MDCFileIntegrityMonitoringEvents
Zeigen Sie Änderungen von Windows- und Linux-Dateien sowie von Softwareregistrierungsschlüsseln an. Ereignisse aus dieser Tabelle werden von Microsoft Defender for Endpoint (MDE) gesammelt.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | LogManagement |
Standardprotokoll | No |
Transformation der Erfassungszeit | No |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AADTenantID | Zeichenfolge | Die AAD-Mandanten-ID des Abonnements, in dem die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
AzureResourceId | Zeichenfolge | Die Azure-Ressourcen-ID der Ressource, deren überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
_BilledSize | real | Die Datensatzgröße in Bytes |
ChangeType | Zeichenfolge | Der Typ der Änderung, die für die Entität aufgetreten ist. Für die "Datei"-Entität muss entweder "Erstellt", "Geändert", "Umbenannt" oder "Gelöscht" sein. Für die Entität "Registry" muss entweder "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed" sein. |
CloudIdentifier | Zeichenfolge | Der Cloudbezeichner der Ressource. |
CloudProvider | Zeichenfolge | Der Cloudanbieter der Ressource. |
CloudResourceType | Zeichenfolge | Der Typ der Cloudressource. |
Computer | string | Der Name des Computers, auf dem die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
FileMd5 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den MD5 der Datei, die geändert, erstellt oder gelöscht wurde. |
Dateiname | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Namen der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
FilePath | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Pfad der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
FileSha1 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den SHA1 der Datei, die geändert, erstellt oder gelöscht wurde. |
FileSha256 | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den SHA256 der Datei, die geändert, erstellt oder gelöscht wurde. |
FileSize | long | Relevant für den überwachten Entitätstyp "Datei". Enthält die aktuelle Größe (in Bytes) der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
FileType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Typ der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. Beispiel für mögliche Werte: Zip, PDF, Xar usw. |
InitiierenProcessAccountDomainName | Zeichenfolge | Enthält den Kontodomänennamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitiierenProcessAccountName | Zeichenfolge | Enthält den Kontonamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessAccountSid | Zeichenfolge | Enthält die Konto-SID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitialingProcessCreationTime | datetime | Enthält die Erstellungszeit des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessFirstSeen | datetime | Enthält die zum ersten Mal erkennbare Zeit des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitiierenProcessId | long | Enthält die Prozess-ID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitiierenprocessImageFileName | Zeichenfolge | Enthält den Imagedateinamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitiierenProcessImageFilePath | Zeichenfolge | Enthält den Imagedateipfad des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitiierenprocessImageFileType | Zeichenfolge | Enthält den Imagedateityp des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitiierenProcessName | Zeichenfolge | Enthält den Namen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitiierenprocessSessionId | long | Enthält die Sitzungs-ID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
Initiieren vonProcessSource | Zeichenfolge | Enthält die Quelle des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageCreationTimeUtc | datetime | Enthält die Bilderstellungszeit für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageFileSizeInBytes | long | Enthält die Bilddateigröße (in Bytes) des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageLastAccessTimeUtc | datetime | Enthält die Letzte Zugriffszeit des Images für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageLastWriteTimeUtc | datetime | Enthält die letzte Schreibzeit des Images für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageLsHash | Zeichenfolge | Enthält den Image-LS-Hash für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageMd5 | Zeichenfolge | Enthält das Image MD5 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImagePeTimestampUtc | datetime | Enthält die BILD-PE-Zeit für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageSha1 | Zeichenfolge | Enthält das Image SHA 1 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcImageSha256 | Zeichenfolge | Enthält das Image SHA 256 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoCompanyName | Zeichenfolge | Enthält den Firmennamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoFileDescription | Zeichenfolge | Enthält die Versionsinformationsdateibeschreibung des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoInternalFileName | Zeichenfolge | Enthält den internen Dateinamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoOriginalFileName | Zeichenfolge | Enthält den ursprünglichen Dateinamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoProductName | Zeichenfolge | Enthält den Produktnamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
InitProcVersionInfoProductVersion | Zeichenfolge | Enthält die Versionsinformationsproduktversion des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
MonitoredEntityType | Zeichenfolge | Der Typ der überwachten Entität, die erstellt, umbenannt, geändert oder gelöscht wurde. Kann entweder "Datei" oder "Registrierung" sein. |
NewValueData | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält die Neuen Registrierungswertdaten. |
NewValueName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den Namen des neuen Registrierungswerts. |
NewValueType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den Neuen Registrierungswerttyp. |
OldValueData | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält die vorherigen Registrierungswertdaten. |
OldValueFullRegistryKey | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vorherigen vollständigen Registrierungsschlüssel. |
OldValueName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vorherigen Registrierungswertnamen. |
OldValueType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vorherigen Registrierungswerttyp. |
OriginalFileName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei" und für einen Änderungstyp "Umbenennen". Enthält den ursprünglichen Namen der Datei, die umbenannt wurde, bevor die Umbenennung erfolgte. |
OriginalFilePath | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei" und für einen Änderungstyp "Umbenennen". Enthält den ursprünglichen Pfad der Datei, die umbenannt wurde, bevor die Umbenennung erfolgte. |
Registryhive | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält die Gruppierungskonfigurationseinstellungen für das Betriebssystem und die Anwendungen. |
RegistryKey | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registrierung". Enthält den vollständigen Registrierungsschlüssel der erstellten Registrierung oder den neuen Registrierungsschlüssel der umbenannten Registrierung. |
RequestAccountDomain | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Domäne des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
RequestAccountName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Namen des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
RequestAccountSid | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die SID des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
RequestSource | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Quelle des Kontos des Benutzers, der das Dateiereignis verursacht hat. Beispiel: Local/SMB/NFS. |
RequestSourceIP | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält die Quell-IP des Kontos des Benutzers, der das Dateiereignis verursacht hat. Für die Remotedatei die IP-Adresse, von der die Anforderung stammt. |
RequestSourcePort | Zeichenfolge | Relevant für den überwachten Entitätstyp "Datei". Enthält den Quellport des Kontos des Benutzers, der das Dateiereignis verursacht hat. Für die Remotedatei der Port, von dem die Anforderung kam. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Die Uhrzeit (UTC), zu der die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
type | Zeichenfolge | Der Name der Tabelle. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für