MDECustomCollectionDeviceFileEvents
Esta tabla forma parte de Microsoft Defender para puntos de conexión para el escenario de recopilación personalizada. Esta tabla contiene eventos de creación, modificación y otro sistema de archivos para cualquier cosa solicitada explícitamente por el cliente para la recopilación.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | LogManagement |
| Registro básico | No |
| Transformación en tiempo de ingesta | No |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| ActionType | string | Tipo de actividad que desencadenó el evento. |
| AdditionalFields | dinámico | Información adicional sobre la entidad o el evento. |
| AppGuardContainerId | string | Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
| _BilledSize | real | Tamaño del registro en bytes |
| deviceId | string | Identificador único del dispositivo en el servicio. |
| DeviceName | string | Nombre de dominio completo (FQDN) del dispositivo. |
| FileName | string | Nombre del archivo al que se aplicó la acción grabada. |
| FileOriginIP | string | Dirección IP desde la que se descargó el archivo. |
| FileOriginReferrerUrl | string | Dirección URL de la página web que se vincula al archivo descargado. |
| FileOriginUrl | string | Dirección URL desde la que se descargó el archivo. |
| FileSize | long | Tamaño del archivo en bytes. |
| FolderPath | string | Carpeta que contiene el archivo al que se aplicó la acción grabada. |
| InitProcessAccountDomain | string | Dominio de la cuenta que ejecutó el proceso responsable del evento. |
| InitProcessAccountName | string | Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento. |
| InitProcessAccountObjectId | string | Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento. |
| InitProcessAccountSid | string | Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento. |
| InitProcessAccountUpn | string | Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento. |
| InitProcessCommandLine | string | Línea de comandos usada para ejecutar el proceso que inició el evento. |
| InitProcessCreationTime | datetime | Fecha y hora en que se inició el proceso que inició el evento. |
| InitProcessFileName | string | Nombre del proceso que inició el evento. |
| InitProcessFileSize | long | Tamaño en bytes del proceso (archivo de imagen) que inició el evento. |
| InitProcessFolderPath | string | Carpeta que contiene el proceso (archivo de imagen) que inició el evento. |
| InitProcessId | long | Identificador de proceso (PID) del proceso que inició el evento. |
| InitProcessIntegrityLevel | string | Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a procesos basados en determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos de los recursos. |
| InitProcessMD5 | string | Hash MD5 del proceso (archivo de imagen) que inició el evento. |
| InitProcessParentCreationTime | datetime | Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
| InitProcessParentFileName | string | Nombre del proceso primario que generó el proceso responsable del evento. |
| InitProcessParentId | long | Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento. |
| InitProcessSHA1 | string | Hash SHA-1 del proceso (archivo de imagen) que inició el evento. |
| InitProcessSHA256 | string | Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Normalmente, este campo no se rellena: use la columna SHA1 cuando esté disponible. |
| InitProcessTokenElevation | string | Tipo de token que indica la presencia o ausencia de elevación de privilegios de user Access Control (UAC) aplicada al proceso que inició el evento. |
| InitProcessVersionInfoCompanyName | string | Nombre de la empresa de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitProcessVersionInfoFileDescription | string | Descripción de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitProcessVersionInfoInternalFileName | string | Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitProcessVersionInfoOriginalFileName | string | Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitProcessVersionInfoProductName | string | Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento. |
| InitProcessVersionInfoProductVersion | string | Versión del producto a partir de la información de versión del proceso (archivo de imagen) responsable del evento. |
| IsAzureInfoProtectionApplied | bool | Indica si azure Information Protection cifra el archivo. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| MachineGroup | string | Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
| MD5 | string | Hash MD5 del archivo al que se aplicó la acción grabada. |
| PreviousFileName | string | Nombre original del archivo cuyo nombre se cambió como resultado de la acción. |
| PreviousFolderPath | string | Carpeta original que contiene el archivo antes de aplicar la acción grabada. |
| ReportId | long | Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
| RequestAccountDomain | string | Dominio de la cuenta utilizada para iniciar la actividad de forma remota. |
| RequestAccountName | string | Nombre de usuario de la cuenta usada para iniciar la actividad de forma remota. |
| RequestAccountSid | string | Identificador de seguridad (SID) de la cuenta usada para iniciar la actividad de forma remota. |
| RequestProtocol | string | Protocolo de red, si procede, que se usa para iniciar la actividad: Unknown, Local, SMB o NFS. |
| RequestSourceIP | string | Dirección IPv4 o IPv6 del dispositivo remoto que inició la actividad. |
| RequestSourcePort | int | Puerto de origen en el dispositivo remoto que inició la actividad. |
| SensitivityLabel | string | Etiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información. |
| SensitivitySubLabel | string | Subetiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información; Las subetiquetas de confidencialidad se agrupan bajo etiquetas de confidencialidad, pero se tratan de forma independiente. |
| SHA1 | string | Hash SHA-1 del archivo al que se aplicó la acción grabada. |
| SHA256 | string | SHA-256 del archivo al que se aplicó la acción grabada. |
| ShareName | string | Nombre de la carpeta compartida que contiene el archivo. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
| Tipo | string | Nombre de la tabla. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de