DeviceFileEventsDeviceFileEvents

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique à :Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender pour point de terminaisonMicrosoft Defender for Endpoint

Le tableau du schéma de recherche avancée contient des informations sur la création, la modification et d'autres événements DeviceFileEvents de système de fichiers. The DeviceFileEvents table in the advanced hunting schema contains information about file creation, modification, and other file system events. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.Use this reference to construct queries that return information from this table.

Conseil

Pour plus d'informations sur les types d'événements (valeurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible ActionType dans le centre de sécurité.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

Nom de colonneColumn name Type de donnéesData type DescriptionDescription
Timestamp DateHeuredatetime Date et heure d’enregistrement de l’événementDate and time when the event was recorded
DeviceId stringstring Identificateur unique de la machine dans le serviceUnique identifier for the machine in the service
DeviceName stringstring Nom de domaine complet (FQDN) de la machineFully qualified domain name (FQDN) of the machine
ActionType stringstring Type d'activité qui a déclenché l'événement.Type of activity that triggered the event. Pour plus d'informations, voir la référence du schéma dans le portailSee the in-portal schema reference for details
FileName stringstring Nom du fichier auquel l’action enregistrée a été appliquéeName of the file that the recorded action was applied to
FolderPath stringstring Dossier contenant le fichier à lequel l'action enregistrée a été appliquéeFolder containing the file that the recorded action was applied to
SHA1 stringstring SHA-1 du fichier auquel l’action enregistrée a été appliquéeSHA-1 of the file that the recorded action was applied to
SHA256 stringstring SHA-256 du fichier auquel l’action enregistrée a été appliquée.SHA-256 of the file that the recorded action was applied to. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible.This field is usually not populated — use the SHA1 column when available.
MD5 stringstring Hachage MD5 du fichier à l'application de l'action enregistréeMD5 hash of the file that the recorded action was applied to
FileOriginUrl stringstring URL à partir de laquelle le fichier a été téléchargéURL where the file was downloaded from
FileOriginReferrerUrl stringstring URL de la page web qui est lié au fichier téléchargéURL of the web page that links to the downloaded file
FileOriginIP stringstring Adresse IP à partir de laquelle le fichier a été téléchargéIP address where the file was downloaded from
PreviousFolderPath stringstring Dossier d'origine contenant le fichier avant l'application de l'action enregistréeOriginal folder containing the file before the recorded action was applied
PreviousFileName stringstring Nom d'origine du fichier qui a été renommé à la suite de l'actionOriginal name of the file that was renamed as a result of the action
FileSize longlong Taille du fichier en octetsSize of the file in bytes
InitiatingProcessAccountDomain stringstring Domaine du compte qui a dirigé le processus responsable de l'événementDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName stringstring Nom d'utilisateur du compte qui a dirigé le processus responsable de l'événementUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid stringstring Identificateur de sécurité (SID) du compte qui a tenu le processus responsable de l'événementSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessAccountUpn stringstring Nom d'utilisateur principal (UPN) du compte qui a lancé le processus responsable de l'événementUser principal name (UPN) of the account that ran the process responsible for the event
InitiatingProcessAccountObjectId stringstring ID d'objet Azure AD du compte d'utilisateur qui a dirigé le processus responsable de l'événementAzure AD object ID of the user account that ran the process responsible for the event
InitiatingProcessMD5 stringstring Hachage MD5 du processus (fichier image) à l’origine de l’événementMD5 hash of the process (image file) that initiated the event
InitiatingProcessSHA1 stringstring SHA-1 du processus (fichier image) à l’origine de l’événementSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 stringstring SHA-256 du processus (fichier image) à l’origine de l’événement.SHA-256 of the process (image file) that initiated the event. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsque celle-ci est disponible.This field is usually not populated — use the SHA1 column when available.
InitiatingProcessFolderPath stringstring Dossier contenant le processus (fichier image) à l’origine de l’événementFolder containing the process (image file) that initiated the event
InitiatingProcessFileName stringstring Nom du processus à l’origine de l’événementName of the process that initiated the event
InitiatingProcessFileSize longlong Taille du processus (fichier image) à l’origine de l’événementSize of the process (image file) that initiated the event
InitiatingProcessVersionInfoCompanyName stringstring Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événementCompany name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductName stringstring Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événementProduct name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductVersion stringstring Version du produit à partir des informations de version du processus (fichier image) responsable de l’événementProduct version from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoInternalFileName stringstring Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événementInternal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoOriginalFileName stringstring Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événementOriginal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoFileDescription stringstring Description à partir des informations de version du processus (fichier image) responsable de l’événementDescription from the version information of the process (image file) responsible for the event
InitiatingProcessId entierint ID de processus (PID) du processus à l’origine de l’événementProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine stringstring Ligne de commande utilisée pour exécuter le processus à l’origine de l’événementCommand line used to run the process that initiated the event
InitiatingProcessCreationTime DateHeuredatetime Date et heure de début du processus à l’origine de l’événementDate and time when the process that initiated the event was started
InitiatingProcessIntegrityLevel stringstring Niveau d’intégrité du processus à l’origine de l’événement.Integrity level of the process that initiated the event. Windows affecte des niveaux d’intégrité à des processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. Ces niveaux d’intégrité influencent les autorisations sur les ressourcesThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation stringstring Type de jeton indiquant la présence ou l’absence d’élévation de privilège du contrôle d’accès utilisateur (UAC) appliquée au processus à l’origine de l’événementToken type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessParentId entierint ID de processus (PID) du processus parent qui a généré le processus responsable de l’événementProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName stringstring Nom du processus parent qui a généré le processus responsable de l’événementName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime DateHeuredatetime Date et heure de début du parent du processus responsable de l’événementDate and time when the parent of the process responsible for the event was started
RequestProtocol stringstring Protocole réseau, le cas échéant, utilisé pour lancer l’activité : Inconnu, Local, SMB ou NFSNetwork protocol, if applicable, used to initiate the activity: Unknown, Local, SMB, or NFS
RequestSourceIP stringstring Adresse IPv4 ou IPv6 de l’appareil distant à l’origine de l’activitéIPv4 or IPv6 address of the remote device that initiated the activity
RequestSourcePort stringstring Port source sur l’appareil distant à l’origine de l’activitéSource port on the remote device that initiated the activity
RequestAccountName stringstring Nom d’utilisateur du compte utilisé pour lancer l’activité à distanceUser name of account used to remotely initiate the activity
RequestAccountDomain stringstring Domaine du compte utilisé pour lancer l’activité à distanceDomain of the account used to remotely initiate the activity
RequestAccountSid stringstring Identificateur de sécurité (SID) du compte utilisé pour lancer l’activité à distanceSecurity Identifier (SID) of the account used to remotely initiate the activity
ShareName stringstring Nom du dossier partagé contenant le fichierName of shared folder containing the file
InitiatingProcessFileSize longlong Taille du fichier qui a tenu le processus responsable de l’événementSize of the file that ran the process responsible for the event
SensitivityLabel stringstring Étiquette appliquée à un e-mail, un fichier ou tout autre contenu pour la classer pour la protection des informationsLabel applied to an email, file, or other content to classify it for information protection
SensitivitySubLabel stringstring Sous-bel appliquée à un e-mail, un fichier ou tout autre contenu pour le classer pour la protection des informations ; les sous-étiquettes de sensibilité sont regroupées sous des étiquettes de sensibilité, mais sont traitées indépendammentSublabel applied to an email, file, or other content to classify it for information protection; sensitivity sublabels are grouped under sensitivity labels but are treated independently
IsAzureInfoProtectionApplied valeur booléenneboolean Indique si le fichier est chiffré par Azure Information ProtectionIndicates whether the file is encrypted by Azure Information Protection
ReportId longlong Identificateur d’événement basé sur un compteur extensible.Event identifier based on a repeating counter. Pour identifier des événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp.To identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns.
AppGuardContainerId stringstring Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateurIdentifier for the virtualized container used by Application Guard to isolate browser activity
AdditionalFields stringstring Informations supplémentaires sur l’entité ou l’événementAdditional information about the entity or event

Notes

Les informations de hachage de fichier sont toujours affichées lorsqu’elles sont disponibles.File hash information will always be shown when it is available. Toutefois, il existe plusieurs raisons possibles pour lesquelles un SHA1, SHA256 ou MD5 ne peut pas être calculé.However, there are several possible reasons why a SHA1, SHA256, or MD5 cannot be calculated. Par exemple, le fichier peut se trouver dans un stockage à distance, verrouillé par un autre processus, compressé ou marqué comme virtuel.For instance, the file might be located in remote storage, locked by another process, compressed, or marked as virtual. Dans ces scénarios, les informations de hachage de fichier apparaissent vides.In these scenarios, the file hash information appears empty.