MDECustomCollectionDeviceFileEvents
Esta tabela faz parte do Microsoft Defender para Pontos Finais para o cenário de Coleção Personalizada. Esta tabela contém a criação de ficheiros, modificação e outros eventos do sistema de ficheiros para qualquer coisa explicitamente pedida pelo cliente para recolha.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | LogManagement |
| Registo básico | No |
| Transformação do tempo de ingestão | No |
| Consultas de Exemplo | - |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| ActionType | string | Tipo de atividade que acionou o evento. |
| Campos Adicionais | dynamic | Informações adicionais sobre a entidade ou evento. |
| AppGuardContainerId | string | Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser. |
| _BilledSize | real | O tamanho do registo em bytes |
| DeviceId | string | Identificador exclusivo do dispositivo no serviço. |
| DeviceName | string | Nome de domínio completamente qualificado (FQDN) do dispositivo. |
| NomedoFicheiro | string | Nome do ficheiro ao qual a ação gravada foi aplicada. |
| FileOriginIP | string | Endereço IP do qual o ficheiro foi transferido. |
| FileOriginReferrerUrl | string | URL da página Web que liga ao ficheiro transferido. |
| FileOriginUrl | string | URL do qual o ficheiro foi transferido. |
| FileSize | long | Tamanho do ficheiro em bytes. |
| FolderPath | string | Pasta que contém o ficheiro ao qual a ação gravada foi aplicada. |
| InitProcessAccountDomain | string | Domínio da conta que executou o processo responsável pelo evento. |
| InitProcessAccountName | string | Nome de utilizador da conta que executou o processo responsável pelo evento. |
| InitProcessAccountObjectId | string | Azure AD ID do objeto da conta de utilizador que executou o processo responsável pelo evento. |
| InitProcessAccountSid | string | Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento. |
| InitProcessAccountUpn | string | Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento. |
| InitProcessCommandLine | string | Linha de comandos utilizada para executar o processo que iniciou o evento. |
| InitProcessCreationTime | datetime | Data e hora em que o processo que iniciou o evento foi iniciado. |
| InitProcessFileName | string | Nome do processo que iniciou o evento. |
| InitProcessFileSize | long | Tamanho em bytes do processo (ficheiro de imagem) que iniciou o evento. |
| InitProcessFolderPath | string | Pasta que contém o processo (ficheiro de imagem) que iniciou o evento. |
| InitProcessId | long | ID do Processo (PID) do processo que iniciou o evento. |
| InitProcessIntegrityLevel | string | Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões dos recursos. |
| InitProcessMD5 | string | Hash MD5 do processo (ficheiro de imagem) que iniciou o evento. |
| InitProcessParentCreationTime | datetime | Data e hora em que o principal do processo responsável pelo evento foi iniciado. |
| InitProcessParentFileName | string | Nome do processo principal que gerou o processo responsável pelo evento. |
| InitProcessParentId | long | ID do processo (PID) do processo principal que gerou o processo responsável pelo evento. |
| InitProcessSHA1 | string | Hash SHA-1 do processo (ficheiro de imagem) que iniciou o evento. |
| InitProcessSHA256 | string | Hash SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Normalmente, este campo não é preenchido – utilize a coluna SHA1 quando disponível. |
| InitProcessTokenElevation | string | Tipo de token que indica a presença ou ausência da elevação de privilégios do User Controlo de Acesso (UAC) aplicada ao processo que iniciou o evento. |
| InitProcessVersionInfoCompanyName | string | Nome da empresa a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento. |
| InitProcessVersionInfoFileDescription | string | Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento. |
| InitProcessVersionInfoInternalFileName | string | Nome de ficheiro interno das informações da versão do processo (ficheiro de imagem) responsável pelo evento. |
| InitProcessVersionInfoOriginalFileName | string | Nome de ficheiro original das informações da versão do processo (ficheiro de imagem) responsável pelo evento. |
| InitProcessVersionInfoProductName | string | Nome do produto das informações da versão do processo (ficheiro de imagem) responsável pelo evento. |
| InitProcessVersionInfoProductVersion | string | Versão do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento. |
| IsAzureInfoProtectionApplied | bool | Indica se o ficheiro é encriptado pelo Azure Information Protection. |
| _IsBillable | string | Especifica se a ingestão de dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| MachineGroup | string | Grupo de máquinas do computador. Este grupo é utilizado pelo controlo de acesso baseado em funções para determinar o acesso ao computador. |
| MD5 | string | Hash MD5 do ficheiro no qual foi aplicada a ação registada. |
| PreviousFileName | string | Nome original do ficheiro cujo nome foi mudado como resultado da ação. |
| PreviousFolderPath | string | Pasta original que contém o ficheiro antes da ação gravada ter sido aplicada. |
| ReportId | long | Identificador de evento com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas ComputerName e EventTime. |
| RequestAccountDomain | string | Domínio da conta utilizada para iniciar remotamente a atividade. |
| RequestAccountName | string | Nome de utilizador da conta utilizada para iniciar remotamente a atividade. |
| RequestAccountSid | string | Identificador de Segurança (SID) da conta utilizada para iniciar remotamente a atividade. |
| RequestProtocol | string | O protocolo de rede, se aplicável, é utilizado para iniciar a atividade: Desconhecido, Local, SMB ou NFS. |
| RequestSourceIP | string | Endereço IPv4 ou IPv6 do dispositivo remoto que iniciou a atividade. |
| RequestSourcePort | int | Porta de origem no dispositivo remoto que iniciou a atividade. |
| SensitivityLabel | string | Etiqueta aplicada a um e-mail, ficheiro ou outro conteúdo para classificá-lo para proteção de informações. |
| SensitivitySubLabel | string | Sub-etiqueta aplicada a um e-mail, ficheiro ou outro conteúdo para classificá-lo para proteção de informações; as sub-etiquetas de confidencialidade são agrupadas em etiquetas de confidencialidade, mas são tratadas de forma independente. |
| SHA1 | string | Hash SHA-1 do ficheiro no qual foi aplicada a ação registada. |
| SHA256 | string | SHA-256 do ficheiro ao qual a ação gravada foi aplicada. |
| ShareName | string | Nome da pasta partilhada que contém o ficheiro. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | Data e hora em que o evento foi registado pelo agente MDE no ponto final. |
| Tipo | string | O nome da tabela |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários