DeviceFileEvents
Bu tablo, Azure Sentinel ile Uç Noktalar için Microsoft Defender'nin bir parçasıdır. Bu tablo dosya oluşturma, değiştirme ve diğer dosya sistemi olaylarını içerir.
Tablo öznitelikleri
Öznitelik | Değer |
---|---|
Kaynak türleri | - |
Kategoriler | Güvenlik |
Çözümler | SecurityInsights |
Temel günlük | No |
Alım zamanı dönüşümü | Yes |
Örnek Sorgular | - |
Sütunlar
Sütun | Tür | Description |
---|---|---|
EylemTürü | string | Olayı tetikleyen etkinlik türü. |
EkAlanlar | dynamic | Varlık veya olay hakkında ek bilgiler. |
AppGuardContainerId | string | tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı. |
_BilledSize | real | Bayt cinsinden kayıt boyutu |
DeviceId | string | Hizmetteki cihazın benzersiz tanımlayıcısı. |
DeviceName | string | Cihazın tam etki alanı adı (FQDN). |
FileName | string | Kaydedilen eylemin uygulandığı dosyanın adı. |
FileOriginIP | string | Dosyanın indirildiği IP adresi. |
FileOriginReferrerUrl | string | İndirilen dosyaya bağlanan web sayfasının URL'si. |
FileOriginUrl | string | Dosyanın indirildiği URL. |
Filesize | long | Dosyanın bayt cinsinden boyutu. |
FolderPath | string | Kaydedilen eylemin uygulandığı dosyayı içeren klasör. |
InitiatingProcessAccountDomain | string | Olaydan sorumlu işlemi çalıştıran hesabın etki alanı. |
InitiatingProcessAccountName | string | Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı adı. |
InitiatingProcessAccountObjectId | string | Olaydan sorumlu işlemi çalıştıran kullanıcı hesabının nesne kimliğini Azure AD. |
InitiatingProcessAccountSid | string | Olaydan sorumlu işlemi çalıştıran hesabın Güvenlik Tanımlayıcısı (SID). |
InitiatingProcessAccountUpn | string | Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı asıl adı (UPN). |
InitiatingProcessCommandLine | string | Olayı başlatan işlemi çalıştırmak için kullanılan komut satırı. |
InitiatingProcessCreationTime | datetime | Olayı başlatan işlemin başlatıldığı tarih ve saat. |
InitiatingProcessFileName | string | Olayı başlatan işlemin adı. |
InitiatingProcessFileSize | long | Olayı başlatan işlemin (görüntü dosyası) bayt cinsinden boyutu. |
InitiatingProcessFolderPath | string | Olayı başlatan işlemi (görüntü dosyası) içeren klasör. |
InitiatingProcessId | long | Olayı başlatan işlemin İşlem Kimliği (PID). |
InitiatingProcessIntegrityLevel | string | Olayı başlatan işlemin bütünlük düzeyi. Windows, işlemlere bir internet indirmesinden başlatılmış gibi belirli özelliklere göre bütünlük düzeyleri atar. Bu bütünlük düzeyleri, kaynaklara yönelik izinleri etkiler. |
InitiatingProcessMD5 | string | Olayı başlatan işlemin (görüntü dosyası) MD5 karması. |
InitiatingProcessParentCreationTime | datetime | Olaydan sorumlu işlemin üst öğesinin başlatıldığı tarih ve saat. |
InitiatingProcessParentFileName | string | Olaydan sorumlu işlemi oluşturan üst işlemin adı. |
InitiatingProcessParentId | long | Olaydan sorumlu işlemi oluşturan üst işlemin İşlem Kimliği (PID). |
InitiatingProcessSHA1 | string | Olayı başlatan işlemin (görüntü dosyası) SHA-1 karması. |
InitiatingProcessSHA256 | string | Olayı başlatan işlemin (görüntü dosyası) SHA-256 karması. Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın. |
InitiatingProcessTokenElevation | string | Olayı başlatan işleme kullanıcı Access Control (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç türü. |
InitiatingProcessVersionInfoCompanyName | string | Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) şirket adı. |
InitiatingProcessVersionInfoFileDescription | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) açıklama. |
InitiatingProcessVersionInfoInternalFileName | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) iç dosya adı. |
InitiatingProcessVersionInfoOriginalFileName | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) özgün dosya adı. |
InitiatingProcessVersionInfoProductName | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün adı. |
InitiatingProcessVersionInfoProductVersion | string | Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün sürümü. |
IsAzureInfoProtectionApplied | bool | Dosyanın Azure Information Protection tarafından şifrelenip şifrelenmediğini gösterir. |
_IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
MachineGroup | string | Makinenin makine grubu. Bu grup, makineye erişimi belirlemek için rol tabanlı erişim denetimi tarafından kullanılır. |
MD5 | string | Kaydedilen eylemin uygulandığı dosyanın MD5 karması. |
PreviousFileName | string | Eylemin sonucu olarak yeniden adlandırılan dosyanın özgün adı. |
PreviousFolderPath | string | Kaydedilen eylem uygulanmadan önce dosyayı içeren özgün klasör. |
ReportId | long | Yinelenen bir sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun ComputerName ve EventTime sütunlarıyla birlikte kullanılması gerekir. |
RequestAccountDomain | string | Etkinliği uzaktan başlatmak için kullanılan hesabın etki alanı. |
RequestAccountName | string | Etkinliği uzaktan başlatmak için kullanılan hesabın kullanıcı adı. |
RequestAccountSid | string | Etkinliği uzaktan başlatmak için kullanılan hesabın Güvenlik Tanımlayıcısı (SID). |
RequestProtocol | string | Varsa, etkinliği başlatmak için kullanılan ağ protokolü: Bilinmiyor, Yerel, SMB veya NFS. |
RequestSourceIP | string | Etkinliği başlatan uzak cihazın IPv4 veya IPv6 adresi. |
RequestSourcePort | int | Etkinliği başlatan uzak cihazda kaynak bağlantı noktası. |
SensitivityLabel | string | E-postaya, dosyaya veya diğer içeriğe uygulanan etiket, bu içeriği bilgi koruması için sınıflandırmak için kullanılır. |
SensitivitySubLabel | string | Bir e-postaya, dosyaya veya diğer içeriğe uygulanan alt etiket, bu içeriği bilgi koruması için sınıflandırmak için; duyarlılık alt etiketleri duyarlılık etiketleri altında gruplandırılır ancak bağımsız olarak işlenir. |
SHA1 | string | Kaydedilen eylemin uygulandığı dosyanın SHA-1 karması. |
SHA256 | string | Kaydedilen eylemin uygulandığı dosyanın SHA-256'sı. |
Paylaşımadı | string | Dosyayı içeren paylaşılan klasörün adı. |
SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
TenantId | string | Log Analytics çalışma alanı kimliği |
TimeGenerated | datetime | Olayın uç noktada MDE aracısı tarafından kaydedildiği tarih ve saat. |
Tür | string | Tablonun adı |
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin