MDCFileIntegrityMonitoringEvents
Veja as alterações dos Ficheiros do Windows e do Linux, bem como as chaves do registo de software. Os eventos desta tabela são recolhidos por Microsoft Defender para Endpoint (MDE).
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | LogManagement |
| Registo básico | No |
| Transformação do tempo de ingestão | No |
| Consultas de Exemplo | - |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| AADTenantID | string | O ID de inquilino do AAD da subscrição na qual a entidade monitorizada foi criada, renomeada, modificada ou eliminada. |
| AzureResourceId | string | O ID de recurso do Azure do recurso cuja entidade monitorizada foi criada, renomeada, modificada ou eliminada. |
| _BilledSize | real | O tamanho do registo em bytes |
| ChangeType | string | O tipo de alteração que ocorreu na entidade. Para a entidade "Ficheiro" tem de ser "Criado", "Modificado", "Renomeado" ou "Eliminado". Para a entidade "Registry" tem de ser "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed". |
| CloudIdentifier | string | O identificador da cloud do recurso. |
| CloudProvider | string | O fornecedor de cloud do recurso. |
| CloudResourceType | string | O tipo de recurso da cloud. |
| Computador | string | O nome do computador no qual a entidade monitorizada foi criada, renomeada, modificada ou eliminada. |
| FileMd5 | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o MD5 do ficheiro que foi modificado, criado ou eliminado. |
| NomedoFicheiro | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o nome do ficheiro que foi criado, renomeado, modificado ou eliminado. |
| FilePath | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o caminho do ficheiro que foi criado, renomeado, modificado ou eliminado. |
| FileSha1 | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o SHA1 do ficheiro que foi modificado, criado ou eliminado. |
| FileSha256 | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o SHA256 do ficheiro que foi modificado, criado ou eliminado. |
| FileSize | long | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o tamanho atual (em bytes) do ficheiro que foi criado, renomeado, modificado ou eliminado. |
| Tipo de Ficheiro | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o tipo de ficheiro que foi criado, renomeado, modificado ou eliminado. Exemplo de valores possíveis: Zip, PDF, Xar, etc. |
| InitiatingProcessAccountDomainName | string | Contém o nome de domínio da conta do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessAccountName | string | Contém o nome da conta do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessAccountSid | string | Contém o SID da conta do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessCreationTime | datetime | Mantém a hora de criação do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessFirstSeen | datetime | Contém a primeira hora vista do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessId (IniciarProcessId) | long | Contém o ID do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessImageFileName | string | Contém o nome do ficheiro de imagem do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessImageFilePath | string | Contém o caminho do ficheiro de imagem do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessImageFileType | string | Contém o tipo de ficheiro de imagem do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessName | string | Contém o nome do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessSessionId | long | Contém o ID de sessão do processo de início que causou o evento da entidade monitorizada. |
| InitiatingProcessSource | string | Contém a origem do processo de início que causou o evento da entidade monitorizada. |
| InitProcImageCreationTimeUtc | datetime | Mantém a hora de criação da imagem da imagem do processo de início que causou o evento da entidade monitorizada. |
| InitProcImageFileSizeInBytes | long | Contém o tamanho do ficheiro de imagem (em Bytes) do processo de início que causou o evento da entidade monitorizada. |
| InitProcImageLastAccessTimeUtc | datetime | Contém a hora de último acesso da imagem do processo de início que causou o evento da entidade monitorizada. |
| InitProcImageLastWriteTimeUtc | datetime | Contém a hora da última escrita da imagem do processo de início que causou o evento da entidade monitorizada. |
| InitProcImageLsHash | string | Contém o hash LS da imagem do processo de início que causou o evento da entidade monitorizada. |
| InitProcImageMd5 | string | Contém a imagem MD5 para a imagem do processo de início que causou o evento da entidade monitorizada. |
| InitProcImagePeTimestampUtc | datetime | Contém a imagem tempo PE para a imagem do processo de início que causou o evento da entidade monitorizada. |
| InitProcImageSha1 | string | Contém a imagem SHA 1 para a imagem do processo de início que causou o evento da entidade monitorizada. |
| InitProcImageSha256 | string | Contém a imagem SHA 256 para a imagem do processo de início que causou o evento da entidade monitorizada. |
| InitProcVersionInfoCompanyName | string | Contém as informações de versão do nome da empresa do processo de início que causou o evento da entidade monitorizada. |
| InitProcVersionInfoFileDescription | string | Contém a descrição do ficheiro de informações da versão do processo de início que causou o evento da entidade monitorizada. |
| InitProcVersionInfoInternalFileName | string | Contém o nome de ficheiro interno das informações da versão do processo de início que causou o evento da entidade monitorizada. |
| InitProcVersionInfoOriginalFileName | string | Contém o nome de ficheiro original das informações da versão do processo de início que causou o evento da entidade monitorizada. |
| InitProcVersionInfoProductName | string | Contém o nome do produto de informações de versão do processo de início que causou o evento da entidade monitorizada. |
| InitProcVersionInfoProductVersion | string | Contém a versão do produto de informações de versão do processo de início que causou o evento da entidade monitorizada. |
| _IsBillable | string | Especifica se a ingestão de dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| MonitoredEntityType | string | O tipo da entidade monitorizada que foi criada, renomeada, modificada ou eliminada. Pode ser "Ficheiro" ou "Registo". |
| NewValueData | string | Relevante para o tipo de entidade monitorizada "Registo". Contém os dados do novo valor de registo. |
| NewValueName | string | Relevante para o tipo de entidade monitorizada "Registo". Contém o nome do novo valor de registo. |
| NewValueType | string | Relevante para o tipo de entidade monitorizada "Registo". Contém o tipo de valor Novo registo. |
| OldValueData | string | Relevante para o tipo de entidade monitorizada "Registo". Contém os dados de valor de registo anteriores. |
| OldValueFullRegistryKey | string | Relevante para o tipo de entidade monitorizada "Registo". Contém a chave de registo completa anterior. |
| OldValueName | string | Relevante para o tipo de entidade monitorizada "Registo". Contém o nome do valor de registo anterior. |
| OldValueType | string | Relevante para o tipo de entidade monitorizada "Registo". Contém o tipo de valor de registo anterior. |
| OriginalFileName | string | Relevante para o tipo de entidade monitorizada "Ficheiro" e para um tipo de alteração "Mudar o Nome". Contém o nome original cujo nome foi mudado antes de o nome ter ocorrido. |
| OriginalFilePath | string | Relevante para o tipo de entidade monitorizada "Ficheiro" e para um tipo de alteração "Mudar o nome". Contém o caminho original do ficheiro cujo nome foi mudado, antes de o nome ter ocorrido. |
| RegistryHive | string | Relevante para o tipo de entidade monitorizada "Registo". Contém as definições de configuração de agrupamento para o sistema operativo e as aplicações. |
| RegistryKey | string | Relevante para o tipo de entidade monitorizada "Registo". Contém a chave de registo completa do registo que foi criado ou a nova chave de registo do registo cujo nome foi mudado. |
| RequestAccountDomain | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o domínio da conta do utilizador que causou o evento de ficheiro. |
| RequestAccountName | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o nome da conta do utilizador que causou o evento de ficheiro. |
| RequestAccountSid | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o SID da conta do utilizador que causou o evento de ficheiro. |
| RequestSource | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém a origem da conta do utilizador que causou o evento de ficheiro. Por exemplo, Local/SMB/NFS. |
| RequestSourceIP | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém o IP de origem da conta do utilizador que causou o evento de ficheiro. Para o ficheiro remoto, o IP a partir do qual o pedido foi recebido. |
| RequestSourcePort | string | Relevante para o tipo de entidade monitorizada "Ficheiro". Contém a porta de origem da conta do utilizador que causou o evento de ficheiro. Para o ficheiro remoto, a porta a partir da qual o pedido foi recebido. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | A hora (UTC) em que a entidade monitorizada foi criada, renomeada, modificada ou eliminada. |
| Tipo | string | O nome da tabela |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários