DeviceFileEvents
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint
Tabellen DeviceFileEvents i det avancerade jaktschemat innehåller information om att skapa filer, ändra och andra filsystemhändelser. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
DeviceId |
string |
Unik identifierare för enheten i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen . |
FileName |
string |
Namnet på filen som den inspelade åtgärden tillämpades på |
FolderPath |
string |
Mapp som innehåller filen som den inspelade åtgärden tillämpades på |
SHA1 |
string |
SHA-1 av filen som den inspelade åtgärden tillämpades på |
SHA256 |
string |
SHA-256 av filen som den registrerade åtgärden tillämpades på. Det här fältet är vanligtvis inte ifyllt – använd sha1-kolumnen när det är tillgängligt. |
MD5 |
string |
MD5-hash för filen som den registrerade åtgärden tillämpades på |
FileOriginUrl |
string |
URL där filen laddades ned från |
FileOriginReferrerUrl |
string |
URL för webbsidan som länkar till den nedladdade filen |
FileOriginIP |
string |
IP-adress där filen laddades ned från |
PreviousFolderPath |
string |
Ursprunglig mapp som innehåller filen innan den inspelade åtgärden tillämpades |
PreviousFileName |
string |
Ursprungligt namn på filen som ändrades till följd av åtgärden |
FileSize |
long |
Filens storlek i byte |
InitiatingProcessAccountDomain |
string |
Domän för det konto som körde processen som ansvarar för händelsen |
InitiatingProcessAccountName |
string |
Användarnamnet för det konto som körde processen som var ansvarig för händelsen. om enheten är registrerad i Microsoft Entra ID kan Användarnamn för Entra-ID för det konto som körde processen som ansvarar för händelsen visas i stället |
InitiatingProcessAccountSid |
string |
Säkerhetsidentifierare (SID) för det konto som körde processen som ansvarar för händelsen |
InitiatingProcessAccountUpn |
string |
Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. om enheten är registrerad i Microsoft Entra ID kan Entra ID UPN för det konto som körde processen som ansvarar för händelsen visas i stället |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra objekt-ID för användarkontot som körde processen som ansvarar för händelsen |
InitiatingProcessMD5 |
string |
MD5-hash för processen (bildfil) som initierade händelsen |
InitiatingProcessSHA1 |
string |
SHA-1 av processen (bildfil) som initierade händelsen |
InitiatingProcessSHA256 |
string |
SHA-256 av processen (bildfil) som initierade händelsen. Det här fältet är vanligtvis inte ifyllt – använd sha1-kolumnen när det är tillgängligt. |
InitiatingProcessFolderPath |
string |
Mapp som innehåller processen (bildfil) som initierade händelsen |
InitiatingProcessFileName |
string |
Namnet på processen som initierade händelsen |
InitiatingProcessFileSize |
long |
Storleken på processen (bildfilen) som initierade händelsen |
InitiatingProcessVersionInfoCompanyName |
string |
Företagsnamn från versionsinformationen för processen (avbildningsfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoProductName |
string |
Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversion från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoOriginalFileName |
string |
Ursprungligt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivning från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessId |
long |
Process-ID (PID) för processen som initierade händelsen |
InitiatingProcessCommandLine |
string |
Kommandorad som används för att köra processen som initierade händelsen |
InitiatingProcessCreationTime |
datetime |
Datum och tid då processen som initierade händelsen startades |
InitiatingProcessIntegrityLevel |
string |
Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser. |
InitiatingProcessTokenElevation |
string |
Tokentyp som anger förekomsten eller avsaknaden av behörighetshöjning för användare Access Control (UAC) som tillämpas på processen som initierade händelsen |
InitiatingProcessParentId |
long |
Process-ID (PID) för den överordnade processen som skapade processen som var ansvarig för händelsen |
InitiatingProcessParentFileName |
string |
Namnet på den överordnade process som skapade processen som ansvarar för händelsen |
InitiatingProcessParentCreationTime |
datetime |
Datum och tid då den överordnade processen som ansvarar för händelsen startades |
RequestProtocol |
string |
Nätverksprotokoll, om tillämpligt, som används för att initiera aktiviteten: Okänd, Lokal, SMB eller NFS |
RequestSourceIP |
string |
IPv4- eller IPv6-adressen för fjärrenheten som initierade aktiviteten |
RequestSourcePort |
int |
Källporten på fjärrenheten som initierade aktiviteten |
RequestAccountName |
string |
Användarnamn för det konto som används för att fjärrinitiering av aktiviteten |
RequestAccountDomain |
string |
Domän för det konto som används för att fjärrinitiering av aktiviteten |
RequestAccountSid |
string |
Säkerhetsidentifierare (SID) för det konto som används för att fjärrinitiering av aktiviteten |
ShareName |
string |
Namnet på den delade mappen som innehåller filen |
SensitivityLabel |
string |
Etikett som tillämpas på ett e-postmeddelande, en fil eller annat innehåll för att klassificera den för informationsskydd |
SensitivitySubLabel |
string |
Underetikett som tillämpas på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det för informationsskydd. känslighetsunderetiketter grupperas under känslighetsetiketter men behandlas oberoende av varandra |
IsAzureInfoProtectionApplied |
boolean |
Anger om filen krypteras av Azure Information Protection |
ReportId |
long |
Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
AppGuardContainerId |
string |
Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet |
AdditionalFields |
string |
Ytterligare information om entiteten eller händelsen |
Obs!
Information om filhash visas alltid när den är tillgänglig. Det finns dock flera möjliga orsaker till varför en SHA1, SHA256 eller MD5 inte kan beräknas. Filen kan till exempel finnas i fjärrlagring, låsas av en annan process, komprimeras eller markeras som virtuell. I dessa scenarier visas filhashinformationen tom.
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för