MDCFileIntegrityMonitoringEvents
檢視 Windows 和 Linux 檔案以及軟體登錄機碼的變更。 此數據表的事件是由 適用於端點的 Microsoft Defender (MDE) 所收集。
數據表屬性
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | LogManagement |
| 基本記錄檔 | No |
| 擷取時間轉換 | No |
| 範例查詢 | - |
資料行
| 資料行 | 類型 | Description |
|---|---|---|
| AADTenantID | 字串 | 建立、重新命名、修改或刪除受監視實體之訂用帳戶的 AAD 租使用者標識碼。 |
| AzureResourceId | 字串 | 其受監視實體已建立、重新命名、修改或刪除之資源的 Azure 資源識別符。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| ChangeType | 字串 | 實體上發生的變更類型。 對於 'File' 實體,必須是 'Created'、'Modified'、'Renamed' 或 'Deleted'。 針對 『Registry』 實體必須是 'RegistryKeyCreated'、'RegistryKeyDeleted'、'RegistryValueSet'、'RegistryValueDeleted'、'RegistryKeyRenamed'。 |
| CloudIdentifier | 字串 | 資源的雲端標識碼。 |
| CloudProvider | 字串 | 資源的雲端提供者。 |
| CloudResourceType | 字串 | 雲端資源的類型。 |
| 電腦 | 字串 | 建立、重新命名、修改或刪除受監視實體的計算機名稱。 |
| FileMd5 | 字串 | 與「檔案」受監視的實體類型相關。 保留已修改、建立或刪除之檔案的 MD5。 |
| FileName | 字串 | 與「檔案」受監視的實體類型相關。 保留已建立、重新命名、修改或刪除的檔名。 |
| FilePath | 字串 | 與「檔案」受監視的實體類型相關。 保留已建立、重新命名、修改或刪除的檔案路徑。 |
| FileSha1 | 字串 | 與「檔案」受監視的實體類型相關。 保存修改、建立或刪除之檔案的SHA1。 |
| FileSha256 | 字串 | 與「檔案」受監視的實體類型相關。 保存修改、建立或刪除之檔案的SHA256。 |
| FileSize | long | 與「檔案」受監視的實體類型相關。 保留目前的大小 (,以位元組為單位,) 已建立、重新命名、修改或刪除的檔案。 |
| FileType | 字串 | 與「檔案」受監視的實體類型相關。 保留已建立、重新命名、修改或刪除的檔案類型。 可能值的範例:Zip、PDF、Xar 等。 |
| InitiatingProcessAccountDomainName | 字串 | 保留造成受監視實體事件之起始進程的帳戶功能變數名稱。 |
| InitiatingProcessAccountName | 字串 | 保留造成受監視實體事件之起始程式的帳戶名稱。 |
| InitiatingProcessAccountSid | 字串 | 保留造成受監視實體事件之起始進程的帳戶 SID。 |
| InitiatingProcessCreationTime | datetime | 保留造成受監視實體事件之起始程式的建立時間。 |
| InitiatingProcessFirstSeen | datetime | 保留造成受監視實體事件之起始程式的第一次出現時間。 |
| InitiatingProcessId | long | 保存造成受監視實體事件之起始進程的進程標識碼。 |
| InitiatingProcessImageFileName | 字串 | 保存造成受監視實體事件之起始進程的映像檔名稱。 |
| InitiatingProcessImageFilePath | 字串 | 保留造成受監視實體事件之起始進程的映像檔路徑。 |
| InitiatingProcessImageFileType | 字串 | 保留造成受監視實體事件之起始程式的映像檔類型。 |
| InitiatingProcessName | 字串 | 保留造成受監視實體事件之起始進程的名稱。 |
| InitiatingProcessSessionId | long | 保留造成受監視實體事件之起始程式的會話標識碼。 |
| InitiatingProcessSource | 字串 | 保留造成受監視實體事件之起始進程的來源。 |
| InitProcImageCreationTimeUtc | datetime | 保留造成受監視實體事件之起始進程的映像建立時間。 |
| InitProcImageFileSizeInBytes | long | 保留造成受監視實體事件之起始進程的位元組) 影像檔大小 (。 |
| InitProcImageLastAccessTimeUtc | datetime | 保留造成受監視實體事件之起始進程的映像上次存取時間。 |
| InitProcImageLastWriteTimeUtc | datetime | 保留造成受監視實體事件之起始進程的映像上次寫入時間。 |
| InitProcImageLsHash | 字串 | 保留造成受監視實體事件之起始進程的映像 LS 哈希。 |
| InitProcImageMd5 | 字串 | 保留造成受監視實體事件之起始進程的映像 MD5。 |
| InitProcImagePeTimestampUtc | datetime | 保留造成受監視實體事件之起始進程的映像PE時間。 |
| InitProcImageSha1 | 字串 | 保留造成受監視實體事件之起始進程的映像SHA 1。 |
| InitProcImageSha256 | 字串 | 保留造成受監視實體事件之起始進程的映像SHA 256。 |
| InitProcVersionInfoCompanyName | 字串 | 保留造成受監視實體事件之起始程式的版本資訊公司名稱。 |
| InitProcVersionInfoFileDescription | 字串 | 保留造成受監視實體事件之起始進程的版本資訊檔案描述。 |
| InitProcVersionInfoInternalFileName | 字串 | 保留造成受監視實體事件之起始程式的版本信息內部檔名。 |
| InitProcVersionInfoOriginalFileName | 字串 | 保留造成受監視實體事件之起始進程的版本資訊源檔名稱。 |
| InitProcVersionInfoProductName | 字串 | 保留造成受監視實體事件之起始進程的版本資訊產品名稱。 |
| InitProcVersionInfoProductVersion | 字串 | 保留造成受監視實體事件之起始程式的版本資訊產品版本。 |
| _IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
| MonitoredEntityType | 字串 | 已建立、重新命名、修改或刪除的受監視實體類型。 可以是 'File' 或 'Registry'。 |
| NewValueData | 字串 | 與 「登錄」受監視的實體類型相關。 保留新的登錄值數據。 |
| NewValueName | 字串 | 與 「登錄」受監視的實體類型相關。 保留新的登錄值名稱。 |
| NewValueType | 字串 | 與 「登錄」受監視的實體類型相關。 保留新的登錄值類型。 |
| OldValueData | 字串 | 與 「登錄」受監視的實體類型相關。 保存先前的登錄值數據。 |
| OldValueFullRegistryKey | 字串 | 與 「登錄」受監視的實體類型相關。 保留先前的完整登錄機碼。 |
| OldValueName | 字串 | 與 「登錄」受監視的實體類型相關。 保留先前的登錄值名稱。 |
| OldValueType | 字串 | 與 「登錄」受監視的實體類型相關。 保留先前的登錄值類型。 |
| OriginalFileName | 字串 | 與 「檔案」受監視的實體類型和「重新命名」變更類型相關。 在重新命名發生之前,保留已重新命名的檔案原始名稱。 |
| OriginalFilePath | 字串 | 與 「檔案」受監視的實體類型和「重新命名」變更類型相關。 保留重新命名之前重新命名之檔案的原始路徑。 |
| RegistryHive | 字串 | 與 『Registry』 受監視的實體類型相關。 保留作業系統和應用程式的群組組態設定。 |
| RegistryKey | 字串 | 與 『Registry』 受監視的實體類型相關。 保存已建立之登錄的完整登錄機碼,或重新命名之登錄的新登錄機碼。 |
| RequestAccountDomain | 字串 | 與「檔案」受監視的實體類型相關。 保留造成檔案事件之用戶帳戶的網域。 |
| RequestAccountName | 字串 | 與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶名稱。 |
| RequestAccountSid | 字串 | 與「檔案」受監視的實體類型相關。 保存造成檔案事件之用戶帳戶的 SID。 |
| RequestSource | 字串 | 與「檔案」受監視的實體類型相關。 保留造成檔案事件之用戶帳戶的來源。 例如 Local/SMB/NFS。 |
| RequestSourceIP | 字串 | 與「檔案」受監視的實體類型相關。 保留造成檔案事件之用戶帳戶的來源IP。 針對遠端檔案,要求的來源IP。 |
| RequestSourcePort | 字串 | 與「檔案」受監視的實體類型相關。 保存造成檔案事件之用戶帳戶的來源埠。 針對遠端檔案,要求的來源埠。 |
| SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| TenantId | 字串 | Log Analytics 工作區標識符 |
| TimeGenerated | Datetime | 建立、重新命名、修改或刪除受監視實體的時間 (UTC) 。 |
| 類型 | 字串 | 資料表的名稱 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應