Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Denna tabell är en del av Microsoft Defender for Endpoints för scenariot Custom Collection. Denna tabell innehåller information om filskapande, filändringar och andra händelser i filsystemet som uttryckligen begärts av kunden för insamling.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Transformering vid intagningstid | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Åtgärdstyp | snöre | Typ av aktivitet som utlöste händelsen. |
| Ytterligare fält | dynamisk | Ytterligare information om entiteten eller händelsen. |
| Behållar-ID för AppGuard | snöre | Identifierare för den virtualiserade behållaren som används av Application Guard för att isolera webbläsaraktivitet. |
| _Fakturastorlek | verklig | Poststorleken i byte |
| DeviceId | snöre | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | snöre | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| Filnamn | snöre | Namnet på filen som den inspelade åtgärden tillämpades på. |
| FilUrsprungsIP | snöre | IP-adress där filen hämtades från. |
| FilUrsprungReferensUrl | snöre | URL för webbsidan som länkar till den nedladdade filen. |
| FileUrsprungsUrl | snöre | URL där filen laddades ner från. |
| Filstorlek | lång | Filens storlek i byte. |
| Mappsökväg | snöre | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| InitProcessAccountDomain | snöre | Domänen för kontot som körde processen ansvarig för händelsen. |
| InitProcessAccountName | snöre | Användarnamn för kontot som körde processen ansvarig för händelsen. |
| InitProcessAccountObjectId | snöre | Azure AD-objekt-ID för det användarkonto som körde processen som var ansvarig för händelsen. |
| InitProcessAccountSid | snöre | Säkerhetsidentifierare (SID) för kontot som körde processen ansvarig för händelsen. |
| InitProcessAccountUpn | snöre | Användarens huvudnamn (UPN) för kontot som körde processen ansvarig för händelsen. |
| InitProcessCommandLine | snöre | Kommandoraden som användes för att köra processen som initierade händelsen. |
| InitProcessCreationTime | datum och tid | Datum och tid när processen som initierade händelsen startades. |
| InitProcessFileName | snöre | Namnet på processen som initierade händelsen. |
| InitProcessFileSize | lång | Storlek i byte av den process (bildfil) som initierade händelsen. |
| InitProcessFolderPath | snöre | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| InitProcessId | lång | Process-ID (PID) för processen som initierade händelsen. |
| InitieringsProcessIntegritetsNivå | snöre | Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en nedladdning från internet. Dessa integritetsnivåer påverkar behörigheter till resurser. |
| InitProcessMD5 | snöre | MD5-hash av processen (bildfilen) som initierade händelsen. |
| InitProcessParentCreationTime | datum och tid | Datum och tid när föräldern till processen som är ansvarig för händelsen startades. |
| InitProcessParentFileName | snöre | Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitProcessFöräldraId | lång | Process-ID (PID) för den överordnade processen som skapade processen ansvarig för händelsen. |
| InitProcessSHA1 | snöre | SHA-1-hash av processen (bildfilen) som initierade händelsen. |
| InitProcessSHA256 | snöre | SHA-256-hash av processen (bildfilen) som initierade händelsen. Detta fält är vanligtvis inte ifyllt - använd kolumnen SHA1 när den är tillgänglig. |
| InitProcessTokenElevation | snöre | Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den process som initierade händelsen. |
| InitProcessVersionInfoFöretagsnamn | snöre | Företagsnamn från versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| InitProcessVersionInfoFileDescription | snöre | Beskrivning från versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| InitProcessVersionInfoInternalFileName | snöre | Internt filnamn från versionsinformationen för den process (bildfil) som ansvarar för händelsen. |
| InitProcessVersionInfoOriginalFileName | snöre | Ursprungligt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| InitProcessVersionInfoProduktNamn | snöre | Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| InitProcessVersionInfoProductVersion | snöre | Produktversion från versionsinformationen i processen (image file) som är ansvarig för händelsen. |
| ÄrAzureInfoProtectionTillämpad | Bool | Anger om filen krypteras av Azure Information Protection. |
| _ÄrFakturabar | snöre | Anger om datainhämtning är debiterbar. När _IsBillable är false debiteras inte intagning på ditt Azure-konto. |
| MachineGroup | snöre | Maskingrupp för maskinen. Denna grupp används av rollbaserad åtkomstkontroll för att bestämma åtkomst till maskinen. |
| MD5 | snöre | MD5-hash av filen som den registrerade handlingen tillämpades på. |
| TidigareFilnamn | snöre | Originalnamnet på filen som byttes namn på som ett resultat av åtgärden. |
| PreviousFolderPath | snöre | Ursprunglig mapp som innehöll filen innan den registrerade åtgärden tillämpades. |
| ReportId | lång | Händelseidentifierare baserat på en återkommande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna ComputerName och EventTime. |
| BegärKontodomän | snöre | Domänen för det konto som används för att initiera aktiviteten på distans. |
| BegärKontonamn | snöre | Användarnamnet för det konto som används för att fjärrinitiering av aktiviteten. |
| Begär KontoSID | snöre | Säkerhetsidentifierare (SID) för det konto som används för att initiera aktiviteten på distans. |
| Förfrågningsprotokoll | snöre | Nätverksprotokoll, om tillämpligt, som används för att initiera aktiviteten: Okänd, Lokal, SMB eller NFS. |
| RequestSourceIP | snöre | IPv4- eller IPv6-adress för den fjärrenhet som initierade aktiviteten. |
| RequestSourcePort | Int | Källport på den fjärrenhet som initierade aktiviteten. |
| Känslighetsetikett | snöre | En etikett som appliceras på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det för informationsskydd. |
| KänslighetsUnderetikett | snöre | Underetikett tillämpad på ett e-postmeddelande, fil eller annat innehåll för att klassificera det för informationsskydd; känslighetsunderetiketter grupperas under känslighetsetiketter men hanteras oberoende. |
| SHA1 | snöre | SHA-1-hash av filen som den registrerade åtgärden tillämpades på. |
| SHA256 | snöre | SHA-256 av filen som den registrerade åtgärden tillämpades på. |
| Namnpådelning | snöre | Namn på den delade mappen som innehåller filen. |
| SourceSystem | snöre | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Hyresgivares-id | snöre | Logganalys-arbetsytans-ID |
| Tidpunkt för generering | datum och tid | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Typ | snöre | Tabellens namn |