DeviceFileEvents
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Endpoint
A DeviceFileEvents tabela no esquema de investigação avançada contém informações sobre a criação de ficheiros, modificações e outros eventos do sistema de ficheiros. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Sugestão
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo do dispositivo no serviço |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
ActionType |
string |
Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes. |
FileName |
string |
Nome do ficheiro ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o ficheiro ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do ficheiro ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível. |
MD5 |
string |
Hash MD5 do ficheiro ao qual a ação gravada foi aplicada |
FileOriginUrl |
string |
URL a partir do qual o ficheiro foi transferido |
FileOriginReferrerUrl |
string |
URL da página Web que liga ao ficheiro transferido |
FileOriginIP |
string |
Endereço IP a partir do qual o ficheiro foi transferido |
PreviousFolderPath |
string |
Pasta original que contém o ficheiro antes da ação gravada ter sido aplicada |
PreviousFileName |
string |
Nome original do ficheiro cujo nome foi mudado como resultado da ação |
FileSize |
long |
Tamanho do ficheiro em bytes |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de utilizador da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta que executou o processo responsável pelo evento poderá ser apresentado |
InitiatingProcessAccountSid |
string |
Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o UPN do ID de Entra da conta que executou o processo responsável pelo evento poderá ser apresentado |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID de objeto da conta de utilizador que executou o processo responsável pelo evento |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessSHA1 |
string |
SHA-1 do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível. |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do processo que iniciou o evento |
InitiatingProcessFileSize |
long |
Tamanho do processo (ficheiro de imagem) que iniciou o evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome de ficheiro interno das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome de ficheiro original das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento |
InitiatingProcessId |
long |
ID do Processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comandos utilizada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessIntegrityLevel |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões para os recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso de Utilizador (UAC) aplicada ao processo que iniciou o evento |
InitiatingProcessParentId |
long |
ID do Processo (PID) do processo principal que gerou o processo responsável pelo evento |
InitiatingProcessParentFileName |
string |
Nome do processo principal que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o principal do processo responsável pelo evento foi iniciado |
RequestProtocol |
string |
O protocolo de rede, se aplicável, é utilizado para iniciar a atividade: Desconhecido, Local, SMB ou NFS |
RequestSourceIP |
string |
Endereço IPv4 ou IPv6 do dispositivo remoto que iniciou a atividade |
RequestSourcePort |
int |
Porta de origem no dispositivo remoto que iniciou a atividade |
RequestAccountName |
string |
Nome de utilizador da conta utilizada para iniciar remotamente a atividade |
RequestAccountDomain |
string |
Domínio da conta utilizada para iniciar remotamente a atividade |
RequestAccountSid |
string |
Identificador de Segurança (SID) da conta utilizada para iniciar remotamente a atividade |
ShareName |
string |
Nome da pasta partilhada que contém o ficheiro |
SensitivityLabel |
string |
Etiqueta aplicada a um e-mail, ficheiro ou outro conteúdo para classificá-lo para proteção de informações |
SensitivitySubLabel |
string |
Sublabela aplicada a um e-mail, ficheiro ou outro conteúdo para classificá-lo para proteção de informações; as sub-etiquetas de confidencialidade são agrupadas em etiquetas de confidencialidade, mas são tratadas de forma independente |
IsAzureInfoProtectionApplied |
boolean |
Indica se o ficheiro é encriptado pelo Azure Information Protection |
ReportId |
long |
Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser |
AdditionalFields |
string |
Informações adicionais sobre a entidade ou evento |
Nota
As informações do hash de ficheiro serão sempre apresentadas quando estiverem disponíveis. No entanto, existem várias razões possíveis pelas quais um SHA1, SHA256 ou MD5 não pode ser calculado. Por exemplo, o ficheiro pode estar localizado no armazenamento remoto, bloqueado por outro processo, comprimido ou marcado como virtual. Nestes cenários, as informações do hash de ficheiros aparecem vazias.
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários