DeviceFileEventsDeviceFileEvents

Si applica a:Applies to:

  • Microsoft Threat ProtectionMicrosoft Threat Protection

La DeviceFileEvents tabella nello schema di ricerca avanzata contiene informazioni sulla creazione, la modifica e altri eventi del file System.The DeviceFileEvents table in the advanced hunting schema contains information about file creation, modification, and other file system events. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.Use this reference to construct queries that return information from this table.

Suggerimento

Per informazioni dettagliate sui tipi di eventi ( ActionType valori) supportati da una tabella, utilizzare la Guida di riferimento allo schema incorporata disponibile nel centro sicurezza.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

Nome colonnaColumn name Tipo di datiData type DescrizioneDescription
Timestamp datetimedatetime Data e ora di registrazione dell'eventoDate and time when the event was recorded
DeviceId stringastring Identificatore univoco per il computer nel servizioUnique identifier for the machine in the service
DeviceName stringastring Nome di dominio completo (FQDN) del computerFully qualified domain name (FQDN) of the machine
ActionType stringastring Tipo di attività che ha attivato l'evento.Type of activity that triggered the event. Per informazioni dettagliate, vedere la Guida di riferimento allo schema in-Portal.See the in-portal schema reference for details
FileName stringastring Nome del file a cui è stata applicata l'azione registrataName of the file that the recorded action was applied to
FolderPath stringastring Cartella contenente il file a cui è stata applicata l'azione registrataFolder containing the file that the recorded action was applied to
SHA1 stringastring SHA-1 del file a cui è stata applicata l'azione registrataSHA-1 of the file that the recorded action was applied to
SHA256 stringastring SHA-256 del file a cui è stata applicata l'azione registrata.SHA-256 of the file that the recorded action was applied to. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile).This field is usually not populated — use the SHA1 column when available.
MD5 stringastring Hash MD5 del file a cui è stata applicata l'azione registrataMD5 hash of the file that the recorded action was applied to
FileOriginUrl stringastring URL da cui è stato scaricato il fileURL where the file was downloaded from
FileOriginReferrerUrl stringastring URL della pagina Web che collega al file scaricatoURL of the web page that links to the downloaded file
FileOriginIP stringastring Indirizzo IP da cui è stato scaricato il fileIP address where the file was downloaded from
InitiatingProcessAccountDomain stringastring Dominio dell'account che ha eseguito il processo responsabile dell'eventoDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName stringastring Nome utente dell'account che ha eseguito il processo responsabile dell'eventoUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid stringastring ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'eventoSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessMD5 stringastring Hash MD5 del processo (file di immagine) che ha avviato l'eventoMD5 hash of the process (image file) that initiated the event
InitiatingProcessSHA1 stringastring SHA-1 del processo (file di immagine) che ha avviato l'eventoSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 stringastring SHA-256 del processo (file di immagine) che ha avviato l'evento.SHA-256 of the process (image file) that initiated the event. (questo campo in genere non viene popolato: usare la colonna SHA1, se disponibile).This field is usually not populated — use the SHA1 column when available.
InitiatingProcessFolderPath stringastring Cartella contenente il processo (file di immagine) che ha avviato l'eventoFolder containing the process (image file) that initiated the event
InitiatingProcessFileName stringastring Nome del processo che ha avviato l'eventoName of the process that initiated the event
InitiatingProcessId intint ID processo (PID) del processo che ha avviato l'eventoProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine stringastring Riga di comando utilizzata per eseguire il processo che ha avviato l'eventoCommand line used to run the process that initiated the event
InitiatingProcessCreationTime datetimedatetime Data e ora in cui è stato avviato il processo che ha avviato l'eventoDate and time when the process that initiated the event was started
InitiatingProcessIntegrityLevel stringastring Livello di integrità del processo che ha avviato l'evento.Integrity level of the process that initiated the event. Windows assegna livelli di integrità ai processi basati su determinate caratteristiche, ad esempio se sono stati avviati da un download Internet.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. Tali livelli di integrità influiscono sulle autorizzazioni per le risorseThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation stringastring Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di controllo di accesso utente applicato al processo che ha avviato l'eventoToken type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessParentId intint ID processo (PID) del processo padre che ha generato il processo responsabile dell'eventoProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName stringastring Nome del processo padre che ha generato il processo responsabile dell'eventoName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime datetimedatetime Data e ora in cui è stato avviato l'elemento padre del processo responsabile dell'eventoDate and time when the parent of the process responsible for the event was started
RequestProtocol stringastring Protocollo di rete, se applicabile, utilizzato per avviare l'attività: Unknown, local, SMB o NFSNetwork protocol, if applicable, used to initiate the activity: Unknown, Local, SMB, or NFS
ShareName stringastring Nome della cartella condivisa che contiene il fileName of shared folder containing the file
RequestSourceIP stringastring Indirizzo IPv4 o IPv6 del dispositivo remoto che ha avviato l'attivitàIPv4 or IPv6 address of the remote device that initiated the activity
RequestSourcePort stringastring Porta di origine nel dispositivo remoto che ha avviato l'attivitàSource port on the remote device that initiated the activity
RequestAccountName stringastring Nome utente dell'account utilizzato per avviare l'attività in remotoUser name of account used to remotely initiate the activity
RequestAccountDomain stringastring Dominio dell'account utilizzato per avviare l'attività in remotoDomain of the account used to remotely initiate the activity
RequestAccountSid stringastring ID di sicurezza (SID) dell'account utilizzato per avviare l'attività in remotoSecurity Identifier (SID) of the account used to remotely initiate the activity
ReportId longlong Identificatore di evento basato su un contatore ripetuto.Event identifier based on a repeating counter. Per identificare gli eventi univoci, è necessario utilizzare questa colonna insieme alle colonne DeviceName e timestamp.To identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns
AppGuardContainerId stringastring Identificatore per il contenitore virtualizzato utilizzato dalla protezione dell'applicazione per isolare l'attività del browserIdentifier for the virtualized container used by Application Guard to isolate browser activity
SensitivityLabel stringastring Etichetta applicata a un messaggio di posta elettronica, un file o un altro contenuto per classificarlo per la protezione delle informazioniLabel applied to an email, file, or other content to classify it for information protection
SensitivitySubLabel stringastring Sottoetichetta applicata a un messaggio di posta elettronica, un file o un altro contenuto per classificarlo per la protezione delle informazioni; le sottoetichette di sensitivity sono raggruppate in etichette di riservatezza, ma vengono trattate in modo indipendenteSublabel applied to an email, file, or other content to classify it for information protection; sensitivity sublabels are grouped under sensitivity labels but are treated independently
IsAzureInfoProtectionApplied booleanboolean Indica se il file è crittografato con Azure Information ProtectionIndicates whether the file is encrypted by Azure Information Protection