MDCFileIntegrityMonitoringEvents
Bekijk wijzigingen van Windows- en Linux-bestanden, evenals van softwareregistersleutels. Gebeurtenissen uit deze tabel worden verzameld door Microsoft Defender voor Eindpunt (MDE).
Tabelkenmerken
Kenmerk | Waarde |
---|---|
Resourcetypen | - |
Categorieën | Beveiliging |
Oplossingen | LogManagement |
Basislogboek | No |
Opnametijdtransformatie | No |
Voorbeeldquery's | - |
Kolommen
Kolom | Type | Description |
---|---|---|
AADTenantID | tekenreeks | De AAD-tenant-id van het abonnement waarin de bewaakte entiteit is gemaakt, hernoemd, gewijzigd of verwijderd. |
AzureResourceId | tekenreeks | De Azure-resource-id van de resource waarvan de bewaakte entiteit is gemaakt, hernoemd, gewijzigd of verwijderd. |
_BilledSize | werkelijk | De recordgrootte in bytes |
ChangeType | tekenreeks | Het type wijziging dat is opgetreden op de entiteit. Voor 'Bestand' moet de entiteit 'Gemaakt', 'Gewijzigd', 'Hernoemd' of 'Verwijderd' zijn. Voor 'Registry' moet de entiteit 'RegistryKeyCreated', 'RegistryKeyDeleted', 'RegistryValueSet', 'RegistryValueDeleted', 'RegistryKeyRenamed' zijn. |
CloudIdentifier | tekenreeks | De cloud-id van de resource. |
CloudProvider | tekenreeks | De cloudprovider van de resource. |
CloudResourceType | tekenreeks | Het type cloudresource. |
Computer | tekenreeks | De naam van de computer waarop de bewaakte entiteit is gemaakt, waarvan de naam is gewijzigd, gewijzigd of verwijderd. |
FileMd5 | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de MD5 van het bestand dat is gewijzigd, gemaakt of verwijderd. |
Bestandsnaam | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de naam van het bestand dat is gemaakt, hernoemd, gewijzigd of verwijderd. |
Filepath | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat het pad van het bestand dat is gemaakt, hernoemd, gewijzigd of verwijderd. |
FileSha1 | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de SHA1 van het bestand dat is gewijzigd, gemaakt of verwijderd. |
FileSha256 | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de SHA256 van het bestand dat is gewijzigd, gemaakt of verwijderd. |
Bestandsgrootte | long | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de huidige grootte (in bytes) van het bestand dat is gemaakt, hernoemd, gewijzigd of verwijderd. |
Bestandstype | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat het type bestand dat is gemaakt, hernoemd, gewijzigd of verwijderd. Voorbeeld van mogelijke waarden: Zip, PDF, Xar, enzovoort. |
InitiatingProcessAccountDomainName | tekenreeks | Bevat de accountdomeinnaam van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessAccountName | tekenreeks | Bevat de accountnaam van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessAccountSid | tekenreeks | Bevat de account-SID van het initiërende proces dat de bewaakte entiteitsgebeurtenis heeft veroorzaakt. |
InitiatingProcessCreationTime | datum/tijd | Bevat de aanmaaktijd van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessFirstSeen | datum/tijd | Bevat de eerste keer dat het initiërende proces de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessId | long | Bevat de proces-id van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessImageFileName | tekenreeks | Bevat de naam van het installatiekopiebestand van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessImageFilePath | tekenreeks | Bevat het pad naar het installatiekopiebestand van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessImageFileType | tekenreeks | Bevat het afbeeldingsbestandstype van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessName | tekenreeks | Bevat de naam van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessSessionId | long | Bevat de sessie-id van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitiatingProcessSource | tekenreeks | Bevat de bron van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcImageCreationTimeUtc | datum/tijd | Bevat de aanmaaktijd van de installatiekopie voor de installatiekopie van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcImageFileSizeInBytes | long | Bevat de grootte van het afbeeldingsbestand (in bytes) van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcImageLastAccessTimeUtc | datum/tijd | Bevat de laatste toegangstijd van de installatiekopie voor de installatiekopie van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcImageLastWriteTimeUtc | datum/tijd | Bevat de laatste schrijftijd van de installatiekopie voor de installatiekopie van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcImageLsHash | tekenreeks | Bevat de LS-hash van de installatiekopie voor de installatiekopie van het initiërende proces dat de bewaakte entiteits gebeurtenis heeft veroorzaakt. |
InitProcImageMd5 | tekenreeks | Bevat de installatiekopie MD5 voor de installatiekopie van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcImagePeTimestampUtc | datum/tijd | Bevat de PE-tijd van de installatiekopie voor de installatiekopie van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcImageSha1 | tekenreeks | Bevat de installatiekopie SHA 1 voor de installatiekopie van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcImageSha256 | tekenreeks | Bevat de installatiekopie SHA 256 voor de afbeelding van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcVersionInfoCompanyName | tekenreeks | Bevat de bedrijfsnaam van de versiegegevens van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcVersionInfoFileDescription | tekenreeks | Bevat de beschrijving van het versiegegevensbestand van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcVersionInfoInternalFileName | tekenreeks | Bevat de interne bestandsnaam van de versiegegevens van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcVersionInfoOriginalFileName | tekenreeks | Bevat de oorspronkelijke bestandsnaam van de versiegegevens van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcVersionInfoProductName | tekenreeks | Bevat de productnaam van de versiegegevens van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
InitProcVersionInfoProductVersion | tekenreeks | Bevat de productversie van de versiegegevens van het initiërende proces dat de gebeurtenis van de bewaakte entiteit heeft veroorzaakt. |
_IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable opname niet wordt false gefactureerd voor uw Azure-account |
MonitoredEntityType | tekenreeks | Het type van de bewaakte entiteit dat is gemaakt, waarvan de naam is gewijzigd, gewijzigd of verwijderd. Kan 'Bestand' of 'Register' zijn. |
NewValueData | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat de gegevens van de nieuwe registerwaarde. |
NewValueName | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat de naam van de nieuwe registerwaarde. |
NewValueType | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat het type Nieuwe registerwaarde. |
OldValueData | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat de vorige registerwaardegegevens. |
OldValueFullRegistryKey | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat de vorige volledige registersleutel. |
OldValueName | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat de naam van de vorige registerwaarde. |
OldValueType | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat het vorige registerwaardetype. |
OriginalFileName | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand' en voor een wijzigingstype 'Naam wijzigen'. Bevat de oorspronkelijke naam van het bestand dat is gewijzigd, voordat de naam is gewijzigd. |
OriginalFilePath | tekenreeks | Relevant voor het bewaakte entiteitstype Bestand en voor het wijzigingstype Naam wijzigen. Bevat het oorspronkelijke pad van het bestand waarvan de naam is gewijzigd, voordat de naam is gewijzigd. |
RegistryHive | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat de groepeerconfiguratie-instellingen voor het besturingssysteem en toepassingen. |
RegistryKey | tekenreeks | Relevant voor het bewaakte entiteitstype Register. Bevat de volledige registersleutel van het register dat is gemaakt of de nieuwe registersleutel van het register waarvan de naam is gewijzigd. |
RequestAccountDomain | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat het domein van het account van de gebruiker die de bestands gebeurtenis heeft veroorzaakt. |
RequestAccountName | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de naam van het account van de gebruiker die de bestands gebeurtenis heeft veroorzaakt. |
RequestAccountsid | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de SID van het account van de gebruiker die de bestandsgebeurtenis heeft veroorzaakt. |
RequestSource | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de bron van het account van de gebruiker die de bestands gebeurtenis heeft veroorzaakt. Bijvoorbeeld Lokaal/SMB/NFS. |
RequestSourceIP | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat het bron-IP-adres van het account van de gebruiker die de bestands gebeurtenis heeft veroorzaakt. Voor extern bestand, het IP-adres waarvan de aanvraag afkomstig is. |
RequestSourcePort | tekenreeks | Relevant voor het bewaakte entiteitstype 'Bestand'. Bevat de bronpoort van het account van de gebruiker die de bestands gebeurtenis heeft veroorzaakt. Voor een extern bestand, de poort van waaruit de aanvraag afkomstig is. |
SourceSystem | tekenreeks | Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
TimeGenerated | datum/tijd | De tijd (UTC) waarop de bewaakte entiteit is gemaakt, hernoemd, gewijzigd of verwijderd. |
Type | tekenreeks | De naam van de tabel |
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor