DeviceFileEvents
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
A DeviceFileEvents
tabela no esquema de caça avançado contém informações sobre criação, modificação e outros eventos do sistema de arquivos. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionType
valores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
ActionType |
string |
Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes. |
FileName |
string |
Nome do arquivo ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o arquivo ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do arquivo ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do arquivo ao qual a ação gravada foi aplicada. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
MD5 |
string |
Hash MD5 do arquivo ao qual a ação gravada foi aplicada |
FileOriginUrl |
string |
URL de onde o arquivo foi baixado |
FileOriginReferrerUrl |
string |
URL da página da Web que é vinculada ao arquivo baixado |
FileOriginIP |
string |
Endereço IP de onde o arquivo foi baixado |
PreviousFolderPath |
string |
Pasta original que contém o arquivo antes da ação gravada ser aplicada |
PreviousFileName |
string |
Nome original do arquivo que foi renomeado como resultado da ação |
FileSize |
long |
Tamanho do arquivo em bytes |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de usuário da conta que executou o processo responsável pelo evento; se o dispositivo estiver registrado no Microsoft Entra ID, o nome de usuário da ID da conta que executou o processo responsável pelo evento poderá ser mostrado em vez disso |
InitiatingProcessAccountSid |
string |
SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome da entidade de usuário (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registrado em Microsoft Entra ID, o UPN da ID de Entra da conta que executou o processo responsável pelo evento poderá ser mostrado em vez disso |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID do objeto da conta de usuário que executou o processo responsável pelo evento |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessSHA1 |
string |
SHA-1 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do processo que iniciou o evento |
InitiatingProcessFileSize |
long |
Tamanho do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome do arquivo original das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessId |
long |
ID do processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comando usada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessIntegrityLevel |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles foram iniciados a partir de um download na Internet. Esses níveis de integridade influenciam as permissões para os recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso de usuário) aplicada ao processo que iniciou o evento |
InitiatingProcessParentId |
long |
ID do processo (PID) do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentFileName |
string |
Nome do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado |
RequestProtocol |
string |
Protocolo de rede, se aplicável, usado para iniciar a atividade: Desconhecido, Local, SMB ou NFS |
RequestSourceIP |
string |
Endereço IPv4 ou IPv6 do dispositivo remoto que iniciou a atividade |
RequestSourcePort |
int |
Porta de origem no dispositivo remoto que iniciou a atividade |
RequestAccountName |
string |
Nome de usuário da conta usada para iniciar remotamente a atividade |
RequestAccountDomain |
string |
Domínio da conta usada para iniciar remotamente a atividade |
RequestAccountSid |
string |
SID (Identificador de Segurança) da conta usada para iniciar remotamente a atividade |
ShareName |
string |
Nome da pasta compartilhada que contém o arquivo |
SensitivityLabel |
string |
Rótulo aplicado a um email, arquivo ou outro conteúdo para classificá-lo para proteção de informações |
SensitivitySubLabel |
string |
Sub-rótulo aplicado a um email, arquivo ou outro conteúdo para classificá-lo para proteção de informações; sub-rótulos de confidencialidade são agrupados sob rótulos de confidencialidade, mas são tratados de forma independente |
IsAzureInfoProtectionApplied |
boolean |
Indica se o arquivo é criptografado pelo Azure Proteção de Informações |
ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado por Application Guard para isolar a atividade do navegador |
AdditionalFields |
string |
Informações adicionais sobre a entidade ou evento |
Observação
As informações de hash do arquivo sempre serão mostradas quando estiverem disponíveis. No entanto, há vários motivos possíveis para que um SHA1, SHA256 ou MD5 não possa ser calculado. Por exemplo, o arquivo pode estar localizado no armazenamento remoto, bloqueado por outro processo, compactado ou marcado como virtual. Nesses cenários, as informações de hash do arquivo aparecem vazias.
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de