MDCFileIntegrityMonitoringEvents
Просмотр изменений файлов Windows и Linux, а также разделов реестра программного обеспечения. События из этой таблицы собираются Microsoft Defender для конечной точки (MDE).
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | LogManagement |
| Базовый журнал | Нет |
| Преобразование во время приема | Нет |
| Примеры запросов | - |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AADTenantID | строка | Идентификатор клиента AAD подписки, в которой отслеживаемая сущность была создана, переименована, изменена или удалена. |
| AzureResourceId | строка | Идентификатор ресурса Azure, отслеживаемая сущность которого была создана, переименована, изменена или удалена. |
| _BilledSize | real | Размер записи в байтах |
| ChangeType | строка | Тип изменения, которое произошло в сущности. Для сущности "Файл" должно быть "Создано", "Изменено", "Переименовано" или "Удалено". Для сущности Registry необходимо иметь значение RegistryKeyCreated, RegistryKeyDeleted, RegistryValueSet, RegistryValueDeleted, RegistryKeyRenamed. |
| CloudIdentifier | строка | Идентификатор облака ресурса. |
| CloudProvider | строка | Поставщик облачных служб ресурса. |
| CloudResourceType | строка | Тип облачного ресурса. |
| Компьютер | строка | Имя компьютера, на котором была создана, переименована, изменена или удалена отслеживаемая сущность. |
| FileMd5 | строка | Относится к типу отслеживаемой сущности File. Содержит MD5 файла, который был изменен, создан или удален. |
| FileName | строка | Относится к типу отслеживаемой сущности File. Содержит имя файла, который был создан, переименован, изменен или удален. |
| FilePath | строка | Относится к типу отслеживаемой сущности File. Содержит путь к файлу, который был создан, переименован, изменен или удален. |
| FileSha1 | строка | Относится к типу отслеживаемой сущности File. Содержит SHA1 файла, который был изменен, создан или удален. |
| FileSha256 | строка | Относится к типу отслеживаемой сущности File. Содержит SHA256 файла, который был изменен, создан или удален. |
| FileSize | long | Относится к типу отслеживаемой сущности File. Содержит текущий размер (в байтах) файла, который был создан, переименован, изменен или удален. |
| FileType | строка | Относится к типу отслеживаемой сущности File. Содержит тип файла, который был создан, переименован, изменен или удален. Пример возможных значений: Zip, PDF, Xar и т. д. |
| InitiatingProcessAccountDomainName | строка | Содержит доменное имя учетной записи инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessAccountName | строка | Содержит имя учетной записи инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessAccountSid | строка | Содержит идентификатор безопасности учетной записи инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessCreationTime | DATETIME | Содержит время создания инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessFirstSeen | DATETIME | Содержит первое время запуска процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessId | long | Содержит идентификатор процесса, инициирующего процесс, который вызвал событие отслеживаемой сущности. |
| InitiatingProcessImageFileName | строка | Содержит имя файла образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessImageFilePath | строка | Содержит путь к файлу образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessImageFileType | строка | Содержит тип файла образа инициирующего процесса, вызвавшего отслеживаемое событие сущности. |
| InitiatingProcessName | строка | Содержит имя инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessSessionId | long | Содержит идентификатор сеанса инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitiatingProcessSource | строка | Содержит источник инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageCreationTimeUtc | DATETIME | Содержит время создания образа для образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageFileSizeInBytes | long | Содержит размер файла изображения (в байтах) инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageLastAccessTimeUtc | DATETIME | Содержит время последнего доступа к образу инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageLastWriteTimeUtc | DATETIME | Содержит время последней записи изображения для образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageLsHash | строка | Содержит хэш LS образа для образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageMd5 | строка | Содержит образ MD5 для образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImagePeTimestampUtc | DATETIME | Содержит время pe image для образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageSha1 | строка | Содержит образ SHA 1 для образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageSha256 | строка | Содержит образ SHA 256 для образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcVersionInfoCompanyName | строка | Содержит сведения о версии название компании инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcVersionInfoFileDescription | строка | Содержит описание файла сведений о версии процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcVersionInfoInternalFileName | строка | Содержит внутреннее имя файла сведений о версии инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcVersionInfoOriginalFileName | строка | Содержит сведения о версии исходного имени файла инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcVersionInfoProductName | строка | Содержит имя продукта со сведениями о версии инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcVersionInfoProductVersion | строка | Содержит версию продукта со сведениями о версии инициирующего процесса, вызвавшего отслеживаемое событие сущности. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| MonitoredEntityType | строка | Тип отслеживаемой сущности, которая была создана, переименована, изменена или удалена. Может иметь значение "Файл" или "Реестр". |
| NewValueData | строка | Относится к отслеживаемого типа сущности Registry. Содержит данные нового значения реестра. |
| NewValueName | строка | Относится к отслеживаемого типа сущности Registry. Содержит имя нового значения реестра. |
| NewValueType | строка | Относится к отслеживаемого типа сущности Registry. Содержит тип нового значения реестра. |
| OldValueData | строка | Относится к отслеживаемого типа сущности Registry. Содержит данные предыдущих значений реестра. |
| OldValueFullRegistryKey | строка | Относится к отслеживаемого типа сущности Registry. Содержит предыдущий полный раздел реестра. |
| OldValueName | строка | Относится к отслеживаемого типа сущности Registry. Содержит предыдущее имя значения реестра. |
| OldValueType | строка | Относится к отслеживаемого типа сущности Registry. Содержит предыдущий тип значения реестра. |
| OriginalFileName | строка | Относится к отслеживаемого типа сущности "Файл" и типу изменения "Переименовать". Содержит исходное имя файла, который был переименован до переименования. |
| OriginalFilePath | строка | Относится к типу отслеживаемой сущности "Файл" и типу изменения "Переименовать". Содержит исходный путь к файлу, который был переименован до переименования. |
| RegistryHive | строка | Относится к типу отслеживаемой сущности Реестра. Содержит параметры конфигурации группировки для операционной системы и приложений. |
| RegistryKey | строка | Относится к типу отслеживаемой сущности Реестра. Содержит полный раздел реестра, который был создан, или новый раздел реестра, который был переименован. |
| RequestAccountDomain | строка | Относится к типу отслеживаемой сущности File. Содержит домен учетной записи пользователя, вызвавшего событие файла. |
| RequestAccountName | строка | Относится к типу отслеживаемой сущности File. Содержит имя учетной записи пользователя, вызвавшего событие файла. |
| RequestAccountSid | строка | Относится к типу отслеживаемой сущности File. Содержит идентификатор безопасности учетной записи пользователя, вызвавшего событие файла. |
| RequestSource | строка | Относится к типу отслеживаемой сущности File. Содержит источник учетной записи пользователя, вызвавшего событие файла. Например, Local/SMB/NFS. |
| RequestSourceIP | строка | Относится к типу отслеживаемой сущности File. Содержит исходный IP-адрес учетной записи пользователя, вызвавшего событие файла. Для удаленного файла — IP-адрес, с которого поступил запрос. |
| RequestSourcePort | строка | Относится к типу отслеживаемой сущности File. Содержит исходный порт учетной записи пользователя, вызвавшего событие файла. Для удаленного файла — порт, с которого поступил запрос. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Время (UTC) создания, переименования, изменения или удаления отслеживаемой сущности. |
| Тип | строка | Имя таблицы. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по