MDECustomCollectionDeviceFileEvents
Essa tabela faz parte do Microsoft Defender para pontos de extremidade para o cenário coleção personalizada. Esta tabela contém a criação, modificação e outros eventos do sistema de arquivos para qualquer coisa solicitada explicitamente pelo cliente para coleta.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | LogManagement |
| Log básico | No |
| Transformação de tempo de ingestão | No |
| Consultas de amostras | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| ActionType | string | Tipo de atividade que disparou o evento. |
| AdditionalFields | dinâmico | Informações adicionais sobre a entidade ou evento. |
| AppGuardContainerId | string | Identificador do contêiner virtualizado usado por Application Guard para isolar a atividade do navegador. |
| _BilledSize | real | O tamanho do registro em bytes |
| DeviceId | string | Identificador exclusivo para o dispositivo no serviço. |
| DeviceName | string | FQDN (nome de domínio totalmente qualificado) do dispositivo. |
| FileName | string | Nome do arquivo ao qual a ação gravada foi aplicada. |
| FileOriginIP | string | Endereço IP do qual o arquivo foi baixado. |
| FileOriginReferrerUrl | string | URL da página da Web que é vinculada ao arquivo baixado. |
| FileOriginUrl | string | URL da qual o arquivo foi baixado. |
| FileSize | long | Tamanho do arquivo em bytes. |
| FolderPath | string | Pasta que contém o arquivo ao qual a ação gravada foi aplicada. |
| InitProcessAccountDomain | string | Domínio da conta que executou o processo responsável pelo evento. |
| InitProcessAccountName | string | Nome de usuário da conta que executou o processo responsável pelo evento. |
| InitProcessAccountObjectId | string | Azure AD ID do objeto da conta de usuário que executou o processo responsável pelo evento. |
| InitProcessAccountSid | string | Sid (Identificador de Segurança) da conta que executou o processo responsável pelo evento. |
| InitProcessAccountUpn | string | Nome upn da conta que executou o processo responsável pelo evento. |
| InitProcessCommandLine | string | Linha de comando usada para executar o processo que iniciou o evento. |
| InitProcessCreationTime | DATETIME | Data e hora em que o processo que iniciou o evento foi iniciado. |
| InitProcessFileName | string | Nome do processo que iniciou o evento. |
| InitProcessFileSize | long | Tamanho em bytes do processo (arquivo de imagem) que iniciou o evento. |
| InitProcessFolderPath | string | Pasta que contém o processo (arquivo de imagem) que iniciou o evento. |
| InitProcessId | long | ID do processo (PID) do processo que iniciou o evento. |
| InitProcessIntegrityLevel | string | Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se fossem iniciados a partir de um download na Internet. Esses níveis de integridade influenciam as permissões para os recursos. |
| InitProcessMD5 | string | Hash MD5 do processo (arquivo de imagem) que iniciou o evento. |
| InitProcessParentCreationTime | DATETIME | Data e hora em que o pai do processo responsável pelo evento foi iniciado. |
| InitProcessParentFileName | string | Nome do processo pai que gerou o processo responsável pelo evento. |
| InitProcessParentId | long | ID do processo (PID) do processo pai que gerou o processo responsável pelo evento. |
| InitProcessSHA1 | string | Hash SHA-1 do processo (arquivo de imagem) que iniciou o evento. |
| InitProcessSHA256 | string | Hash SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido – use a coluna SHA1 quando disponível. |
| InitProcessTokenElevation | string | Tipo de token que indica a presença ou ausência de elevação de privilégio de Controle de Acesso de usuário (UAC) aplicada ao processo que iniciou o evento. |
| InitProcessVersionInfoCompanyName | string | Nome da empresa das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoFileDescription | string | Descrição das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoInternalFileName | string | Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoOriginalFileName | string | Nome do arquivo original das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoProductName | string | Nome do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoProductVersion | string | Versão do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| IsAzureInfoProtectionApplied | bool | Indica se o arquivo é criptografado pelo Azure Proteção de Informações. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| MachineGroup | string | Grupo de computadores do computador. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao computador. |
| MD5 | string | Hash MD5 do arquivo ao qual a ação gravada foi aplicada. |
| PreviousFileName | string | Nome original do arquivo que foi renomeado como resultado da ação. |
| PreviousFolderPath | string | Pasta original que contém o arquivo antes da ação gravada ser aplicada. |
| ReportId | long | Identificador de evento com base em um contador repetido. Para identificar eventos exclusivos, essa coluna deve ser usada em conjunto com as colunas ComputerName e EventTime. |
| RequestAccountDomain | string | Domínio da conta usada para iniciar remotamente a atividade. |
| RequestAccountName | string | Nome de usuário da conta usada para iniciar remotamente a atividade. |
| RequestAccountSid | string | SID (Identificador de Segurança) da conta usada para iniciar remotamente a atividade. |
| RequestProtocol | string | Protocolo de rede, se aplicável, usado para iniciar a atividade: Desconhecido, Local, SMB ou NFS. |
| RequestSourceIP | string | Endereço IPv4 ou IPv6 do dispositivo remoto que iniciou a atividade. |
| RequestSourcePort | INT | Porta de origem no dispositivo remoto que iniciou a atividade. |
| SensitivityLabel | string | Rótulo aplicado a um email, arquivo ou outro conteúdo para classificá-lo para proteção de informações. |
| SensitivitySubLabel | string | Sub-rótulo aplicado a um email, arquivo ou outro conteúdo para classificá-lo para proteção de informações; Os sub-rótulos de confidencialidade são agrupados sob rótulos de confidencialidade, mas são tratados de forma independente. |
| SHA1 | string | Hash SHA-1 do arquivo ao qual a ação registrada foi aplicada. |
| SHA256 | string | SHA-256 do arquivo ao qual a ação registrada foi aplicada. |
| ShareName | string | Nome da pasta compartilhada que contém o arquivo. |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| TenantId | string | A ID do workspace do Log Analytics |
| TimeGenerated | DATETIME | Data e hora em que o evento foi registrado pelo agente MDE no ponto de extremidade. |
| Type | string | O nome da tabela |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de