DeviceFileEvents
Deze tabel maakt deel uit van Microsoft Defender voor eindpunten met Azure Sentinel. Deze tabel bevat het maken, wijzigen en andere bestandssysteem-gebeurtenissen.
Tabelkenmerken
| Kenmerk | Waarde |
|---|---|
| Resourcetypen | - |
| Categorieën | Beveiliging |
| Oplossingen | SecurityInsights |
| Basic-logboek | No |
| Opnametijdtransformatie | Yes |
| Voorbeeldquery's | - |
Kolommen
| Kolom | Type | Description |
|---|---|---|
| ActionType | tekenreeks | Type activiteit dat de gebeurtenis heeft geactiveerd. |
| AdditionalFields | dynamisch | Aanvullende informatie over de entiteit of gebeurtenis. |
| AppGuardContainerId | tekenreeks | Id voor de gevirtualiseerde container die door Application Guard wordt gebruikt om browseractiviteit te isoleren. |
| _BilledSize | werkelijk | De recordgrootte in bytes |
| DeviceId | tekenreeks | Unieke id voor het apparaat in de service. |
| DeviceName | tekenreeks | Fully Qualified Domain Name (FQDN) van het apparaat. |
| Bestandsnaam | tekenreeks | Naam van het bestand waarop de vastgelegde actie is toegepast. |
| FileOriginIP | tekenreeks | IP-adres waarvandaan het bestand is gedownload. |
| FileOriginReferrerUrl | tekenreeks | URL van de webpagina die is gekoppeld aan het gedownloade bestand. |
| FileOriginUrl | tekenreeks | URL van waaruit het bestand is gedownload. |
| Bestandsgrootte | long | Grootte van het bestand in bytes. |
| FolderPath | tekenreeks | Map met het bestand waarop de vastgelegde actie is toegepast. |
| InitiatingProcessAccountDomain | tekenreeks | Domein van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessAccountName | tekenreeks | Gebruikersnaam van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessAccountObjectId | tekenreeks | Azure AD object-id van het gebruikersaccount dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessAccountSid | tekenreeks | Beveiligings-id (SID) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessAccountUpn | tekenreeks | Upn (User Principal Name) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessCommandLine | tekenreeks | Opdrachtregel die wordt gebruikt om het proces uit te voeren dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessCreationTime | datum/tijd | De datum en tijd waarop het proces dat de gebeurtenis heeft geïnitieerd, is gestart. |
| InitiatingProcessFileName | tekenreeks | Naam van het proces dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessFileSize | long | Grootte in bytes van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessFolderPath | tekenreeks | Map met het proces (afbeeldingsbestand) waarmee de gebeurtenis is gestart. |
| InitiatingProcessId | long | Proces-id (PID) van het proces dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessIntegrityLevel | tekenreeks | Integriteitsniveau van het proces dat de gebeurtenis heeft geïnitieerd. Windows wijst integriteitsniveaus toe aan processen op basis van bepaalde kenmerken, bijvoorbeeld als ze zijn gestart vanuit een internetdownload. Deze integriteitsniveaus zijn van invloed op machtigingen voor resources. |
| InitiatingProcessMD5 | tekenreeks | MD5-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessParentCreationTime | datum/tijd | De datum en tijd waarop de bovenliggende instantie van het proces dat verantwoordelijk is voor de gebeurtenis is gestart. |
| InitiatingProcessParentFileName | tekenreeks | Naam van het bovenliggende proces waaruit het proces is voortgebracht dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessParentId | long | Proces-id (PID) van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessSHA1 | tekenreeks | SHA-1-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessSHA256 | tekenreeks | SHA-256-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. Dit veld wordt meestal niet ingevuld. Gebruik de kolom SHA1 indien beschikbaar. |
| InitiatingProcessTokenElevation | tekenreeks | Tokentype dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het proces dat de gebeurtenis heeft geïnitieerd. |
| InitiatingProcessVersionInfoCompanyName | tekenreeks | Bedrijfsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoFileDescription | tekenreeks | Beschrijving van de versie-informatie van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoInternalFileName | tekenreeks | Interne bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoOriginalFileName | tekenreeks | Oorspronkelijke bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoProductName | tekenreeks | Productnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis. |
| InitiatingProcessVersionInfoProductVersion | tekenreeks | Productversie van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis. |
| IsAzureInfoProtectionApplied | booleaans | Hiermee wordt aangegeven of het bestand is versleuteld door Azure Information Protection. |
| _IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable opname niet wordt false gefactureerd voor uw Azure-account |
| MachineGroup | tekenreeks | Computergroep van de machine. Deze groep wordt gebruikt door op rollen gebaseerd toegangsbeheer om toegang tot de computer te bepalen. |
| MD5 | tekenreeks | MD5-hash van het bestand waarop de vastgelegde actie is toegepast. |
| PreviousFileName | tekenreeks | Oorspronkelijke naam van het bestand waarvan de naam is gewijzigd als gevolg van de actie. |
| PreviousFolderPath | tekenreeks | Oorspronkelijke map met het bestand voordat de opgenomen actie werd toegepast. |
| ReportId | long | Gebeurtenis-id op basis van een herhalend teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen ComputerName en EventTime. |
| RequestAccountDomain | tekenreeks | Domein van het account dat wordt gebruikt om de activiteit op afstand te initiëren. |
| RequestAccountName | tekenreeks | Gebruikersnaam van het account dat wordt gebruikt om de activiteit op afstand te initiëren. |
| RequestAccountSid | tekenreeks | Beveiligings-id (SID) van het account dat wordt gebruikt om de activiteit op afstand te initiëren. |
| RequestProtocol | tekenreeks | Netwerkprotocol, indien van toepassing, dat wordt gebruikt om de activiteit te initiëren: Onbekend, Lokaal, SMB of NFS. |
| RequestSourceIP | tekenreeks | IPv4- of IPv6-adres van het externe apparaat dat de activiteit heeft geïnitieerd. |
| RequestSourcePort | int | Bronpoort op het externe apparaat dat de activiteit heeft geïnitieerd. |
| SensitivityLabel | tekenreeks | Label dat is toegepast op een e-mail, bestand of andere inhoud om deze te classificeren voor gegevensbeveiliging. |
| SensitivitySubLabel | tekenreeks | Sublabel toegepast op een e-mail, bestand of andere inhoud om deze te classificeren voor informatiebeveiliging; gevoeligheidssublabels worden gegroepeerd onder vertrouwelijkheidslabels, maar worden onafhankelijk behandeld. |
| SHA1 | tekenreeks | SHA-1-hash van het bestand waarop de opgenomen actie is toegepast. |
| SHA256 | tekenreeks | SHA-256 van het bestand waarop de vastgelegde actie is toegepast. |
| Sharenaam | tekenreeks | Naam van de gedeelde map die het bestand bevat. |
| SourceSystem | tekenreeks | Het type agent waarvan de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
| TimeGenerated | datum/tijd | De datum en tijd waarop de gebeurtenis is vastgelegd door de MDE-agent op het eindpunt. |
| Type | tekenreeks | De naam van de tabel |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor