DeviceFileEvents

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender
  • Microsoft Defender för Endpoint

Tabellen DeviceFileEvents i det avancerade sökschemat innehåller information om hur du skapar filer, ändras och andra filsystemhändelser. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Tips

Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
DeviceId string Unikt ID för datorn i tjänsten
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för datorn
ActionType string Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen
FileName string Namnet på filen som den inspelade åtgärden tillämpats på
FolderPath string Mapp som innehåller den fil som den inspelade åtgärden tillämpats på
SHA1 string SHA-1 för filen som den inspelade åtgärden tillämpats på
SHA256 string SHA-256 av filen som den inspelade åtgärden tillämpats på. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när den är tillgänglig.
MD5 string MD5-hash för filen som den inspelade åtgärden tillämpats på
FileOriginUrl string URL som filen laddades ned från
FileOriginReferrerUrl string URL-adressen till webbsidan som länkar till den hämtade filen
FileOriginIP string IP-adress där filen laddades ned från
PreviousFolderPath string Originalmapp som innehåller filen innan den inspelade åtgärden tillämpats
PreviousFileName string Det ursprungliga namnet på filen som ändrades till följd av åtgärden
FileSize long Storlek på filen i byte
InitiatingProcessAccountDomain string Domän för kontot som körde processen som ansvarar för händelsen
InitiatingProcessAccountName sträng Användarnamn för det konto som körde processen som ansvarar för händelsen
InitiatingProcessAccountSid string Säkerhetsidentifierare (SID) för kontot som körde processen som ansvarar för händelsen
InitiatingProcessAccountUpn string Användarkontons huvudnamn (UPN) för det konto som körde processen som ansvarar för händelsen
InitiatingProcessAccountObjectId string Azure AD-objekt-ID för användarkontot som körde processen som ansvarar för händelsen
InitiatingProcessMD5 string MD5-hash för processen (bildfil) som initierade händelsen
InitiatingProcessSHA1 string SHA-1 för processen (bildfil) som initierade händelsen
InitiatingProcessSHA256 string SHA-256 för processen (bildfil) som initierade händelsen. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när den är tillgänglig.
InitiatingProcessFolderPath string Mapp som innehåller den process (bildfil) som initierade händelsen
InitiatingProcessFileName string Namn på processen som initierade händelsen
InitiatingProcessFileSize long Storlek på processen (bildfil) som initierade händelsen
InitiatingProcessVersionInfoCompanyName string Företagsnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoProductName string Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoProductVersion string Produktversion från versionsinformationen för processen (bildfil) som ansvarar för händelsen
InitiatingProcessVersionInfoInternalFileName string Internt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoOriginalFileName string Det ursprungliga filnamnet från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoFileDescription string Beskrivning av versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessId int Process-ID (PID) för processen som initierade händelsen
InitiatingProcessCommandLine string Kommandorad som används för att köra processen som initierade händelsen
InitiatingProcessCreationTime datetime Datum och tid då processen som initierade händelsen startades
InitiatingProcessIntegrityLevel string Integritetsnivån för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startas från en Internetnedladdning. De här integritetsnivåerna påverkar behörigheter till resurser
InitiatingProcessTokenElevation string Tokentyp som anger närvaro eller frånvaro av UAC-behörighets ökning (User Access Control) som används för processen som initierade händelsen
InitiatingProcessParentId int Process-ID (PID) för den överordnade process som hanterade processen som ansvarar för händelsen
InitiatingProcessParentFileName string Namn på den överordnade process som gav upphov till processen som ansvarar för händelsen
InitiatingProcessParentCreationTime datetime Datum och tid då föräldern till processen som ansvarar för händelsen startades
RequestProtocol string Nätverksprotokoll, om tillämpligt, används för att starta aktiviteten: Okänd, Lokal, SMB eller NFS
RequestSourceIP string IPv4- eller IPv6-adressen för den fjärrenhet som initierade aktiviteten
RequestSourcePort string Källport på den fjärrenhet som initierade aktiviteten
RequestAccountName string Användarnamn på konto som används för att starta aktiviteten via fjärrstyrning
RequestAccountDomain string Domän för kontot som används för att starta aktiviteten via fjärrstyrning
RequestAccountSid string Säkerhetsidentifierare (SID) för kontot som används för att starta aktiviteten via fjärrstyrning
ShareName string Namn på delad mapp som innehåller filen
InitiatingProcessFileSize long Storlek på filen som körde processen som ansvarar för händelsen
SensitivityLabel string Etikett som använts på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det som informationsskydd
SensitivitySubLabel string Sublabel tillämpat på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det som informationsskydd. känslighetsunderetiketter är grupperade under känslighetsetiketter, men behandlas oberoende av varandra
IsAzureInfoProtectionApplied boolean Anger om filen krypteras med Azure Information Protection
ReportId long Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp.
AppGuardContainerId string Identifierare för den virtualiserade behållaren som används av Application Guard för att isolera webbläsaraktivitet
AdditionalFields string Ytterligare information om entiteten eller händelsen

Anteckning

Hash-information för filer visas alltid när den är tillgänglig. Det finns dock flera möjliga orsaker till varför en SHA1, SHA256 eller MD5 inte kan beräknas. Filen kan till exempel finnas i fjärrlagring, låst av en annan process, komprimerad eller markerad som virtuell. I de här scenarierna visas filhashinformationen som tom.