MDCFileIntegrityMonitoringEvents

Windows 및 Linux 파일 및 소프트웨어 레지스트리 키의 변경 내용을 봅니다. 이 테이블의 이벤트는 엔드포인트용 Microsoft Defender(MDE)에 의해 수집됩니다.

테이블 특성

attribute	값
리소스 종류	-
범주	보안
솔루션	LogManagement
기본 로그	No
수집 시간 변환	No
샘플 쿼리	-

열

열	형식	Description
AADTenantID	string	모니터링되는 엔터티가 생성, 이름 변경, 수정 또는 삭제된 구독의 AAD 테넌트 ID입니다.
AzureResourceId	문자열	모니터링되는 엔터티가 생성, 이름 변경, 수정 또는 삭제된 리소스의 Azure 리소스 ID입니다.
_BilledSize	real	레코드 크기(바이트)
ChangeType	string	엔터티에서 발생한 변경 형식입니다. 'File' 엔터티의 경우 'Created', 'Modified', 'Renamed' 또는 'Deleted'여야 합니다. 'Registry' 엔터티의 경우 'RegistryKeyCreated', 'RegistryKeyDeleted', 'RegistryValueSet', 'RegistryValueDeleted', 'RegistryKeyRenamed' 중 하나여야 합니다.
CloudIdentifier	문자열	리소스의 클라우드 식별자입니다.
CloudProvider	문자열	리소스의 클라우드 공급자입니다.
CloudResourceType	문자열	클라우드 리소스의 유형입니다.
Computer	문자열	모니터링되는 엔터티가 생성, 이름 바꾸기, 수정 또는 삭제된 컴퓨터의 이름입니다.
FileMd5	문자열	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 수정, 생성 또는 삭제된 파일의 MD5를 보유합니다.
FileName	string	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 생성, 이름 바꾸기, 수정 또는 삭제된 파일의 이름을 보유합니다.
FilePath	문자열	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 생성, 이름 바꾸기, 수정 또는 삭제된 파일의 경로를 보유합니다.
FileSha1	문자열	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 수정, 생성 또는 삭제된 파일의 SHA1을 보유합니다.
FileSha256	문자열	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 수정, 생성 또는 삭제된 파일의 SHA256을 보유합니다.
FileSize	long	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 생성, 이름 바꾸기, 수정 또는 삭제된 파일의 현재 크기(바이트)를 보유합니다.
FileType	string	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 생성, 이름 바꾸기, 수정 또는 삭제된 파일의 형식을 보유합니다. 가능한 값의 예: Zip, PDF, Xar 등
InitiatingProcessAccountDomainName	문자열	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 계정 도메인 이름을 보유합니다.
InitiatingProcessAccountName	문자열	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 계정 이름을 보유합니다.
InitiatingProcessAccountSid	문자열	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 계정 SID를 보유합니다.
InitiatingProcessCreationTime	Datetime	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 생성 시간을 보유합니다.
InitiatingProcessFirstSeen	Datetime	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 처음 표시된 시간을 보유합니다.
InitiatingProcessId	long	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 프로세스 ID를 보유합니다.
InitiatingProcessImageFileName	string	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지 파일 이름을 보유합니다.
InitiatingProcessImageFilePath	문자열	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지 파일 경로를 보유합니다.
InitiatingProcessImageFileType	문자열	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지 파일 형식을 보유합니다.
InitiatingProcessName	문자열	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이름을 보유합니다.
InitiatingProcessSessionId	long	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 세션 ID를 보유합니다.
InitiatingProcessSource	string	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 원본을 보유합니다.
InitProcImageCreationTimeUtc	Datetime	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 생성 시간을 보유합니다.
InitProcImageFileSizeInBytes	long	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지 파일 크기(바이트)를 보유합니다.
InitProcImageLastAccessTimeUtc	Datetime	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 마지막 액세스 시간을 보유합니다.
InitProcImageLastWriteTimeUtc	Datetime	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 마지막 쓰기 시간을 유지합니다.
InitProcImageLsHash	string	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 LS 해시를 보유합니다.
InitProcImageMd5	string	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 MD5를 보유합니다.
InitProcImagePeTimestampUtc	Datetime	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 PE 시간을 보유합니다.
InitProcImageSha1	string	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 SHA 1을 보유합니다.
InitProcImageSha256	string	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 SHA 256 이미지를 보유합니다.
InitProcVersionInfoCompanyName	string	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 회사 이름을 보유합니다.
InitProcVersionInfoFileDescription	string	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스에 대한 버전 정보 파일 설명을 보유합니다.
InitProcVersionInfoInternalFileName	문자열	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 내부 파일 이름을 보유합니다.
InitProcVersionInfoOriginalFileName	문자열	모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 원본 파일 이름을 보유합니다.
InitProcVersionInfoProductName	문자열	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 제품 이름을 보유합니다.
InitProcVersionInfoProductVersion	문자열	모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 제품 버전을 보유합니다.
_IsBillable	문자열	데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 요금이 청구되지 않습니다.
MonitoredEntityType	문자열	생성, 이름 바꾸기, 수정 또는 삭제된 모니터링되는 엔터티의 형식입니다. '파일' 또는 '레지스트리'일 수 있습니다.
NewValueData	문자열	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 새 레지스트리 값 데이터를 보유합니다.
NewValueName	문자열	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 새 레지스트리 값 이름을 보유합니다.
NewValueType	문자열	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 새 레지스트리 값 형식을 보유합니다.
OldValueData	문자열	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 이전 레지스트리 값 데이터를 보유합니다.
OldValueFullRegistryKey	문자열	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 이전 전체 레지스트리 키를 보유합니다.
OldValueName	문자열	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 이전 레지스트리 값 이름을 보유합니다.
OldValueType	문자열	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 이전 레지스트리 값 형식을 보유합니다.
OriginalFileName	문자열	'파일' 모니터링 엔터티 형식 및 '이름 바꾸기' 변경 형식과 관련이 있습니다. 이름이 바뀌기 전에 이름이 변경된 파일의 원래 이름을 보유합니다.
OriginalFilePath	문자열	'파일' 모니터링 엔터티 형식 및 '이름 바꾸기' 변경 형식과 관련이 있습니다. 이름이 바뀌기 전에 이름이 변경된 파일의 원래 경로를 보유합니다.
RegistryHive	문자열	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 운영 체제 및 애플리케이션에 대한 그룹화 구성 설정을 보유합니다.
RegistryKey	string	모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 만든 레지스트리의 전체 레지스트리 키 또는 이름이 변경된 레지스트리의 새 레지스트리 키를 보유합니다.
RequestAccountDomain	string	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자의 계정 도메인을 보유합니다.
RequestAccountName	string	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자의 계정 이름을 보유합니다.
RequestAccountSid	문자열	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자의 계정 SID를 보유합니다.
RequestSource	string	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자의 계정 원본을 보유합니다. 예를 들어 Local/SMB/NFS입니다.
RequestSourceIP	string	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자 계정의 원본 IP를 보유합니다. 원격 파일의 경우 요청이 발생한 IP입니다.
RequestSourcePort	string	'파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자 계정의 원본 포트를 보유합니다. 원격 파일의 경우 요청이 발생한 포트입니다.
SourceSystem	문자열	이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics
TenantId	문자열	Log Analytics 작업 영역 ID
TimeGenerated	Datetime	모니터링되는 엔터티가 생성, 이름 변경, 수정 또는 삭제된 시간(UTC)입니다.
Type	문자열	테이블의 이름입니다.