DeviceFileEvents
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
A DeviceFileEvents tabela no esquema de investigação avançada contém informações sobre a criação de ficheiros, modificações e outros eventos do sistema de ficheiros. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo do dispositivo no serviço |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
ActionType |
string |
Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes. |
FileName |
string |
Nome do arquivo ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o ficheiro ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do arquivo ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do arquivo ao qual a ação gravada foi aplicada. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
MD5 |
string |
Hash MD5 do ficheiro ao qual a ação gravada foi aplicada |
FileOriginUrl |
string |
URL a partir do qual o ficheiro foi transferido |
FileOriginReferrerUrl |
string |
URL da página Web que liga ao ficheiro transferido |
FileOriginIP |
string |
Endereço IP a partir do qual o ficheiro foi transferido |
PreviousFolderPath |
string |
Pasta original que contém o ficheiro antes da ação gravada ter sido aplicada |
PreviousFileName |
string |
Nome original do ficheiro cujo nome foi mudado como resultado da ação |
FileSize |
long |
Tamanho do ficheiro em bytes |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de utilizador da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta que executou o processo responsável pelo evento poderá ser apresentado |
InitiatingProcessAccountSid |
string |
Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o UPN do ID de Entra da conta que executou o processo responsável pelo evento poderá ser apresentado |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID de objeto da conta de utilizador que executou o processo responsável pelo evento |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessSHA1 |
string |
SHA-1 do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Esse campo geralmente não é preenchido; use a coluna SHA1 quando disponível. |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do ficheiro de processo que iniciou o evento; se não estiver disponível, o nome do processo que iniciou o evento poderá ser apresentado |
InitiatingProcessFileSize |
long |
Tamanho do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome de ficheiro interno das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome de ficheiro original das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessId |
long |
ID do Processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comandos utilizada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessIntegrityLevel |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões para os recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégios do Controle de Acesso de Utilizador (UAC) aplicada ao processo que iniciou o evento |
InitiatingProcessParentId |
long |
ID do Processo (PID) do processo principal que gerou o processo responsável pelo evento |
InitiatingProcessParentFileName |
string |
Nome do processo principal que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o principal do processo responsável pelo evento foi iniciado |
RequestProtocol |
string |
O protocolo de rede, se aplicável, é utilizado para iniciar a atividade: Desconhecido, Local, SMB ou NFS |
RequestSourceIP |
string |
Endereço IPv4 ou IPv6 do dispositivo remoto que iniciou a atividade |
RequestSourcePort |
int |
Porta de origem no dispositivo remoto que iniciou a atividade |
RequestAccountName |
string |
Nome de utilizador da conta utilizada para iniciar remotamente a atividade |
RequestAccountDomain |
string |
Domínio da conta utilizada para iniciar remotamente a atividade |
RequestAccountSid |
string |
Identificador de Segurança (SID) da conta utilizada para iniciar remotamente a atividade |
ShareName |
string |
Nome da pasta partilhada que contém o ficheiro |
SensitivityLabel |
string |
Etiqueta aplicada a um e-mail, ficheiro ou outro conteúdo para classificá-lo para proteção de informações |
SensitivitySubLabel |
string |
Sublabela aplicada a um e-mail, ficheiro ou outro conteúdo para classificá-lo para proteção de informações; as sub-etiquetas de confidencialidade são agrupadas em etiquetas de confidencialidade, mas são tratadas de forma independente |
IsAzureInfoProtectionApplied |
boolean |
Indica se o ficheiro é encriptado pelo Azure Proteção de Informações |
ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser |
AdditionalFields |
string |
Informações adicionais sobre a entidade ou evento |
InitiatingProcessSessionId |
long |
ID de sessão do Windows do processo de início |
IsInitiatingProcessRemoteSession |
bool |
Indica se o processo de início foi executado numa sessão de protocolo de ambiente de trabalho remoto (RDP) (verdadeiro) ou localmente (falso) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início |
InitiatingProcessRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início |
Observação
As informações do hash de ficheiro serão sempre apresentadas quando estiverem disponíveis. No entanto, existem várias razões possíveis pelas quais um SHA1, SHA256 ou MD5 não pode ser calculado. Por exemplo, o ficheiro pode estar localizado no armazenamento remoto, bloqueado por outro processo, comprimido ou marcado como virtual. Nestes cenários, as informações do hash de ficheiros aparecem vazias.
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.