DeviceFileEvents
Ez a táblázat az Azure Sentinellel rendelkező végpontok Microsoft Defender része. Ez a táblázat fájllétrehozás, módosítás és más fájlrendszeres eseményeket tartalmaz.
Táblaattribútumok
Attribútum | Érték |
---|---|
Erőforrástípusok | - |
Kategóriák | Biztonság |
Megoldások | SecurityInsights |
Alapszintű napló | No |
Betöltési idő átalakítás | Yes |
Mintalekérdezések | - |
Oszlopok
Oszlop | Típus | Description |
---|---|---|
ActionType | sztring | Az eseményt kiváltó tevékenység típusa. |
További mezők | dinamikus | További információ az entitásról vagy eseményről. |
AppGuardContainerId | sztring | A Alkalmazásőr által a böngészőtevékenység elkülönítéséhez használt virtualizált tároló azonosítója. |
_BilledSize | valós szám | A rekord mérete bájtban |
DeviceId | sztring | A szolgáltatásban lévő eszköz egyedi azonosítója. |
DeviceName | sztring | Az eszköz teljes tartományneve (FQDN). |
Fájlnév | sztring | Annak a fájlnak a neve, amelyekre a rögzített műveletet alkalmazták. |
FileOriginIP | sztring | IP-cím, ahonnan a fájlt letöltötték. |
FileOriginReferrerUrl | sztring | A letöltött fájlra mutató weblap URL-címe. |
FileOriginUrl | sztring | URL-cím, ahonnan a fájlt letöltötték. |
Fájlméretet | hosszú | A fájl mérete bájtban. |
FolderPath | sztring | A rögzített műveletet alkalmazó fájlt tartalmazó mappa. |
KezdeményezőProcessAccountDomain | sztring | Az eseményért felelős folyamatot futtató fiók tartománya. |
InitiatingProcessAccountName | sztring | Annak a fióknak a felhasználóneve, amely az eseményért felelős folyamatot futtatta. |
InitiatingProcessAccountObjectId | sztring | Azure AD eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját. |
InitiatingProcessAccountSid | sztring | Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID). |
KezdeményezőProcessAccountUpn | sztring | Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN). |
KezdeményezőProcessCommandLine | sztring | Az eseményt kezdeményező folyamat futtatásához használt parancssor. |
InitiatingProcessCreationTime | dátum/idő | Az eseményt kezdeményező folyamat elindításának dátuma és időpontja. |
KezdeményezőProcessFileName | sztring | Az eseményt kezdeményező folyamat neve. |
InitiatingProcessFileSize | hosszú | Az eseményt kezdeményező folyamat (képfájl) mérete bájtban. |
KezdeményezőProcessFolderPath | sztring | Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa. |
Folyamatazonosító kezdeményezése | hosszú | Az eseményt kezdeményező folyamat folyamatazonosítója (PID). |
KezdeményezőProcessIntegrityLevel | sztring | Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például azt, hogy azokat internetes letöltésből indították-e el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
KezdeményezőProcessMD5 | sztring | Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata. |
InitiatingProcessParentCreationTime | dátum/idő | Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja. |
InitiatingProcessParentFileName | sztring | Az eseményért felelős folyamatot kiváltó szülőfolyamat neve. |
InitiatingProcessParentId | hosszú | Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID). |
KezdeményezőProcessSHA1 | sztring | Az eseményt kezdeményező folyamat (képfájl) SHA-1 kivonata. |
KezdeményezőProcessSHA256 | sztring | Az eseményt kezdeményező folyamat (képfájl) SHA-256 kivonata. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
AProcessTokenElevation kezdeményezése | sztring | Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelt szint meglétét vagy hiányát jelzi. |
InitiatingProcessVersionInfoCompanyName | sztring | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév. |
InitiatingProcessVersionInfoFileDescription | sztring | Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása. |
InitiatingProcessVersionInfoInternalFileName | sztring | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó belső fájlnév. |
InitiatingProcessVersionInfoOriginalFileName | sztring | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó eredeti fájlnév. |
InitiatingProcessVersionInfoProductName | sztring | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó terméknév. |
InitiatingProcessVersionInfoProductVersion | sztring | Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió. |
IsAzureInfoProtectionApplied | logikai | Azt jelzi, hogy az Azure Information Protection titkosítja-e a fájlt. |
_IsBillable | sztring | Megadja, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés false történik, a számlázás nem történik meg az Azure-fiókban |
MachineGroup | sztring | A gép gépcsoportja. Ezt a csoportot a szerepköralapú hozzáférés-vezérlés használja a géphez való hozzáférés meghatározásához. |
MD5 | sztring | A rögzített művelet által alkalmazott fájl MD5-kivonata. |
PreviousFileName | sztring | A művelet eredményeként átnevezett fájl eredeti neve. |
PreviousFolderPath | sztring | A rögzített művelet alkalmazása előtt a fájlt tartalmazó eredeti mappa. |
Jelentésazonosító | hosszú | Eseményazonosító ismétlődő számláló alapján. Az egyedi események azonosításához ezt az oszlopot a ComputerName és az EventTime oszlopokkal együtt kell használni. |
RequestAccountDomain | sztring | A tevékenység távoli elindításához használt fiók tartománya. |
RequestAccountName | sztring | A tevékenység távoli elindításához használt fiók felhasználóneve. |
RequestAccountSid | sztring | A tevékenység távoli elindításához használt fiók biztonsági azonosítója (SID). |
RequestProtocol | sztring | A tevékenység elindításához használt hálózati protokoll , ha van ilyen: Ismeretlen, Helyi, SMB vagy NFS. |
RequestSourceIP | sztring | A tevékenységet kezdeményező távoli eszköz IPv4- vagy IPv6-címe. |
RequestSourcePort | int | Forrásport a tevékenységet kezdeményező távoli eszközön. |
SensitivityLabel | sztring | Egy e-mailre, fájlra vagy más tartalomra alkalmazott címke az információvédelem érdekében történő besorolásához. |
SensitivitySubLabel | sztring | Egy e-mailre, fájlra vagy más tartalomra alkalmazott alcímke az információvédelem érdekében történő besorolásához; A bizalmassági alcímkék bizalmassági címkék alá vannak csoportosítva, de egymástól függetlenül vannak kezelve. |
SHA1 | sztring | A rögzített művelet által alkalmazott fájl SHA-1 kivonata. |
SHA256 | sztring | SHA-256 azon fájlból, amelyre a rögzített műveletet alkalmazták. |
ShareName | sztring | A fájlt tartalmazó megosztott mappa neve. |
SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök vagy Azure Azure Diagnostics |
TenantId | sztring | A Log Analytics-munkaterület azonosítója |
TimeGenerated | dátum/idő | Az esemény rögzítésének dátuma és időpontja az MDE-ügynök által a végponton. |
Típus | sztring | A tábla neve |
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: