DeviceFileEventsDeviceFileEvents

Важно!

Доступен улучшенный Центр безопасности Microsoft 365.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint

Таблица DeviceFileEvents в продвинутой схеме охоты содержит сведения о создании файлов, изменении и других событиях файловой системы.The DeviceFileEvents table in the advanced hunting schema contains information about file creation, modification, and other file system events. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.Use this reference to construct queries that return information from this table.

Совет

Подробные сведения о типах событий (значениях), поддерживаемых таблицей, используйте встроенную ссылку на схему, доступную ActionType в центре безопасности.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

Имя столбцаColumn name Тип данныхData type ОписаниеDescription
Timestamp datetimedatetime Дата и время записи событияDate and time when the event was recorded
DeviceId stringstring Уникальный идентификатор для обслуживаемого компьютераUnique identifier for the machine in the service
DeviceName stringstring Полное доменное имя компьютераFully qualified domain name (FQDN) of the machine
ActionType stringstring Тип действий, которые вызвали событие.Type of activity that triggered the event. Подробные сведения см. в справке по схеме на порталеSee the in-portal schema reference for details
FileName stringstring Имя файла, к которому было применено записанное действиеName of the file that the recorded action was applied to
FolderPath stringstring Папка, содержащая файл, к котором было применено записано действиеFolder containing the file that the recorded action was applied to
SHA1 stringstring SHA-1 файла, к которому было применено записанное действиеSHA-1 of the file that the recorded action was applied to
SHA256 stringstring SHA-256 файла, к которому было применено записанное действиеSHA-256 of the file that the recorded action was applied to. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.This field is usually not populated — use the SHA1 column when available.
MD5 stringstring Hash MD5 файла, к который было применено записано действиеMD5 hash of the file that the recorded action was applied to
FileOriginUrl Stringstring URL-адрес, в котором файл был загружен изURL where the file was downloaded from
FileOriginReferrerUrl Stringstring URL-адрес веб-страницы, ссылаемой на загруженный файлURL of the web page that links to the downloaded file
FileOriginIP Stringstring IP-адрес, на который был загружен файл сIP address where the file was downloaded from
PreviousFolderPath Stringstring Оригинальная папка, содержащая файл перед примененным действиемOriginal folder containing the file before the recorded action was applied
PreviousFileName Stringstring Исходное имя файла, переименованного в результате действияOriginal name of the file that was renamed as a result of the action
FileSize longlong Размер файла в bytesSize of the file in bytes
InitiatingProcessAccountDomain Stringstring Домен учетной записи, которая управляла процессом, ответственным за событиеDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName Stringstring Имя пользователя учетной записи, которая запустила процесс, ответственный за событиеUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid Stringstring Идентификатор безопасности (SID) учетной записи, которая управляла процессом, ответственным за событиеSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessAccountUpn Stringstring Основное имя пользователя (UPN) учетной записи, которая управляла процессом, ответственным за событиеUser principal name (UPN) of the account that ran the process responsible for the event
InitiatingProcessAccountObjectId Stringstring ID объекта Azure AD учетной записи пользователя, которая запустила процесс, ответственный за событиеAzure AD object ID of the user account that ran the process responsible for the event
InitiatingProcessMD5 Stringstring AD5 hash of the process (image file), that initiated the eventMD5 hash of the process (image file) that initiated the event
InitiatingProcessSHA1 Stringstring SHA-1 процесса (файла изображений), который инициировал событиеSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 Stringstring SHA-256 процесса (файла изображений), который инициировал событие.SHA-256 of the process (image file) that initiated the event. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.This field is usually not populated — use the SHA1 column when available.
InitiatingProcessFolderPath stringstring Папка, содержащая процесс (файл изображений), который инициировал событиеFolder containing the process (image file) that initiated the event
InitiatingProcessFileName Stringstring Имя процесса, который инициировал событиеName of the process that initiated the event
InitiatingProcessFileSize longlong Размер процесса (файла изображений), который инициировал событиеSize of the process (image file) that initiated the event
InitiatingProcessVersionInfoCompanyName Stringstring Название компании из сведений о версии процесса (файла изображений), ответственного за событиеCompany name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductName Stringstring Имя продукта из сведений о версии процесса (файл изображений), ответственных за событиеProduct name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductVersion Stringstring Версия продукта из сведений о версии процесса (файла изображений), ответственного за событиеProduct version from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoInternalFileName Stringstring Имя внутреннего файла из сведений о версии процесса (файла изображений), ответственного за событиеInternal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoOriginalFileName Stringstring Исходное имя файла из версии данных процесса (файла изображений), ответственного за событиеOriginal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoFileDescription Stringstring Описание из сведений о версии процесса (файла изображений), ответственного за событиеDescription from the version information of the process (image file) responsible for the event
InitiatingProcessId intint Процесс ID (PID) процесса, который инициировал событиеProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine Stringstring Командная строка, используемая для запуска процесса, инициированного событиемCommand line used to run the process that initiated the event
InitiatingProcessCreationTime datetimedatetime Дата и время начала процесса запуска событияDate and time when the process that initiated the event was started
InitiatingProcessIntegrityLevel Stringstring Уровень целостности процесса, который инициировал событие.Integrity level of the process that initiated the event. Windows назначает уровни целостности процессам, основанным на определенных характеристиках, например, если они были запущены из скачивания в Интернете.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. Эти уровни целостности влияют на разрешения на ресурсыThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation Stringstring Тип маркера, указывающий на наличие или отсутствие высоты привилегий управления пользовательским доступом (UAC), применяемой к процессу, инициировал событие.Token type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessParentId intint Process ID (PID) родительского процесса, который породил процесс, ответственный за событиеProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName Stringstring Имя родительского процесса, который породил процесс, ответственный за событиеName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime datetimedatetime Дата и время запуска родительского процесса, ответственного за событиеDate and time when the parent of the process responsible for the event was started
RequestProtocol Stringstring Сетевой протокол, если это применимо, используется для инициализа действия: Unknown, Local, SMB или NFSNetwork protocol, if applicable, used to initiate the activity: Unknown, Local, SMB, or NFS
RequestSourceIP Stringstring IPv4 или IPv6 адрес удаленного устройства, которое инициировало действиеIPv4 or IPv6 address of the remote device that initiated the activity
RequestSourcePort Stringstring Исходный порт на удаленном устройстве, которое инициировало действиеSource port on the remote device that initiated the activity
RequestAccountName Stringstring Имя пользователя учетной записи, используемой для удаленного инициа-User name of account used to remotely initiate the activity
RequestAccountDomain Stringstring Домен учетной записи, используемой для удаленного инициа-Domain of the account used to remotely initiate the activity
RequestAccountSid Stringstring Идентификатор безопасности (SID) учетной записи, используемой для удаленного начала действияSecurity Identifier (SID) of the account used to remotely initiate the activity
ShareName Stringstring Имя общей папки, содержащей файлName of shared folder containing the file
InitiatingProcessFileSize longlong Размер файла, который запустил процесс, ответственный за событиеSize of the file that ran the process responsible for the event
SensitivityLabel Stringstring Метка, примененная к электронной почте, файлу или другому содержимому для классификации его для защиты информацииLabel applied to an email, file, or other content to classify it for information protection
SensitivitySubLabel Stringstring Sublabel применяется к электронной почте, файлу или другому контенту, чтобы классифицировать его для защиты информации; Подклабели чувствительности группироваться под метки чувствительности, но обрабатываются независимоSublabel applied to an email, file, or other content to classify it for information protection; sensitivity sublabels are grouped under sensitivity labels but are treated independently
IsAzureInfoProtectionApplied booleanboolean Указывает, шифруется ли файл в Azure Information ProtectionIndicates whether the file is encrypted by Azure Information Protection
ReportId longlong Идентификатор события на основе повторяющегося счетчика.Event identifier based on a repeating counter. Для определения уникальных событий этот столбец должен использоваться в сочетании со столбцами DeviceName и Timestamp.To identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns.
AppGuardContainerId Stringstring Идентификатор виртуализированного контейнера, используемого службой Application Guard для изоляции активности браузераIdentifier for the virtualized container used by Application Guard to isolate browser activity
AdditionalFields Stringstring Дополнительные сведения об объекте или событииAdditional information about the entity or event

Примечание

Сведения о hash файла всегда будут показаны, когда они доступны.File hash information will always be shown when it is available. Однако существует несколько возможных причин, по которым не удается вычислить SHA1, SHA256 или MD5.However, there are several possible reasons why a SHA1, SHA256, or MD5 cannot be calculated. Например, файл может быть расположен в удаленном хранилище, заблокирован другим процессом, сжатым или помеченным как виртуальный.For instance, the file might be located in remote storage, locked by another process, compressed, or marked as virtual. В этих сценариях информация о хаши файла отображается пустой.In these scenarios, the file hash information appears empty.