MDCFileIntegrityMonitoringEvents
查看 Windows 和 Linux 文件以及软件注册表项的更改。 此表中的事件由 Microsoft Defender for Endpoint (MDE) 收集。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | LogManagement |
| 基本日志 | 否 |
| 引入时间转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AADTenantID | 字符串 | 在其中创建、重命名、修改或删除受监视实体的订阅的 AAD 租户 ID。 |
| AzureResourceId | 字符串 | 创建、重命名、修改或删除受监视实体的资源的 Azure 资源 ID。 |
| _BilledSize | real | 记录大小(以字节为单位) |
| ChangeType | 字符串 | 实体上发生的更改类型。 对于“File”,实体必须是“Created”、“Modified”、“Renamed”或“Deleted”。 对于“Registry”,实体必须是“RegistryKeyCreated”、“RegistryKeyDeleted”、“RegistryValueSet”、“RegistryValueDeleted”、“RegistryKeyRenamed”。 |
| CloudIdentifier | 字符串 | 资源的云标识符。 |
| CloudProvider | 字符串 | 资源的云提供程序。 |
| CloudResourceType | 字符串 | 云资源的类型。 |
| Computer | string | 创建、重命名、修改或删除受监视实体的计算机的名称。 |
| FileMd5 | 字符串 | 与受监视的“文件”实体类型相关。 保存已修改、创建或删除的文件的 MD5。 |
| FileName | string | 与受监视的“文件”实体类型相关。 保存已创建、重命名、修改或删除的文件的名称。 |
| 文件路径 | 字符串 | 与受监视的“文件”实体类型相关。 保存创建、重命名、修改或删除的文件的路径。 |
| FileSha1 | 字符串 | 与受监视的“文件”实体类型相关。 保存已修改、创建或删除的文件的 SHA1。 |
| FileSha256 | 字符串 | 与受监视的“文件”实体类型相关。 保留修改、创建或删除的文件的 SHA256。 |
| FileSize | long | 与受监视的“文件”实体类型相关。 保留创建、重命名、修改或删除的文件) 当前大小 ((以字节为单位)。 |
| FileType | 字符串 | 与受监视的“文件”实体类型相关。 保存已创建、重命名、修改或删除的文件的类型。 可能值的示例:Zip、PDF、Xar 等。 |
| InitiatingProcessAccountDomainName | 字符串 | 保留导致受监视实体事件的启动进程的帐户域名。 |
| InitiatingProcessAccountName | 字符串 | 保留导致受监视实体事件的启动进程的帐户名称。 |
| InitiatingProcessAccountSid | 字符串 | 保留导致受监视实体事件的启动进程的帐户 SID。 |
| InitiatingProcessCreationTime | datetime | 保留导致受监视实体事件的启动进程的创建时间。 |
| InitiatingProcessFirstSeen | datetime | 保留导致受监视实体事件的启动进程的首次出现时间。 |
| InitiatingProcessId | long | 保留导致受监视实体事件的启动进程的进程 ID。 |
| InitiatingProcessImageFileName | 字符串 | 保留导致受监视实体事件的启动进程的映像文件名。 |
| InitiatingProcessImageFilePath | 字符串 | 保留导致受监视实体事件的启动进程的映像文件路径。 |
| InitiatingProcessImageFileType | 字符串 | 保存导致受监视实体事件的启动进程的映像文件类型。 |
| InitiatingProcessName | 字符串 | 保留导致受监视实体事件的启动进程的名称。 |
| InitiatingProcessSessionId | long | 保留导致受监视实体事件的启动进程的会话 ID。 |
| InitiatingProcessSource | 字符串 | 保留导致受监视实体事件的启动进程的源。 |
| InitProcImageCreationTimeUtc | datetime | 保留导致受监视实体事件的启动进程的映像的映像创建时间。 |
| InitProcImageFileSizeInBytes | long | 将导致受监视实体事件的启动进程) 的图像文件大小 (以字节为单位。 |
| InitProcImageLastAccessTimeUtc | datetime | 保留导致受监视实体事件的启动进程的映像的上次访问时间。 |
| InitProcImageLastWriteTimeUtc | datetime | 保留导致受监视实体事件的启动进程的映像的上次写入时间。 |
| InitProcImageLsHash | 字符串 | 保存导致受监视实体事件的启动进程的映像的映像 LS 哈希。 |
| InitProcImageMd5 | 字符串 | 保留导致受监视实体事件的启动进程的映像 MD5。 |
| InitProcImagePeTimestampUtc | datetime | 保留导致受监视实体事件的启动进程的映像的映像 PE 时间。 |
| InitProcImageSha1 | 字符串 | 保留导致受监视实体事件的启动进程的映像 SHA 1。 |
| InitProcImageSha256 | 字符串 | 保留导致受监视实体事件的启动进程的映像 SHA 256。 |
| InitProcVersionInfoCompanyName | 字符串 | 保留导致受监视实体事件的启动进程的版本信息公司名称。 |
| InitProcVersionInfoFileDescription | 字符串 | 保存导致受监视实体事件的启动进程的版本信息文件说明。 |
| InitProcVersionInfoInternalFileName | 字符串 | 保留导致受监视实体事件的启动进程的版本信息内部文件名。 |
| InitProcVersionInfoOriginalFileName | 字符串 | 保留导致受监视实体事件的启动进程的版本信息原始文件名。 |
| InitProcVersionInfoProductName | 字符串 | 保留导致受监视实体事件的启动进程的版本信息产品名称。 |
| InitProcVersionInfoProductVersion | 字符串 | 保留导致受监视实体事件的启动进程的版本信息产品版本。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
| MonitoredEntityType | 字符串 | 已创建、重命名、修改或删除的受监视实体的类型。 可以是“File”或“Registry”。 |
| NewValueData | 字符串 | 与受监视的“注册表”实体类型相关。 保存新注册表值数据。 |
| NewValueName | 字符串 | 与受监视的“注册表”实体类型相关。 保留新注册表值名称。 |
| NewValueType | 字符串 | 与受监视的“注册表”实体类型相关。 保留“新建注册表值”类型。 |
| OldValueData | 字符串 | 与受监视的“注册表”实体类型相关。 保存以前的注册表值数据。 |
| OldValueFullRegistryKey | 字符串 | 与受监视的“注册表”实体类型相关。 保留上一个完整注册表项。 |
| OldValueName | 字符串 | 与受监视的“注册表”实体类型相关。 保留以前的注册表值名称。 |
| OldValueType | 字符串 | 与受监视的“注册表”实体类型相关。 保留以前的注册表值类型。 |
| OriginalFileName | 字符串 | 与“文件”监视的实体类型和“重命名”更改类型相关。 保留重命名之前重命名的文件的原始名称。 |
| OriginalFilePath | 字符串 | 与受监视的“文件”实体类型和“重命名”更改类型相关。 保留重命名之前重命名的文件的原始路径。 |
| RegistryHive | 字符串 | 与受监视的“注册表”实体类型相关。 保留操作系统和应用程序的分组配置设置。 |
| RegistryKey | string | 与受监视的“注册表”实体类型相关。 保留已创建的注册表的完整注册表项或重命名的注册表的新注册表项。 |
| RequestAccountDomain | 字符串 | 与受监视的“文件”实体类型相关。 保留导致文件事件的用户帐户的域。 |
| RequestAccountName | 字符串 | 与受监视的“文件”实体类型相关。 保留导致文件事件的用户帐户的名称。 |
| RequestAccountSid | 字符串 | 与受监视的“文件”实体类型相关。 保留导致文件事件的用户帐户的 SID。 |
| RequestSource | 字符串 | 与受监视的“文件”实体类型相关。 保存导致文件事件的用户帐户的源。 例如 Local/SMB/NFS。 |
| RequestSourceIP | 字符串 | 与受监视的“文件”实体类型相关。 保留导致文件事件的用户帐户的源 IP。 对于远程文件,请求来自的 IP。 |
| RequestSourcePort | 字符串 | 与受监视的“文件”实体类型相关。 保留导致文件事件的用户帐户的源端口。 对于远程文件,请求来自的端口。 |
| SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager对于 Windows 代理,直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 创建、重命名、修改或删除受监视实体的时间 (UTC) 。 |
| 类型 | 字符串 | 表的名称 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈