MDCFileIntegrityMonitoringEvents
Zeigen Sie Änderungen von Windows- und Linux-Dateien sowie von Softwareregistrierungsschlüsseln an. Ereignisse aus dieser Tabelle werden von Microsoft Defender for Endpoint (MDE) gesammelt.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | LogManagement |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | No |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AADTenantID | Zeichenfolge | Die AAD-Mandanten-ID des Abonnements, in dem die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
| AzureResourceId | Zeichenfolge | Die Azure-Ressourcen-ID der Ressource, deren überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| ChangeType | Zeichenfolge | Der Typ der Änderung, die für die Entität aufgetreten ist. Für die "Datei"-Entität muss entweder "Erstellt", "Geändert", "Umbenannt" oder "Gelöscht" sein. Für die Entität "Registry" muss entweder "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed" sein. |
| CloudIdentifier | Zeichenfolge | Der Cloudbezeichner der Ressource. |
| CloudProvider | Zeichenfolge | Der Cloudanbieter der Ressource. |
| CloudResourceType | Zeichenfolge | Der Typ der Cloudressource. |
| Computer | string | Der Name des Computers, auf dem die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
| FileMd5 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den MD5 der Datei, die geändert, erstellt oder gelöscht wurde. |
| Dateiname | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Namen der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
| FilePath | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Pfad der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
| FileSha1 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den SHA1 der Datei, die geändert, erstellt oder gelöscht wurde. |
| FileSha256 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den SHA256 der Datei, die geändert, erstellt oder gelöscht wurde. |
| FileSize | long | Relevant für den überwachten Entitätstyp "Datei". Enthält die aktuelle Größe (in Bytes) der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
| FileType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Typ der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. Beispiel für mögliche Werte: Zip, PDF, Xar usw. |
| InitiierenProcessAccountDomainName | Zeichenfolge | Enthält den Kontodomänennamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiierenProcessAccountName | Zeichenfolge | Enthält den Kontonamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| Initiieren vonProcessAccountSid | Zeichenfolge | Enthält die Konto-SID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitialingProcessCreationTime | datetime | Enthält die Erstellungszeit des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| Initiieren vonProcessFirstSeen | datetime | Enthält die zum ersten Mal erkennbare Zeit des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiierenProcessId | long | Enthält die Prozess-ID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiierenprocessImageFileName | Zeichenfolge | Enthält den Imagedateinamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiierenProcessImageFilePath | Zeichenfolge | Enthält den Imagedateipfad des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiierenprocessImageFileType | Zeichenfolge | Enthält den Imagedateityp des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiierenProcessName | Zeichenfolge | Enthält den Namen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiierenprocessSessionId | long | Enthält die Sitzungs-ID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| Initiieren vonProcessSource | Zeichenfolge | Enthält die Quelle des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageCreationTimeUtc | datetime | Enthält die Bilderstellungszeit für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageFileSizeInBytes | long | Enthält die Bilddateigröße (in Bytes) des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageLastAccessTimeUtc | datetime | Enthält die Letzte Zugriffszeit des Images für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageLastWriteTimeUtc | datetime | Enthält die letzte Schreibzeit des Images für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageLsHash | Zeichenfolge | Enthält den Image-LS-Hash für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageMd5 | Zeichenfolge | Enthält das Image MD5 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImagePeTimestampUtc | datetime | Enthält die BILD-PE-Zeit für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageSha1 | Zeichenfolge | Enthält das Image SHA 1 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageSha256 | Zeichenfolge | Enthält das Image SHA 256 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoCompanyName | Zeichenfolge | Enthält den Firmennamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoFileDescription | Zeichenfolge | Enthält die Versionsinformationsdateibeschreibung des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoInternalFileName | Zeichenfolge | Enthält den internen Dateinamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoOriginalFileName | Zeichenfolge | Enthält den ursprünglichen Dateinamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoProductName | Zeichenfolge | Enthält den Produktnamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoProductVersion | Zeichenfolge | Enthält die Versionsinformationsproduktversion des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| MonitoredEntityType | Zeichenfolge | Der Typ der überwachten Entität, die erstellt, umbenannt, geändert oder gelöscht wurde. Kann entweder "Datei" oder "Registrierung" sein. |
| NewValueData | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält die Neuen Registrierungswertdaten. |
| NewValueName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den Namen des neuen Registrierungswerts. |
| NewValueType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den Neuen Registrierungswerttyp. |
| OldValueData | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält die vorherigen Registrierungswertdaten. |
| OldValueFullRegistryKey | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vorherigen vollständigen Registrierungsschlüssel. |
| OldValueName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vorherigen Registrierungswertnamen. |
| OldValueType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vorherigen Registrierungswerttyp. |
| OriginalFileName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei" und für einen Änderungstyp "Umbenennen". Enthält den ursprünglichen Namen der Datei, die umbenannt wurde, bevor die Umbenennung erfolgte. |
| OriginalFilePath | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei" und für einen Änderungstyp "Umbenennen". Enthält den ursprünglichen Pfad der Datei, die umbenannt wurde, bevor die Umbenennung erfolgte. |
| Registryhive | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält die Gruppierungskonfigurationseinstellungen für das Betriebssystem und die Anwendungen. |
| RegistryKey | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vollständigen Registrierungsschlüssel der erstellten Registrierung oder den neuen Registrierungsschlüssel der umbenannten Registrierung. |
| RequestAccountDomain | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Domäne des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
| RequestAccountName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Namen des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
| RequestAccountSid | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die SID des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
| RequestSource | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Quelle des Kontos des Benutzers, der das Dateiereignis verursacht hat. Beispiel: Local/SMB/NFS. |
| RequestSourceIP | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Quell-IP des Kontos des Benutzers, der das Dateiereignis verursacht hat. Für die Remotedatei die IP-Adresse, von der die Anforderung stammt. |
| RequestSourcePort | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Quellport des Kontos des Benutzers, der das Dateiereignis verursacht hat. Für die Remotedatei der Port, von dem die Anforderung kam. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Die Uhrzeit (UTC), zu der die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für