Поделиться через


DeviceFileEvents

Область применения:

  • Microsoft Defender XDR
  • Microsoft Defender для конечной точки

Таблица DeviceFileEvents в схеме расширенной охоты содержит сведения о создании, изменении файлов и других событиях файловой системы. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
DeviceId string Уникальный идентификатор устройства в службе
DeviceName string Полное доменное имя (FQDN) устройства
ActionType string Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале .
FileName string Имя файла, к которому было применено записанное действие
FolderPath string Папка, содержащая файл, к которому было применено записанное действие
SHA1 string SHA-1 файла, к которому было применено записанное действие
SHA256 string SHA-256 файла, к которому было применено записанное действие Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.
MD5 string Хэш MD5 файла, к которому было применено записанное действие
FileOriginUrl string URL-адрес, из которого был скачан файл
FileOriginReferrerUrl string URL-адрес веб-страницы, ссылающейся на скачанный файл
FileOriginIP string IP-адрес, с которого был скачан файл
PreviousFolderPath string Исходная папка, содержащая файл до применения записанного действия
PreviousFileName string Исходное имя файла, переименованного в результате действия
FileSize long Размер файла в байтах
InitiatingProcessAccountDomain string Домен учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountName string Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи, которая выполнила процесс, ответственный за событие.
InitiatingProcessAccountSid string Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountUpn string Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя участника-пользователя Entra ID для учетной записи, которая выполнила процесс, отвечающий за событие.
InitiatingProcessAccountObjectId string Microsoft Entra идентификатор объекта учетной записи пользователя, запустившего процесс, отвечающий за событие
InitiatingProcessMD5 string Хэш MD5 процесса (файла образа), который инициировал событие
InitiatingProcessSHA1 string SHA-1 процесса (файла изображения), который инициировал событие
InitiatingProcessSHA256 string SHA-256 процесса (файла изображения), который инициировал событие. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.
InitiatingProcessFolderPath string Папка, содержащая процесс (файл изображения), который инициировал событие
InitiatingProcessFileName string Имя файла процесса, который инициировал событие; Если он недоступен, вместо него может отображаться имя процесса, который инициировал событие.
InitiatingProcessFileSize long Размер процесса (файла изображения), который инициировал событие
InitiatingProcessVersionInfoCompanyName string Название компании из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoProductName string Название продукта из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoProductVersion string Версия продукта из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoInternalFileName string Внутреннее имя файла из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoOriginalFileName string Исходное имя файла из сведений о версии процесса (файл изображения), ответственного за событие
InitiatingProcessVersionInfoFileDescription string Описание из сведений о версии процесса (файла изображения), ответственного за событие
InitiatingProcessId long Идентификатор процесса (PID) процесса, который инициировал событие
InitiatingProcessCommandLine string Командная строка, используемая для запуска процесса, который инициировал событие
InitiatingProcessCreationTime datetime Дата и время запуска процесса, инициирующего событие
InitiatingProcessIntegrityLevel string Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов.
InitiatingProcessTokenElevation string Тип маркера, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к процессу, который инициировал событие
InitiatingProcessParentId long Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие
InitiatingProcessParentFileName string Имя родительского процесса, который породил процесс, отвечающий за событие
InitiatingProcessParentCreationTime datetime Дата и время запуска родительского элемента процесса, ответственного за событие
RequestProtocol string Сетевой протокол , если применимо, используемый для инициации действия: Unknown, Local, SMB или NFS
RequestSourceIP string IPv4 или IPv6-адрес удаленного устройства, которое инициировало действие
RequestSourcePort int Исходный порт на удаленном устройстве, которое инициировало действие
RequestAccountName string Имя пользователя учетной записи, используемой для удаленного запуска действия
RequestAccountDomain string Домен учетной записи, используемой для удаленного запуска действия
RequestAccountSid string Идентификатор безопасности (SID) учетной записи, используемой для удаленного запуска действия
ShareName string Имя общей папки, содержащей файл
SensitivityLabel string Метка, применяемая к электронной почте, файлу или другому содержимому для классификации для защиты информации
SensitivitySubLabel string Вложенные метки, применяемые к электронной почте, файлу или другому содержимому для классификации для защиты информации; вложенные метки конфиденциальности группируются по меткам конфиденциальности, но обрабатываются независимо
IsAzureInfoProtectionApplied boolean Указывает, шифруется ли файл azure Information Protection
ReportId long Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp.
AppGuardContainerId string Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера
AdditionalFields string Дополнительные сведения о сущности или событии
InitiatingProcessSessionId long Идентификатор сеанса Windows для инициации процесса
IsInitiatingProcessRemoteSession bool Указывает, был ли процесс инициации запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false).
InitiatingProcessRemoteSessionDeviceName string Имя устройства удаленного устройства, с которого был инициирован сеанс RDP процесса инициации
InitiatingProcessRemoteSessionIP string IP-адрес удаленного устройства, с которого был инициирован сеанс RDP процесса инициации

Примечание.

Сведения о хэш-файле всегда будут отображаться, когда они доступны. Однако существует несколько возможных причин, по которым не удается вычислить SHA1, SHA256 или MD5. Например, файл может находиться в удаленном хранилище, блокироваться другим процессом, сжиматься или помечаться как виртуальный. В этих сценариях сведения о хэшахе файла кажутся пустыми.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.