Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta tabela faz parte do Microsoft Defender para Pontos de Extremidade para o cenário de Coleção Personalizada. Esta tabela contém a criação, modificação e outros eventos do sistema de arquivos para qualquer coisa explicitamente solicitada pelo cliente para coleta.
Características da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorias | Segurança |
| Soluções | Gerenciamento de Logs |
| Log básico | Sim |
| Transformação no momento da ingestão | Não |
| Consultas de exemplo | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| Tipo de Ação | cadeia de caracteres | Tipo de atividade que desencadeou o evento. |
| Campos Adicionais | dinâmico | Informações adicionais sobre a entidade ou evento. |
| AppGuardContainerId | cadeia de caracteres | Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegador. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| DeviceId | cadeia de caracteres | Identificador exclusivo para o dispositivo no serviço. |
| Nome do Dispositivo | cadeia de caracteres | FQDN (nome de domínio totalmente qualificado) do dispositivo. |
| Nome do Arquivo | cadeia de caracteres | Nome do arquivo ao qual a ação gravada foi aplicada. |
| IP de Origem do Arquivo | cadeia de caracteres | Endereço IP de onde o arquivo foi baixado. |
| URL de Referência de Origem do Arquivo | cadeia de caracteres | URL da página da Web vinculada ao arquivo baixado. |
| URL de Origem do Arquivo | cadeia de caracteres | URL de onde o arquivo foi baixado. |
| Tamanho do arquivo | long | Tamanho do arquivo em bytes. |
| FolderPath | cadeia de caracteres | Pasta que contém o arquivo ao qual a ação gravada foi aplicada. |
| InitProcessAccountDomain | cadeia de caracteres | Domínio da conta que executou o processo responsável pelo evento. |
| InitProcessAccountName | cadeia de caracteres | Nome de usuário da conta que executou o processo responsável pelo evento. |
| InitProcessAccountObjectId | cadeia de caracteres | ID do objeto do Azure AD da conta de usuário que executou o processo responsável pelo evento. |
| InitProcessAccountSid | cadeia de caracteres | SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento. |
| InitProcessAccountUpn | cadeia de caracteres | Nome UPN da conta que executou o processo responsável pelo evento. |
| Linha de comando do processo de inicialização | cadeia de caracteres | Linha de comando usada para executar o processo que iniciou o evento. |
| InitProcessCreationTime | data e hora | Data e hora em que o processo que iniciou o evento foi iniciado. |
| InitProcessFileName | cadeia de caracteres | Nome do processo que iniciou o evento. |
| InitProcessFileSize | long | Tamanho em bytes do processo (arquivo de imagem) que iniciou o evento. |
| InitProcessFolderPath | cadeia de caracteres | Pasta que contém o processo (arquivo de imagem) que iniciou o evento. |
| InitProcessId | long | ID do processo (PID) do processo que iniciou o evento. |
| InitProcessIntegrityLevel | cadeia de caracteres | Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles tivessem sido iniciados a partir de um download da Internet. Esses níveis de integridade influenciam as permissões para recursos. |
| InitProcessMD5 | cadeia de caracteres | Hash MD5 do processo (arquivo de imagem) que iniciou o evento. |
| InitProcessParentCreationTime | data e hora | Data e hora em que o pai do processo responsável pelo evento foi iniciado. |
| InitProcessParentFileName | cadeia de caracteres | Nome do processo pai que gerou o processo responsável pelo evento. |
| InitProcessParentId | long | ID do processo (PID) do processo pai que gerou o processo responsável pelo evento. |
| InitProcessSHA1 | cadeia de caracteres | Hash SHA-1 do processo (arquivo de imagem) que iniciou o evento. |
| InitProcessSHA256 | cadeia de caracteres | Hash SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido - use a coluna SHA1 quando disponível. |
| InitProcessTokenElevation | cadeia de caracteres | Tipo de token que indica a presença ou ausência de elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo que iniciou o evento. |
| InitProcessVersionInfoCompanyName | cadeia de caracteres | Nome da empresa das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoFileDescription | cadeia de caracteres | Descrição baseada nas informações da versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoInternalFileName | cadeia de caracteres | Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoOriginalFileName | cadeia de caracteres | Nome do arquivo original das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoProductName | cadeia de caracteres | Nome do produto a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento. |
| InitProcessVersionInfoProductVersion | cadeia de caracteres | Versão do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
| IsAzureInfoProtectionApplied | bool | Indica se o arquivo é criptografado pela Proteção de Informações do Azure. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| Grupo de máquinas | cadeia de caracteres | Grupo de máquinas do computador. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao computador. |
| MD5 | cadeia de caracteres | Hash MD5 do arquivo ao qual a ação gravada foi aplicada. |
| AnteriorNome do arquivo | cadeia de caracteres | Nome original do arquivo que foi renomeado como resultado da ação. |
| PreviousFolderPath | cadeia de caracteres | Pasta original contendo o arquivo antes da aplicação da ação gravada. |
| ReportId | long | Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, essa coluna deve ser usada em conjunto com as colunas ComputerName e EventTime. |
| RequestAccountDomain | cadeia de caracteres | Domínio da conta usada para iniciar remotamente a atividade. |
| SolicitarNomeDaConta | cadeia de caracteres | Nome de usuário da conta usada para iniciar remotamente a atividade. |
| RequestAccountSid | cadeia de caracteres | SID (Identificador de Segurança) da conta usada para iniciar remotamente a atividade. |
| Protocolo de solicitação | cadeia de caracteres | Protocolo de rede, se aplicável, usado para iniciar a atividade: Desconhecido, Local, SMB ou NFS. |
| IP de Origem da Solicitação | cadeia de caracteres | Endereço IPv4 ou IPv6 do dispositivo remoto que iniciou a atividade. |
| PortaOrigemDaSolicitação | INT | Porta de origem no dispositivo remoto que iniciou a atividade. |
| SensitivityLabel | cadeia de caracteres | Rótulo aplicado a um email, arquivo ou outro conteúdo para classificá-lo para proteção de informações. |
| SensitivitySubLabel | cadeia de caracteres | Sub-rótulo aplicado a um e-mail, arquivo ou outro conteúdo para classificá-lo para proteção de informações; Os sub-rótulos de confidencialidade são agrupados em rótulos de confidencialidade, mas são tratados de forma independente. |
| SHA1 | cadeia de caracteres | Hash SHA-1 do arquivo ao qual a ação gravada foi aplicada. |
| SHA256 | cadeia de caracteres | SHA-256 do arquivo ao qual a ação gravada foi aplicada. |
| ShareName | cadeia de caracteres | Nome da pasta compartilhada que contém o arquivo. |
| SourceSystem | cadeia de caracteres | O tipo de agente que coletou o evento. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
| TenantId (ID do Inquilino) | cadeia de caracteres | A ID do workspace do Log Analytics |
| TimeGenerated | data e hora | Data e hora em que o evento foi registrado pelo agente MDE no endpoint. |
| Tipo | cadeia de caracteres | O nome da tabela |