DeviceFileEventsDeviceFileEvents

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing op:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender voor EindpuntMicrosoft Defender for Endpoint

De DeviceFileEvents tabel in het geavanceerde schema bevat informatie over het maken, wijzigen en andere bestandssysteemgebeurtenissen.The DeviceFileEvents table in the advanced hunting schema contains information about file creation, modification, and other file system events. Gebruik deze verwijzing om query's te maken die gegevens uit deze tabel retourneren.Use this reference to construct queries that return information from this table.

Tip

Voor gedetailleerde informatie over de gebeurtenissentypen (waarden) die door een tabel worden ondersteund, gebruikt u de ActionType ingebouwde schemaverwijzing die beschikbaar is in het beveiligingscentrum.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Zie de geavanceerde zoekverwijzing voor meer informatie over andere tabellen in het geavanceerde schema voor de jacht.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

KolomnaamColumn name GegevenstypeData type BeschrijvingDescription
Timestamp datetimedatetime Datum en tijd waarop de gebeurtenis is opgenomenDate and time when the event was recorded
DeviceId tekenreeksstring Unieke id voor de machine in de serviceUnique identifier for the machine in the service
DeviceName tekenreeksstring Volledig gekwalificeerde domeinnaam (FQDN) van de computerFully qualified domain name (FQDN) of the machine
ActionType tekenreeksstring Type activiteit dat de gebeurtenis heeft geactiveerd.Type of activity that triggered the event. Zie de in-portal schemaverwijzing voor meer informatieSee the in-portal schema reference for details
FileName tekenreeksstring Naam van het bestand waar de opgenomen actie op is toegepastName of the file that the recorded action was applied to
FolderPath tekenreeksstring Map met het bestand waarin de opgenomen actie is toegepastFolder containing the file that the recorded action was applied to
SHA1 tekenreeksstring SHA-1 van het bestand waar de opgenomen actie op is toegepastSHA-1 of the file that the recorded action was applied to
SHA256 tekenreeksstring SHA-256 van het bestand waar de opgenomen actie op is toegepast.SHA-256 of the file that the recorded action was applied to. Dit veld wordt meestal niet ingevuld: gebruik de kolom SHA1 wanneer deze beschikbaar is.This field is usually not populated — use the SHA1 column when available.
MD5 tekenreeksstring MD5-hash van het bestand waar de opgenomen actie op is toegepastMD5 hash of the file that the recorded action was applied to
FileOriginUrl tekenreeksstring URL waar het bestand is gedownloadURL where the file was downloaded from
FileOriginReferrerUrl tekenreeksstring URL van de webpagina die een koppeling naar het gedownloade bestand bevatURL of the web page that links to the downloaded file
FileOriginIP tekenreeksstring IP-adres waar het bestand is gedownloadIP address where the file was downloaded from
PreviousFolderPath tekenreeksstring Oorspronkelijke map met het bestand voordat de opgenomen actie werd toegepastOriginal folder containing the file before the recorded action was applied
PreviousFileName tekenreeksstring Oorspronkelijke naam van het bestand dat de naam heeft gewijzigd als gevolg van de actieOriginal name of the file that was renamed as a result of the action
FileSize langlong Grootte van het bestand in bytesSize of the file in bytes
InitiatingProcessAccountDomain tekenreeksstring Domein van het account dat het proces heeft doorlopen dat verantwoordelijk is voor de gebeurtenisDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName tekenreeksstring Gebruikersnaam van het account dat het proces heeft doorlopen dat verantwoordelijk is voor de gebeurtenisUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid tekenreeksstring Beveiligingsaanduiding (SID) van het account dat het proces heeft doorlopen dat verantwoordelijk is voor de gebeurtenisSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessAccountUpn tekenreeksstring User principal name (UPN) of the account that ran the process responsible for the eventUser principal name (UPN) of the account that ran the process responsible for the event
InitiatingProcessAccountObjectId tekenreeksstring Azure AD-object-id van het gebruikersaccount dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenisAzure AD object ID of the user account that ran the process responsible for the event
InitiatingProcessMD5 tekenreeksstring MD5-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft gestartMD5 hash of the process (image file) that initiated the event
InitiatingProcessSHA1 tekenreeksstring SHA-1 van het proces (afbeeldingsbestand) dat de gebeurtenis heeft gestartSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 tekenreeksstring SHA-256 van het proces (afbeeldingsbestand) dat de gebeurtenis heeft gestart.SHA-256 of the process (image file) that initiated the event. Dit veld wordt meestal niet ingevuld: gebruik de kolom SHA1 wanneer deze beschikbaar is.This field is usually not populated — use the SHA1 column when available.
InitiatingProcessFolderPath tekenreeksstring Map met het proces (afbeeldingsbestand) dat de gebeurtenis heeft gestartFolder containing the process (image file) that initiated the event
InitiatingProcessFileName tekenreeksstring Naam van het proces dat de gebeurtenis heeft gestartName of the process that initiated the event
InitiatingProcessFileSize langlong Grootte van het proces (afbeeldingsbestand) dat de gebeurtenis heeft gestartSize of the process (image file) that initiated the event
InitiatingProcessVersionInfoCompanyName tekenreeksstring Bedrijfsnaam van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenisCompany name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductName tekenreeksstring Productnaam van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenisProduct name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductVersion tekenreeksstring Productversie van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenisProduct version from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoInternalFileName tekenreeksstring Interne bestandsnaam van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenisInternal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoOriginalFileName tekenreeksstring Oorspronkelijke bestandsnaam van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenisOriginal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoFileDescription tekenreeksstring Beschrijving van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenisDescription from the version information of the process (image file) responsible for the event
InitiatingProcessId intint Proces-id (PID) van het proces dat de gebeurtenis heeft gestartProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine tekenreeksstring Opdrachtregel die wordt gebruikt om het proces uit te voeren waarmee de gebeurtenis is gestartCommand line used to run the process that initiated the event
InitiatingProcessCreationTime datetimedatetime Datum en tijd waarop het proces dat de gebeurtenis heeft gestart is gestartDate and time when the process that initiated the event was started
InitiatingProcessIntegrityLevel tekenreeksstring Integriteitsniveau van het proces dat de gebeurtenis heeft gestart.Integrity level of the process that initiated the event. Windows worden integriteitsniveaus toegewezen aan processen op basis van bepaalde kenmerken, bijvoorbeeld als ze zijn gestart via een internet-download.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. Deze integriteitsniveaus zijn van invloed op machtigingen voor resourcesThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation tekenreeksstring Tokentype dat aangeeft dat de aanwezigheid of afwezigheid van UAC-bevoegdheden (User Access Control) is toegepast op het proces waarmee de gebeurtenis is gestartToken type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessParentId intint Proces-id (PID) van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenisProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName tekenreeksstring Naam van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenisName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime datetimedatetime Datum en tijd waarop het bovenliggende deel van het proces dat verantwoordelijk is voor de gebeurtenis is gestartDate and time when the parent of the process responsible for the event was started
RequestProtocol tekenreeksstring Netwerkprotocol, indien van toepassing, dat wordt gebruikt om de activiteit te starten: Onbekend, Lokaal, SMB of NFSNetwork protocol, if applicable, used to initiate the activity: Unknown, Local, SMB, or NFS
RequestSourceIP tekenreeksstring IPv4- of IPv6-adres van het externe apparaat dat de activiteit heeft gestartIPv4 or IPv6 address of the remote device that initiated the activity
RequestSourcePort tekenreeksstring Bronpoort op het externe apparaat dat de activiteit heeft gestartSource port on the remote device that initiated the activity
RequestAccountName tekenreeksstring Gebruikersnaam van het account dat wordt gebruikt om de activiteit op afstand te startenUser name of account used to remotely initiate the activity
RequestAccountDomain tekenreeksstring Domein van het account dat wordt gebruikt om de activiteit op afstand te startenDomain of the account used to remotely initiate the activity
RequestAccountSid tekenreeksstring Beveiligingsaanduiding (SID) van het account dat wordt gebruikt om de activiteit op afstand te startenSecurity Identifier (SID) of the account used to remotely initiate the activity
ShareName tekenreeksstring Naam van de gedeelde map met het bestandName of shared folder containing the file
InitiatingProcessFileSize langlong Grootte van het bestand dat het proces heeft doorlopen dat verantwoordelijk is voor de gebeurtenisSize of the file that ran the process responsible for the event
SensitivityLabel tekenreeksstring Label toegepast op een e-mailbericht, bestand of andere inhoud om deze te classificeren voor informatiebeveiligingLabel applied to an email, file, or other content to classify it for information protection
SensitivitySubLabel tekenreeksstring Sublabel dat is toegepast op een e-mailbericht, bestand of andere inhoud om deze te classificeren voor informatiebeveiliging; gevoeligheidssublabels worden gegroepeerd onder gevoeligheidslabels, maar worden onafhankelijk van elkaar behandeldSublabel applied to an email, file, or other content to classify it for information protection; sensitivity sublabels are grouped under sensitivity labels but are treated independently
IsAzureInfoProtectionApplied booleaanseboolean Geeft aan of het bestand is versleuteld door Azure Information ProtectionIndicates whether the file is encrypted by Azure Information Protection
ReportId langlong Gebeurtenis-id op basis van een herhalende teller.Event identifier based on a repeating counter. Als u unieke gebeurtenissen wilt identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp.To identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns.
AppGuardContainerId tekenreeksstring Id voor de gevirtualiseerde container die door Application Guard wordt gebruikt om browseractiviteit te isolerenIdentifier for the virtualized container used by Application Guard to isolate browser activity
AdditionalFields tekenreeksstring Aanvullende informatie over de entiteit of gebeurtenisAdditional information about the entity or event

Notitie

Bestandshashgegevens worden altijd weergegeven wanneer deze beschikbaar zijn.File hash information will always be shown when it is available. Er zijn echter verschillende mogelijke redenen waarom een SHA1, SHA256 of MD5 niet kan worden berekend.However, there are several possible reasons why a SHA1, SHA256, or MD5 cannot be calculated. Het bestand bevindt zich bijvoorbeeld in externe opslag, vergrendeld door een ander proces, gecomprimeerd of gemarkeerd als virtueel.For instance, the file might be located in remote storage, locked by another process, compressed, or marked as virtual. In deze scenario's worden de bestandshashgegevens leeg weergegeven.In these scenarios, the file hash information appears empty.