Partilhar via


DeviceFileEvents

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Defender para Endpoint

A DeviceFileEvents tabela no esquema de investigação avançada contém informações sobre a criação de ficheiros, modificações e outros eventos do sistema de ficheiros. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Sugestão

Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
DeviceId string Identificador exclusivo do dispositivo no serviço
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
ActionType string Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes.
FileName string Nome do ficheiro ao qual a ação gravada foi aplicada
FolderPath string Pasta que contém o ficheiro ao qual a ação gravada foi aplicada
SHA1 string SHA-1 do ficheiro ao qual a ação gravada foi aplicada
SHA256 string SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível.
MD5 string Hash MD5 do ficheiro ao qual a ação gravada foi aplicada
FileOriginUrl string URL a partir do qual o ficheiro foi transferido
FileOriginReferrerUrl string URL da página Web que liga ao ficheiro transferido
FileOriginIP string Endereço IP a partir do qual o ficheiro foi transferido
PreviousFolderPath string Pasta original que contém o ficheiro antes da ação gravada ter sido aplicada
PreviousFileName string Nome original do ficheiro cujo nome foi mudado como resultado da ação
FileSize long Tamanho do ficheiro em bytes
InitiatingProcessAccountDomain string Domínio da conta que executou o processo responsável pelo evento
InitiatingProcessAccountName string Nome de utilizador da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o nome de utilizador do Entra ID da conta que executou o processo responsável pelo evento poderá ser apresentado
InitiatingProcessAccountSid string Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento
InitiatingProcessAccountUpn string Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento; se o dispositivo estiver registado no Microsoft Entra ID, o UPN do ID de Entra da conta que executou o processo responsável pelo evento poderá ser apresentado
InitiatingProcessAccountObjectId string Microsoft Entra ID de objeto da conta de utilizador que executou o processo responsável pelo evento
InitiatingProcessMD5 string Hash MD5 do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessSHA1 string SHA-1 do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessSHA256 string SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Normalmente, este campo não é preenchido — utilize a coluna SHA1 quando estiver disponível.
InitiatingProcessFolderPath string Pasta que contém o processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessFileName string Nome do ficheiro de processo que iniciou o evento; se não estiver disponível, o nome do processo que iniciou o evento poderá ser apresentado
InitiatingProcessFileSize long Tamanho do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessVersionInfoCompanyName string Nome da empresa a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoProductName string Nome do produto das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoProductVersion string Versão do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoInternalFileName string Nome de ficheiro interno das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoOriginalFileName string Nome de ficheiro original das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoFileDescription string Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessId long ID do Processo (PID) do processo que iniciou o evento
InitiatingProcessCommandLine string Linha de comandos utilizada para executar o processo que iniciou o evento
InitiatingProcessCreationTime datetime Data e hora em que o processo que iniciou o evento foi iniciado
InitiatingProcessIntegrityLevel string Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões para os recursos.
InitiatingProcessTokenElevation string Tipo de token que indica a presença ou ausência da elevação de privilégios do Controlo de Acesso de Utilizador (UAC) aplicada ao processo que iniciou o evento
InitiatingProcessParentId long ID do Processo (PID) do processo principal que gerou o processo responsável pelo evento
InitiatingProcessParentFileName string Nome do processo principal que gerou o processo responsável pelo evento
InitiatingProcessParentCreationTime datetime Data e hora em que o principal do processo responsável pelo evento foi iniciado
RequestProtocol string O protocolo de rede, se aplicável, é utilizado para iniciar a atividade: Desconhecido, Local, SMB ou NFS
RequestSourceIP string Endereço IPv4 ou IPv6 do dispositivo remoto que iniciou a atividade
RequestSourcePort int Porta de origem no dispositivo remoto que iniciou a atividade
RequestAccountName string Nome de utilizador da conta utilizada para iniciar remotamente a atividade
RequestAccountDomain string Domínio da conta utilizada para iniciar remotamente a atividade
RequestAccountSid string Identificador de Segurança (SID) da conta utilizada para iniciar remotamente a atividade
ShareName string Nome da pasta partilhada que contém o ficheiro
SensitivityLabel string Etiqueta aplicada a um e-mail, ficheiro ou outro conteúdo para classificá-lo para proteção de informações
SensitivitySubLabel string Sublabela aplicada a um e-mail, ficheiro ou outro conteúdo para classificá-lo para proteção de informações; as sub-etiquetas de confidencialidade são agrupadas em etiquetas de confidencialidade, mas são tratadas de forma independente
IsAzureInfoProtectionApplied boolean Indica se o ficheiro é encriptado pelo Azure Information Protection
ReportId long Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp.
AppGuardContainerId string Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser
AdditionalFields string Informações adicionais sobre a entidade ou evento
InitiatingProcessSessionId long ID de sessão do Windows do processo de início
IsInitiatingProcessRemoteSession bool Indica se o processo de início foi executado numa sessão de protocolo de ambiente de trabalho remoto (RDP) (verdadeiro) ou localmente (falso)
InitiatingProcessRemoteSessionDeviceName string Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início
InitiatingProcessRemoteSessionIP string Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início

Nota

As informações do hash de ficheiro serão sempre apresentadas quando estiverem disponíveis. No entanto, existem várias razões possíveis pelas quais um SHA1, SHA256 ou MD5 não pode ser calculado. Por exemplo, o ficheiro pode estar localizado no armazenamento remoto, bloqueado por outro processo, comprimido ou marcado como virtual. Nestes cenários, as informações do hash de ficheiros aparecem vazias.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.