MDCFileIntegrityMonitoringEvents
Visa ändringar av Windows- och Linux-filer samt programregisternycklar. Händelser från den här tabellen samlas in av Microsoft Defender för Endpoint (MDE).
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | LogManagement |
| Grundläggande logg | No |
| Inmatningstidstransformering | No |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AADTenantID | sträng | AAD-klient-ID:t för prenumerationen där den övervakade entiteten skapades, bytte namn, ändrades eller togs bort. |
| AzureResourceId | sträng | Azure-resurs-ID för resursen vars övervakade entitet skapades, bytte namn, ändrades eller togs bort. |
| _BilledSize | real | Poststorleken i byte |
| Changetype | sträng | Den typ av ändring som inträffade på entiteten. För entiteten "Fil" måste antingen vara "Skapad", "Ändrad", "Omdöpt" eller "Borttagen". För "Registry"-entiteten måste antingen vara "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed". |
| CloudIdentifier | sträng | Molnidentifieraren för resursen. |
| CloudProvider | sträng | Molnleverantören för resursen. |
| CloudResourceType | sträng | Typen av molnresurs. |
| Dator | sträng | Namnet på den dator där den övervakade entiteten skapades, bytte namn, ändrades eller togs bort. |
| FileMd5 | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller MD5 för filen som ändrades, skapades eller togs bort. |
| Filnamn | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller namnet på filen som skapades, bytte namn, ändrades eller togs bort. |
| Filepath | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller sökvägen till filen som skapades, bytte namn, ändrades eller togs bort. |
| FileSha1 | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller SHA1 för filen som ändrades, skapades eller togs bort. |
| FileSha256 | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller SHA256 för filen som ändrades, skapades eller togs bort. |
| Filstorlek | long | Relevant för "Fil" övervakad entitetstyp. Innehåller den aktuella storleken (i byte) för filen som skapades, bytte namn, ändrades eller togs bort. |
| Filtyp | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller den typ av fil som skapades, bytte namn, ändrades eller togs bort. Exempel på möjliga värden: Zip, PDF, Xar osv. |
| InitieraProcessAccountDomainName | sträng | Innehåller kontodomännamnet för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessAccountName | sträng | Innehåller kontonamnet för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessAccountSid | sträng | Innehåller konto-SID för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessCreationTime | datetime | Rymmer skapandetiden för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessFirstSeen | datetime | Innehåller den första tidpunkten för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessId | long | Innehåller process-ID för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessImageFileName | sträng | Innehåller avbildningsfilens namn på den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessImageFilePath | sträng | Innehåller sökvägen till avbildningsfilen för den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitieraProcessImageFileType | sträng | Innehåller bildfilstypen för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessName | sträng | Innehåller namnet på den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessSessionId | long | Innehåller sessions-ID:t för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessSource | sträng | Innehåller källan till den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcImageCreationTimeUtc | datetime | Innehåller tiden då avbildningen skapades för avbildningen av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcImageFileSizeInBytes | long | Innehåller bildfilens storlek (i byte) för den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcImageLastAccessTimeUtc | datetime | Innehåller avbildningens senaste åtkomsttid för avbildningen av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcImageLastWriteTimeUtc | datetime | Innehåller avbildningens senaste skrivtid för avbildningen av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcImageLsHash | sträng | Innehåller avbildningens LS-hash för avbildningen av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcImageMd5 | sträng | Innehåller avbildningen MD5 för avbildningen av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcImagePeTimestampUtc | datetime | Innehåller pe-bildtiden för avbildningen av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcImageSha1 | sträng | Innehåller avbildningen SHA 1 för avbildningen av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcImageSha256 | sträng | Innehåller avbildningen SHA 256 för avbildningen av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcVersionInfoCompanyName | sträng | Innehåller versionsinformationens företagsnamn för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcVersionInfoFileDescription | sträng | Innehåller versionsinformationsfilens beskrivning av den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcVersionInfoInternalFileName | sträng | Innehåller versionsinformationens interna filnamn för den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcVersionInfoOriginalFileName | sträng | Innehåller versionsinformationens ursprungliga filnamn för den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcVersionInfoProductName | sträng | Innehåller versionsinformationens produktnamn för den initierande process som orsakade händelsen med den övervakade entiteten. |
| InitProcVersionInfoProductVersion | sträng | Innehåller produktversionen av versionsinformationen för den initierande process som orsakade händelsen med den övervakade entiteten. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| MonitoredEntityType | sträng | Typen av övervakad entitet som skapades, bytte namn, ändrades eller togs bort. Kan vara antingen "File" eller "Registry". |
| NewValueData | sträng | Relevant för den övervakade entitetstypen Register. Innehåller data för nytt registervärde. |
| NewValueName | sträng | Relevant för den övervakade entitetstypen Register. Innehåller namnet på det nya registervärdet. |
| NewValueType | sträng | Relevant för den övervakade entitetstypen Register. Innehåller värdetypen Nytt register. |
| OldValueData | sträng | Relevant för den övervakade entitetstypen Register. Innehåller tidigare registervärdedata. |
| OldValueFullRegistryKey | sträng | Relevant för den övervakade entitetstypen Register. Innehåller den tidigare fullständiga registernyckeln. |
| OldValueName | sträng | Relevant för den övervakade entitetstypen Register. Innehåller det tidigare registervärdenamnet. |
| OldValueType | sträng | Relevant för den övervakade entitetstypen Register. Innehåller den tidigare registervärdetypen. |
| OriginalFileName | sträng | Relevant för filövervakade entitetstyper och för ändringstypen Byt namn. Innehåller det ursprungliga namnet på filen som bytte namn innan namnbytet inträffade. |
| OriginalFilePath | sträng | Relevant för "Fil" övervakad entitetstyp och för ändringstypen Byt namn. Innehåller den ursprungliga sökvägen till filen som har bytt namn innan namnbytet inträffade. |
| RegistryHive | sträng | Relevant för "Registry" övervakad entitetstyp. Innehåller konfigurationsinställningarna för gruppering för operativsystemet och programmen. |
| RegistryKey | sträng | Relevant för "Registry" övervakad entitetstyp. Innehåller den fullständiga registernyckeln för registret som skapades eller den nya registernyckeln för registret som har bytt namn. |
| RequestAccountDomain | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller domänen för kontot för användaren som orsakade filhändelsen. |
| RequestAccountName | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller namnet på kontot för den användare som orsakade filhändelsen. |
| RequestAccountSid | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller SID för kontot för användaren som orsakade filhändelsen. |
| RequestSource | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller källan till kontot för användaren som orsakade filhändelsen. Till exempel Lokal/SMB/NFS. |
| RequestSourceIP | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller käll-IP-adressen för kontot för användaren som orsakade filhändelsen. För fjärrfilen, den IP-adress som begäran kom från. |
| RequestSourcePort | sträng | Relevant för "Fil" övervakad entitetstyp. Innehåller källporten för kontot för användaren som orsakade filhändelsen. För fjärrfilen, porten som begäran kom från. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Tiden (UTC) när den övervakade entiteten skapades, bytte namn, ändrades eller togs bort. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för