MDCFileIntegrityMonitoringEvents
Windows 및 Linux 파일 및 소프트웨어 레지스트리 키의 변경 내용을 봅니다. 이 테이블의 이벤트는 엔드포인트용 Microsoft Defender(MDE)에 의해 수집됩니다.
테이블 특성
attribute | 값 |
---|---|
리소스 종류 | - |
범주 | 보안 |
솔루션 | LogManagement |
기본 로그 | No |
수집 시간 변환 | No |
샘플 쿼리 | - |
열
열 | 형식 | Description |
---|---|---|
AADTenantID | string | 모니터링되는 엔터티가 생성, 이름 변경, 수정 또는 삭제된 구독의 AAD 테넌트 ID입니다. |
AzureResourceId | 문자열 | 모니터링되는 엔터티가 생성, 이름 변경, 수정 또는 삭제된 리소스의 Azure 리소스 ID입니다. |
_BilledSize | real | 레코드 크기(바이트) |
ChangeType | string | 엔터티에서 발생한 변경 형식입니다. 'File' 엔터티의 경우 'Created', 'Modified', 'Renamed' 또는 'Deleted'여야 합니다. 'Registry' 엔터티의 경우 'RegistryKeyCreated', 'RegistryKeyDeleted', 'RegistryValueSet', 'RegistryValueDeleted', 'RegistryKeyRenamed' 중 하나여야 합니다. |
CloudIdentifier | 문자열 | 리소스의 클라우드 식별자입니다. |
CloudProvider | 문자열 | 리소스의 클라우드 공급자입니다. |
CloudResourceType | 문자열 | 클라우드 리소스의 유형입니다. |
Computer | 문자열 | 모니터링되는 엔터티가 생성, 이름 바꾸기, 수정 또는 삭제된 컴퓨터의 이름입니다. |
FileMd5 | 문자열 | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 수정, 생성 또는 삭제된 파일의 MD5를 보유합니다. |
FileName | string | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 생성, 이름 바꾸기, 수정 또는 삭제된 파일의 이름을 보유합니다. |
FilePath | 문자열 | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 생성, 이름 바꾸기, 수정 또는 삭제된 파일의 경로를 보유합니다. |
FileSha1 | 문자열 | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 수정, 생성 또는 삭제된 파일의 SHA1을 보유합니다. |
FileSha256 | 문자열 | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 수정, 생성 또는 삭제된 파일의 SHA256을 보유합니다. |
FileSize | long | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 생성, 이름 바꾸기, 수정 또는 삭제된 파일의 현재 크기(바이트)를 보유합니다. |
FileType | string | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 생성, 이름 바꾸기, 수정 또는 삭제된 파일의 형식을 보유합니다. 가능한 값의 예: Zip, PDF, Xar 등 |
InitiatingProcessAccountDomainName | 문자열 | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 계정 도메인 이름을 보유합니다. |
InitiatingProcessAccountName | 문자열 | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 계정 이름을 보유합니다. |
InitiatingProcessAccountSid | 문자열 | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 계정 SID를 보유합니다. |
InitiatingProcessCreationTime | Datetime | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 생성 시간을 보유합니다. |
InitiatingProcessFirstSeen | Datetime | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 처음 표시된 시간을 보유합니다. |
InitiatingProcessId | long | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 프로세스 ID를 보유합니다. |
InitiatingProcessImageFileName | string | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지 파일 이름을 보유합니다. |
InitiatingProcessImageFilePath | 문자열 | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지 파일 경로를 보유합니다. |
InitiatingProcessImageFileType | 문자열 | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지 파일 형식을 보유합니다. |
InitiatingProcessName | 문자열 | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이름을 보유합니다. |
InitiatingProcessSessionId | long | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 세션 ID를 보유합니다. |
InitiatingProcessSource | string | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 원본을 보유합니다. |
InitProcImageCreationTimeUtc | Datetime | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 생성 시간을 보유합니다. |
InitProcImageFileSizeInBytes | long | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지 파일 크기(바이트)를 보유합니다. |
InitProcImageLastAccessTimeUtc | Datetime | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 마지막 액세스 시간을 보유합니다. |
InitProcImageLastWriteTimeUtc | Datetime | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 마지막 쓰기 시간을 유지합니다. |
InitProcImageLsHash | string | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 LS 해시를 보유합니다. |
InitProcImageMd5 | string | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 MD5를 보유합니다. |
InitProcImagePeTimestampUtc | Datetime | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 PE 시간을 보유합니다. |
InitProcImageSha1 | string | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 이미지 SHA 1을 보유합니다. |
InitProcImageSha256 | string | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 이미지에 대한 SHA 256 이미지를 보유합니다. |
InitProcVersionInfoCompanyName | string | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 회사 이름을 보유합니다. |
InitProcVersionInfoFileDescription | string | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스에 대한 버전 정보 파일 설명을 보유합니다. |
InitProcVersionInfoInternalFileName | 문자열 | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 내부 파일 이름을 보유합니다. |
InitProcVersionInfoOriginalFileName | 문자열 | 모니터링되는 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 원본 파일 이름을 보유합니다. |
InitProcVersionInfoProductName | 문자열 | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 제품 이름을 보유합니다. |
InitProcVersionInfoProductVersion | 문자열 | 모니터링된 엔터티 이벤트를 발생시킨 시작 프로세스의 버전 정보 제품 버전을 보유합니다. |
_IsBillable | 문자열 | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 요금이 청구되지 않습니다. |
MonitoredEntityType | 문자열 | 생성, 이름 바꾸기, 수정 또는 삭제된 모니터링되는 엔터티의 형식입니다. '파일' 또는 '레지스트리'일 수 있습니다. |
NewValueData | 문자열 | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 새 레지스트리 값 데이터를 보유합니다. |
NewValueName | 문자열 | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 새 레지스트리 값 이름을 보유합니다. |
NewValueType | 문자열 | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 새 레지스트리 값 형식을 보유합니다. |
OldValueData | 문자열 | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 이전 레지스트리 값 데이터를 보유합니다. |
OldValueFullRegistryKey | 문자열 | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 이전 전체 레지스트리 키를 보유합니다. |
OldValueName | 문자열 | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 이전 레지스트리 값 이름을 보유합니다. |
OldValueType | 문자열 | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 이전 레지스트리 값 형식을 보유합니다. |
OriginalFileName | 문자열 | '파일' 모니터링 엔터티 형식 및 '이름 바꾸기' 변경 형식과 관련이 있습니다. 이름이 바뀌기 전에 이름이 변경된 파일의 원래 이름을 보유합니다. |
OriginalFilePath | 문자열 | '파일' 모니터링 엔터티 형식 및 '이름 바꾸기' 변경 형식과 관련이 있습니다. 이름이 바뀌기 전에 이름이 변경된 파일의 원래 경로를 보유합니다. |
RegistryHive | 문자열 | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 운영 체제 및 애플리케이션에 대한 그룹화 구성 설정을 보유합니다. |
RegistryKey | string | 모니터링되는 '레지스트리' 엔터티 형식과 관련이 있습니다. 만든 레지스트리의 전체 레지스트리 키 또는 이름이 변경된 레지스트리의 새 레지스트리 키를 보유합니다. |
RequestAccountDomain | string | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자의 계정 도메인을 보유합니다. |
RequestAccountName | string | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자의 계정 이름을 보유합니다. |
RequestAccountSid | 문자열 | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자의 계정 SID를 보유합니다. |
RequestSource | string | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자의 계정 원본을 보유합니다. 예를 들어 Local/SMB/NFS입니다. |
RequestSourceIP | string | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자 계정의 원본 IP를 보유합니다. 원격 파일의 경우 요청이 발생한 IP입니다. |
RequestSourcePort | string | '파일' 모니터링 엔터티 형식과 관련이 있습니다. 파일 이벤트를 발생시킨 사용자 계정의 원본 포트를 보유합니다. 원격 파일의 경우 요청이 발생한 포트입니다. |
SourceSystem | 문자열 | 이벤트가 수집된 에이전트 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
TenantId | 문자열 | Log Analytics 작업 영역 ID |
TimeGenerated | Datetime | 모니터링되는 엔터티가 생성, 이름 변경, 수정 또는 삭제된 시간(UTC)입니다. |
Type | 문자열 | 테이블의 이름입니다. |
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기