AppFileEventsAppFileEvents

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Tabellen AppFileEvents i det avancerade sökschemat innehåller information om filrelaterade aktiviteter i molnappar och tjänster som övervakas av Microsoft Cloud App Security.The AppFileEvents table in the advanced hunting schema contains information about file-related activities in cloud apps and services monitored by Microsoft Cloud App Security. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.Use this reference to construct queries that return information from this table.

Varning

Den här tabellen kommer att dras tillbaka snart.This table will be retired soon. Den 7 mars 2021 är tabellen inte AppFileEvents längre loggningsposter.As of March 7, 2021, the AppFileEvents table is no longer logging records. Användare som vill söka igenom filrelaterade aktiviteter i molntjänster på och efter det datum som det är sagt bör använda CloudAppEvents-tabellen i stället.Users hunting through file-related activities in cloud services on and beyond the said date should use the CloudAppEvents table instead.

Se till att söka efter frågor och anpassade identifieringsregler som fortfarande använder AppFileEvents tabellen och redigera dem för att använda CloudAppEvents tabellen.Make sure to search for queries and custom detection rules that still use the AppFileEvents table and edit them to use the CloudAppEvents table. Mer information om hur du konverterar påverkade frågor finns i Sök efter molnappaktiviteter med avancerad sökning i Microsoft 365 Defender.More guidance about converting affected queries can be found in Hunt across cloud app activities with Microsoft 365 Defender advanced hunting.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

KolumnnamnColumn name DatatypData type BeskrivningDescription
Timestamp datetimedatetime Datum och tid då händelsen spelades inDate and time when the event was recorded
ActionType strängstring Typ av aktivitet som utlöste händelsen.Type of activity that triggered the event. Mer information finns i schemareferensen i portalenSee the in-portal schema reference for details
Application strängstring Program som utförde den inspelade åtgärdenApplication that performed the recorded action
FileName strängstring Namnet på filen som den inspelade åtgärden tillämpats påName of the file that the recorded action was applied to
FolderPath strängstring Mapp som innehåller den fil som den inspelade åtgärden tillämpats påFolder containing the file that the recorded action was applied to
PreviousFileName strängstring Det ursprungliga namnet på filen som ändrades till följd av åtgärdenOriginal name of the file that was renamed as a result of the action
PreviousFolderPath strängstring Originalmapp som innehåller filen innan den inspelade åtgärden tillämpatsOriginal folder containing the file before the recorded action was applied
Protocol strängstring Nätverksprotokoll som användsNetwork protocol used
AccountName strängstring Användarnamn för kontotUser name of the account
AccountDomain strängstring Domän för kontotDomain of the account
AccountSid strängstring Säkerhetsidentifierare (SID) för kontotSecurity Identifier (SID) of the account
AccountUpn strängstring Användarkontons huvudnamn (UPN)User principal name (UPN) of the account
AccountObjectId strängstring Unikt ID för kontot i Azure ADUnique identifier for the account in Azure AD
AccountDisplayName strängstring Namnet på kontoanvändaren som visas i adressboken.Name of the account user displayed in the address book. Detta är en kombination av ett visst namn eller förnamn, en mellaninititiering och efternamn eller efternamn.Typically a combination of a given or first name, a middle initiation, and a last name or surname.
DeviceName strängstring Fullständigt kvalificerat domännamn (FQDN) för enhetenFully qualified domain name (FQDN) of the device
DeviceType strängstring Typ av enhetType of device
OSPlatform strängstring Operativsystemets plattform som körs på enheten.Platform of the operating system running on the device. Detta indikerar specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 10 och Windows 7.This indicates specific operating systems, including variations within the same family, such as Windows 10 and Windows 7.
IPAddress strängstring IP-adress tilldelad till slutpunkten och används under relaterad nätverkskommunikationIP address assigned to the endpoint and used during related network communications
Port strängstring TCP-port som används under kommunikationTCP port used during communication
DestinationDeviceName strängstring Namn på den enhet som kör serverprogrammet som bearbetat den inspelade åtgärdenName of the device running the server application that processed the recorded action
DestinationIPAddress strängstring IP-adress för den enhet som kör serverprogrammet som bearbetat den inspelade åtgärdenIP address of the device running the server application that processed the recorded action
DestinationPort strängstring Målport för relaterad nätverkskommunikationDestination port of related network communications
Location strängstring Stad, land eller annan geografisk plats som är kopplad till händelsenCity, country, or other geographic location associated with the event
Isp strängstring Internetleverantör (ISP) som är kopplad till slutpunktens IP-adressInternet service provider (ISP) associated with the endpoint IP address
ReportId longlong Unikt ID för händelsenUnique identifier for the event
AdditionalFields strängstring Ytterligare information om entiteten eller händelsenAdditional information about the entity or event

Tips

Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i säkerhetscentret.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.