Aracılığıyla paylaş


DeviceFileEvents

Şunlar için geçerlidir:

  • Microsoft Defender XDR
  • Uç Nokta için Microsoft Defender

Gelişmiş DeviceFileEventstehdit avcılığı şemasındaki tablo, dosya oluşturma, değiştirme ve diğer dosya sistemi olayları hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.

İpucu

Bir tablo tarafından desteklenen olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.

Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.

Sütun adı Veri türü Açıklama
Timestamp datetime Olayın kaydedilildiği tarih ve saat
DeviceId string Hizmetteki cihaz için benzersiz tanımlayıcı
DeviceName string Cihazın tam etki alanı adı (FQDN)
ActionType string Olayı tetikleyen etkinlik türü. Ayrıntılar için portal içi şema başvurusuna bakın.
FileName string Kaydedilen eylemin uygulandığı dosyanın adı
FolderPath string Kaydedilen eylemin uygulandığı dosyayı içeren klasör
SHA1 string Kaydedilen eylemin uygulandığı dosyanın SHA-1
SHA256 string Kaydedilen eylemin uygulandığı dosyanın SHA-256'sı. Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın.
MD5 string Kaydedilen eylemin uygulandığı dosyanın MD5 karması
FileOriginUrl string Dosyanın indirildiği URL
FileOriginReferrerUrl string İndirilen dosyaya bağlanan web sayfasının URL'si
FileOriginIP string Dosyanın indirildiği IP adresi
PreviousFolderPath string Kaydedilen eylem uygulanmadan önce dosyayı içeren özgün klasör
PreviousFileName string Eylemin sonucu olarak yeniden adlandırılan dosyanın özgün adı
FileSize long Dosyanın bayt cinsinden boyutu
InitiatingProcessAccountDomain string Olaydan sorumlu işlemi çalıştıran hesabın etki alanı
InitiatingProcessAccountName string Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı adı; cihaz Microsoft Entra ID kayıtlıysa, bunun yerine olaydan sorumlu işlemi çalıştıran hesabın Entra Id kullanıcı adı gösterilebilir
InitiatingProcessAccountSid string Olaydan sorumlu işlemi çalıştıran hesabın Güvenlik Tanımlayıcısı (SID)
InitiatingProcessAccountUpn string Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı asıl adı (UPN); cihaz Microsoft Entra ID kayıtlıysa, bunun yerine olaydan sorumlu işlemi çalıştıran hesabın Entra ID UPN'si gösterilebilir
InitiatingProcessAccountObjectId string Olaydan sorumlu işlemi çalıştıran kullanıcı hesabının nesne kimliğini Microsoft Entra
InitiatingProcessMD5 string Olayı başlatan işlemin MD5 karması (görüntü dosyası)
InitiatingProcessSHA1 string Olayı başlatan işlemin SHA-1 'i (görüntü dosyası)
InitiatingProcessSHA256 string Olayı başlatan işlemin SHA-256'sı (görüntü dosyası). Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın.
InitiatingProcessFolderPath string Olayı başlatan işlemi (görüntü dosyası) içeren klasör
InitiatingProcessFileName string Olayı başlatan işlem dosyasının adı; kullanılamıyorsa, bunun yerine olayı başlatan işlemin adı gösterilebilir
InitiatingProcessFileSize long Olayı başlatan işlemin boyutu (görüntü dosyası)
InitiatingProcessVersionInfoCompanyName string Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) şirket adı
InitiatingProcessVersionInfoProductName string Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün adı
InitiatingProcessVersionInfoProductVersion string Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün sürümü
InitiatingProcessVersionInfoInternalFileName string Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) iç dosya adı
InitiatingProcessVersionInfoOriginalFileName string Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) özgün dosya adı
InitiatingProcessVersionInfoFileDescription string Olaydan sorumlu işlemin sürüm bilgilerinden açıklama (görüntü dosyası)
InitiatingProcessId long Olayı başlatan işlemin İşlem Kimliği (PID)
InitiatingProcessCommandLine string Olayı başlatan işlemi çalıştırmak için kullanılan komut satırı
InitiatingProcessCreationTime datetime Olayı başlatan işlemin başlatıldığı tarih ve saat
InitiatingProcessIntegrityLevel string Olayı başlatan işlemin bütünlük düzeyi. Windows, bir internet indirmesinden başlatılmış olmaları gibi belirli özelliklere göre işlemlere bütünlük düzeyleri atar. Bu bütünlük düzeyleri kaynaklara yönelik izinleri etkiler.
InitiatingProcessTokenElevation string Olayı başlatan işleme uygulanan Kullanıcı Access Control (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç türü
InitiatingProcessParentId long Olaydan sorumlu işlemi oluşturan üst işlemin İşlem Kimliği (PID)
InitiatingProcessParentFileName string Olaydan sorumlu işlemi oluşturan üst işlemin adı
InitiatingProcessParentCreationTime datetime Olaydan sorumlu işlemin üst öğesinin başlatıldığı tarih ve saat
RequestProtocol string Varsa, etkinliği başlatmak için kullanılan ağ protokolü: Bilinmiyor, Yerel, SMB veya NFS
RequestSourceIP string Etkinliği başlatan uzak cihazın IPv4 veya IPv6 adresi
RequestSourcePort int Etkinliği başlatan uzak cihazda kaynak bağlantı noktası
RequestAccountName string Etkinliği uzaktan başlatmak için kullanılan hesabın kullanıcı adı
RequestAccountDomain string Etkinliği uzaktan başlatmak için kullanılan hesabın etki alanı
RequestAccountSid string Etkinliği uzaktan başlatmak için kullanılan hesabın Güvenlik Tanımlayıcısı (SID)
ShareName string Dosyayı içeren paylaşılan klasörün adı
SensitivityLabel string Bir e-postaya, dosyaya veya diğer içeriğe uygulanan etiket, bu içeriği bilgi koruması için sınıflandırmak için
SensitivitySubLabel string E-postaya, dosyaya veya diğer içeriğe uygulanan alt etiket, bunu bilgi koruması için sınıflandırmak için; duyarlılık alt etiketleri duyarlılık etiketleri altında gruplandırılır ancak bağımsız olarak işlenir
IsAzureInfoProtectionApplied boolean Dosyanın Azure Information Protection tarafından şifrelenip şifrelenmediğini gösterir
ReportId long Yinelenen sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun DeviceName ve Timestamp sütunlarıyla birlikte kullanılması gerekir.
AppGuardContainerId string tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı
AdditionalFields string Varlık veya olay hakkında ek bilgi
InitiatingProcessSessionId long Başlatma işleminin Windows oturum kimliği
IsInitiatingProcessRemoteSession bool Başlatma işleminin uzak masaüstü protokolü (RDP) oturumu altında mı (true) yoksa yerel olarak mı (false) çalıştırıldığını gösterir
InitiatingProcessRemoteSessionDeviceName string Başlatma işleminin RDP oturumunun başlatıldığı uzak cihazın cihaz adı
InitiatingProcessRemoteSessionIP string Başlatma işleminin RDP oturumunun başlatıldığı uzak cihazın IP adresi

Not

Dosya karması bilgileri her zaman kullanılabilir olduğunda gösterilir. Ancak SHA1, SHA256 veya MD5'in hesaplanamamasının birkaç olası nedeni vardır. Örneğin, dosya uzak depolama alanında, başka bir işlem tarafından kilitlenmiş, sıkıştırılmış veya sanal olarak işaretlenmiş olabilir. Bu senaryolarda, dosya karması bilgileri boş görünür.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.