash | ciąg | Przechowuje skrót LS obrazu procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageMd5 | ciąg | Przechowuje obraz MD5 obrazu inicjującego procesu, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImagePeTimestampUtc | datetime | Przechowuje czas pe obrazu dla obrazu procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageSha1 | ciąg | Przechowuje obraz SHA 1 dla obrazu procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcImageSha256 | ciąg | Przechowuje obraz SHA 256 obrazu procesu inicjowania, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoCompanyName | ciąg | Przechowuje nazwę firmy informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoFileDescription | ciąg | Przechowuje opis pliku informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoInternalFileName | ciąg | Przechowuje wewnętrzną nazwę pliku informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoOriginalFileName | ciąg | Przechowuje oryginalną nazwę pliku informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoProductName | ciąg | Przechowuje nazwę produktu informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| InitProcVersionInfoProductVersion | ciąg | Przechowuje wersję produktu informacji o wersji procesu inicjującego, który spowodował zdarzenie monitorowanej jednostki. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Gdy pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| MonitoredEntityType | ciąg | Typ monitorowanej jednostki, która została utworzona, zmieniona, zmodyfikowana lub usunięta. Może to być "Plik" lub "Rejestr". |
| NewValueData | ciąg | Dotyczy typu jednostki monitorowanej przez rejestr. Przechowuje dane nowej wartości rejestru. |
| NewValueName | ciąg | Dotyczy typu jednostki monitorowanej przez rejestr. Przechowuje nazwę nowej wartości rejestru. |
| NewValueType | ciąg | Dotyczy typu jednostki monitorowanej przez rejestr. Przechowuje typ wartości Nowy rejestr. |
| OldValueData | ciąg | Dotyczy typu jednostki monitorowanej przez rejestr. Przechowuje poprzednie dane wartości rejestru. |
| OldValueFullRegistryKey | ciąg | Dotyczy typu jednostki monitorowanej przez rejestr. Przechowuje poprzedni pełny klucz rejestru. |
| OldValueName | ciąg | Dotyczy typu jednostki monitorowanej przez rejestr. Przechowuje poprzednią nazwę wartości rejestru. |
| OldValueType | ciąg | Dotyczy typu jednostki monitorowanej przez rejestr. Przechowuje poprzedni typ wartości rejestru. |
| OriginalFileName | ciąg | Dotyczy typu zmiany "Plik" monitorowanego typu jednostki i typu zmiany "Zmień nazwę". Przechowuje oryginalną nazwę pliku, którego nazwa została zmieniona, przed wystąpieniem zmiany nazwy. |
| OriginalFilePath | ciąg | Istotne dla typu jednostki monitorowanej "Plik" i typu zmiany "Zmień nazwę". Przechowuje oryginalną ścieżkę pliku, którego nazwa została zmieniona, przed zmianą nazwy. |
| Registryhive | ciąg | Dotyczy typu monitorowanej jednostki "Rejestr". Przechowuje ustawienia konfiguracji grupowania dla systemu operacyjnego i aplikacji. |
| Registrykey | ciąg | Dotyczy typu monitorowanej jednostki "Rejestr". Przechowuje pełny klucz rejestru rejestru, który został utworzony lub nowy klucz rejestru, którego nazwa została zmieniona. |
| RequestAccountDomain | ciąg | Dotyczy typu jednostki monitorowanej przez funkcję "Plik". Przechowuje domenę konta użytkownika, które spowodowało zdarzenie pliku. |
| RequestAccountName | ciąg | Dotyczy typu jednostki monitorowanej przez funkcję "Plik". Przechowuje nazwę konta użytkownika, które spowodowało zdarzenie pliku. |
| RequestAccountSid | ciąg | Dotyczy typu jednostki monitorowanej przez funkcję "Plik". Przechowuje identyfikator SID konta użytkownika, które spowodowało zdarzenie pliku. |
| Źródło żądania | ciąg | Dotyczy typu jednostki monitorowanej przez funkcję "Plik". Przechowuje źródło konta użytkownika, które spowodowało zdarzenie pliku. Na przykład Local/SMB/NFS. |
| RequestSourceIP | ciąg | Dotyczy typu jednostki monitorowanej przez funkcję "Plik". Przechowuje źródłowy adres IP konta użytkownika, które spowodowało zdarzenie pliku. W przypadku pliku zdalnego adres IP, z którego pochodzi żądanie. |
| RequestSourcePort | ciąg | Dotyczy typu jednostki monitorowanej przez funkcję "Plik". Przechowuje port źródłowy konta użytkownika, który spowodował zdarzenie pliku. W przypadku pliku zdalnego port, z którego pochodzi żądanie. |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Godzina (UTC) utworzenia monitorowanej jednostki, zmiany nazwy, modyfikacji lub usunięcia. |
| Typ | ciąg | Nazwa tabeli |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla