分享方式:

DeviceFileEvents

  • 文章

適用於:

  • Microsoft Defender XDR
  • 適用於端點的 Microsoft Defender

DeviceFileEvents搜捕 架構中的數據表包含檔案建立、修改和其他文件系統事件的相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。

提示

如需數據表所支援的事件類型 (ActionType 值) 詳細資訊,請使用 Microsoft Defender 全面偵測回應 中提供的內建架構參考。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
DeviceId string 服務中裝置的唯一識別碼
DeviceName string 裝置的 FQDN) (完整功能變數名稱
ActionType string 觸發事件的活動類型。 如需詳細資訊,請參閱 入口網站內架構參考
FileName string 記錄動作已套用的檔案名稱
FolderPath string 包含已記錄動作套用至之檔案的資料夾
SHA1 string 記錄動作已套用的檔案 SHA-1
SHA256 string 記錄動作已套用的檔案 SHA-256。 此欄位通常未填入,可取得時請使用 SHA1 欄。
MD5 string 已記錄動作套用至之檔案的 MD5 哈希
FileOriginUrl string 從中下載檔案的 URL
FileOriginReferrerUrl string 連結至已下載檔案的網頁 URL
FileOriginIP string 從中下載檔案的IP位址
PreviousFolderPath string 套用錄製動作之前包含檔案的原始資料夾
PreviousFileName string 因動作而重新命名之檔案的原始名稱
FileSize long 檔案大小,以位元組為單位
InitiatingProcessAccountDomain string 執行負責事件之進程的帳戶網域
InitiatingProcessAccountName string 執行負責事件之進程的帳戶用戶名稱;如果裝置已在 Microsoft Entra ID 中註冊,則可能會改為顯示執行負責事件之進程之帳戶的 Entra ID 用戶名稱
InitiatingProcessAccountSid string 安全標識子 (執行負責事件之進程之帳戶的 SID)
InitiatingProcessAccountUpn string 執行負責事件之進程之帳戶的UPN) (用戶主體名稱;如果裝置已在 Microsoft Entra ID 中註冊,則可能會改為顯示執行負責事件之進程之帳戶的 Entra ID UPN
InitiatingProcessAccountObjectId string Microsoft Entra 執行負責事件之進程之用戶帳戶的物件標識符
InitiatingProcessMD5 string 起始事件的進程 (影像檔) 的 MD5 哈希
InitiatingProcessSHA1 string 起始事件之進程的SHA-1 (映像檔)
InitiatingProcessSHA256 string 進程的 SHA-256 (起始事件的圖像檔) 。 此欄位通常未填入,可取得時請使用 SHA1 欄。
InitiatingProcessFolderPath string 包含起始事件之圖像檔) 進程 (資料夾
InitiatingProcessFileName string 起始事件的進程檔案名稱;如果無法使用,則可能會改為顯示起始事件的進程名稱
InitiatingProcessFileSize long 起始事件的處理程式 (映射檔) 大小
InitiatingProcessVersionInfoCompanyName string 處理程式版本資訊中的公司名稱 (映射檔) 負責事件
InitiatingProcessVersionInfoProductName string 處理程式版本資訊中的產品名稱 (映射檔) 負責事件
InitiatingProcessVersionInfoProductVersion string 處理程式版本資訊中的產品版本 (映射檔) 負責事件
InitiatingProcessVersionInfoInternalFileName string 處理程式版本資訊中的內部檔名 (映像檔) 負責事件
InitiatingProcessVersionInfoOriginalFileName string 處理程式版本資訊中的原始檔名 (負責事件) 映射檔
InitiatingProcessVersionInfoFileDescription string 來自處理程式版本資訊的描述, (負責事件) 圖像檔案
InitiatingProcessId long 起始事件之進程的進程標識 (PID)
InitiatingProcessCommandLine string 用來執行起始事件之進程的命令行
InitiatingProcessCreationTime datetime 起始事件的進程啟動的日期和時間
InitiatingProcessIntegrityLevel string 起始事件之進程的完整性層級。 Windows 會根據特定特性將完整性層級指派給進程,例如從因特網下載啟動。 這些完整性層級會影響資源的許可權。
InitiatingProcessTokenElevation string Token type indicating the presence or absence of User 存取控制 (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessParentId long 產生負責事件之進程的父進程 (PID)
InitiatingProcessParentFileName string 產生負責事件之進程的父進程名稱
InitiatingProcessParentCreationTime datetime 負責事件之進程的父代啟動日期和時間
RequestProtocol string 如果適用,則會使用網路協定來起始活動:未知、本機、SMB 或 NFS
RequestSourceIP string 起始活動之遠端裝置的 IPv4 或 IPv6 位址
RequestSourcePort int 起始活動的遠端裝置上的來源埠
RequestAccountName string 用來從遠端起始活動的帳戶用戶名稱
RequestAccountDomain string 用來從遠端起始活動的帳戶網域
RequestAccountSid string 用來從遠端起始活動的帳戶安全標識碼 (SID)
ShareName string 包含檔案的共享資料夾名稱
SensitivityLabel string 套用至電子郵件、檔案或其他內容的標籤,以將其分類以提供資訊保護
SensitivitySubLabel string 套用至電子郵件、檔案或其他內容的子捲標,以分類它以進行信息保護;敏感度子卷標會分組在敏感度標籤下,但會獨立處理
IsAzureInfoProtectionApplied boolean 指出檔案是否由 Azure 資訊保護 加密
ReportId long 以重複計數器為基礎的事件識別碼。 若要識別唯一事件,此數據行必須與 DeviceName 和 Timestamp 數據行搭配使用。
AppGuardContainerId string 應用程式防護 用來隔離瀏覽器活動的虛擬化容器標識碼
AdditionalFields string 實體或事件的其他相關信息
InitiatingProcessSessionId long 起始程式的 Windows 會話標識碼
IsInitiatingProcessRemoteSession bool 指出起始程式是在遠端桌面通訊協定下執行, (RDP) 工作階段 (true) 還是本機 (false)
InitiatingProcessRemoteSessionDeviceName string 起始進程 RDP 工作階段之遠端裝置的裝置名稱
InitiatingProcessRemoteSessionIP string 起始進程 RDP 工作階段之遠端裝置的 IP 位址

注意事項

檔案哈希資訊一律會在可用時顯示。 不過,無法計算 SHA1、SHA256 或 MD5 有幾個可能的原因。 例如,檔案可能位於遠端記憶體、由另一個進程鎖定、壓縮或標示為虛擬。 在這些案例中,檔案哈希信息會顯示為空白。

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群