DeviceFileEventsDeviceFileEvents

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender för EndpointMicrosoft Defender for Endpoint

Tabellen DeviceFileEvents i det avancerade sökschemat innehåller information om hur du skapar filer, ändras och andra filsystemhändelser.The DeviceFileEvents table in the advanced hunting schema contains information about file creation, modification, and other file system events. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.Use this reference to construct queries that return information from this table.

Tips

Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i säkerhetscentret.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

KolumnnamnColumn name DatatypData type BeskrivningDescription
Timestamp datetimedatetime Datum och tid då händelsen spelades inDate and time when the event was recorded
DeviceId strängstring Unikt ID för datorn i tjänstenUnique identifier for the machine in the service
DeviceName strängstring Fullständigt kvalificerat domännamn (FQDN) för datornFully qualified domain name (FQDN) of the machine
ActionType strängstring Typ av aktivitet som utlöste händelsen.Type of activity that triggered the event. Mer information finns i schemareferensen i portalenSee the in-portal schema reference for details
FileName strängstring Namnet på filen som den inspelade åtgärden tillämpats påName of the file that the recorded action was applied to
FolderPath strängstring Mapp som innehåller den fil som den inspelade åtgärden tillämpats påFolder containing the file that the recorded action was applied to
SHA1 strängstring SHA-1 för filen som den inspelade åtgärden tillämpats påSHA-1 of the file that the recorded action was applied to
SHA256 strängstring SHA-256 av filen som den inspelade åtgärden tillämpats på.SHA-256 of the file that the recorded action was applied to. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när den är tillgänglig.This field is usually not populated — use the SHA1 column when available.
MD5 strängstring MD5-hash för filen som den inspelade åtgärden tillämpats påMD5 hash of the file that the recorded action was applied to
FileOriginUrl strängstring URL som filen laddades ned frånURL where the file was downloaded from
FileOriginReferrerUrl strängstring URL-adressen till webbsidan som länkar till den hämtade filenURL of the web page that links to the downloaded file
FileOriginIP strängstring IP-adress där filen laddades ned frånIP address where the file was downloaded from
PreviousFolderPath strängstring Originalmapp som innehåller filen innan den inspelade åtgärden tillämpatsOriginal folder containing the file before the recorded action was applied
PreviousFileName strängstring Det ursprungliga namnet på filen som ändrades till följd av åtgärdenOriginal name of the file that was renamed as a result of the action
FileSize longlong Storlek på filen i byteSize of the file in bytes
InitiatingProcessAccountDomain strängstring Domän för kontot som körde processen som ansvarar för händelsenDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName strängstring Användarnamn för det konto som körde processen som ansvarar för händelsenUser name of the account that ran the process responsible for the event
InitiatingProcessAccountSid strängstring Säkerhetsidentifierare (SID) för kontot som körde processen som ansvarar för händelsenSecurity Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessAccountUpn strängstring Användarkontons huvudnamn (UPN) för det konto som körde processen som ansvarar för händelsenUser principal name (UPN) of the account that ran the process responsible for the event
InitiatingProcessAccountObjectId strängstring Azure AD-objekt-ID för användarkontot som körde processen som ansvarar för händelsenAzure AD object ID of the user account that ran the process responsible for the event
InitiatingProcessMD5 strängstring MD5-hash för processen (bildfil) som initierade händelsenMD5 hash of the process (image file) that initiated the event
InitiatingProcessSHA1 strängstring SHA-1 för processen (bildfil) som initierade händelsenSHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 strängstring SHA-256 för processen (bildfil) som initierade händelsen.SHA-256 of the process (image file) that initiated the event. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när den är tillgänglig.This field is usually not populated — use the SHA1 column when available.
InitiatingProcessFolderPath strängstring Mapp som innehåller den process (bildfil) som initierade händelsenFolder containing the process (image file) that initiated the event
InitiatingProcessFileName strängstring Namn på processen som initierade händelsenName of the process that initiated the event
InitiatingProcessFileSize longlong Storlek på processen (bildfil) som initierade händelsenSize of the process (image file) that initiated the event
InitiatingProcessVersionInfoCompanyName strängstring Företagsnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsenCompany name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductName strängstring Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsenProduct name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductVersion strängstring Produktversion från versionsinformationen för processen (bildfilen) som ansvarar för händelsenProduct version from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoInternalFileName strängstring Internt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsenInternal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoOriginalFileName strängstring Det ursprungliga filnamnet från versionsinformationen för processen (bildfilen) som ansvarar för händelsenOriginal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoFileDescription strängstring Beskrivning av versionsinformationen för processen (bildfilen) som ansvarar för händelsenDescription from the version information of the process (image file) responsible for the event
InitiatingProcessId intint Process-ID (PID) för processen som initierade händelsenProcess ID (PID) of the process that initiated the event
InitiatingProcessCommandLine strängstring Kommandorad som används för att köra processen som initierade händelsenCommand line used to run the process that initiated the event
InitiatingProcessCreationTime datetimedatetime Datum och tid då processen som initierade händelsen startadesDate and time when the process that initiated the event was started
InitiatingProcessIntegrityLevel strängstring Integritetsnivån för processen som initierade händelsen.Integrity level of the process that initiated the event. I Windows tilldelar Windows integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en Internetnedladdning.Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. De här integritetsnivåerna påverkar behörigheter till resurserThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation strängstring Tokentyp som anger närvaro eller frånvaro av UAC-behörighets ökning (User Access Control) som används för processen som initierade händelsenToken type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessParentId intint Process-ID (PID) för den överordnade process som hanterade processen som ansvarar för händelsenProcess ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName strängstring Namn på den överordnade process som gav upphov till processen som ansvarar för händelsenName of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime datetimedatetime Datum och tid då föräldern till processen som ansvarar för händelsen startadesDate and time when the parent of the process responsible for the event was started
RequestProtocol strängstring Nätverksprotokoll, om tillämpligt, används för att starta aktiviteten: Okänd, Lokal, SMB eller NFSNetwork protocol, if applicable, used to initiate the activity: Unknown, Local, SMB, or NFS
RequestSourceIP strängstring IPv4- eller IPv6-adressen för den fjärrenhet som initierade aktivitetenIPv4 or IPv6 address of the remote device that initiated the activity
RequestSourcePort strängstring Källport på den fjärrenhet som initierade aktivitetenSource port on the remote device that initiated the activity
RequestAccountName strängstring Användarnamn på konto som används för att starta aktiviteten via fjärrstyrningUser name of account used to remotely initiate the activity
RequestAccountDomain strängstring Domän för kontot som används för att starta aktiviteten via fjärrstyrningDomain of the account used to remotely initiate the activity
RequestAccountSid strängstring Säkerhetsidentifierare (SID) för kontot som används för att starta aktiviteten via fjärrstyrningSecurity Identifier (SID) of the account used to remotely initiate the activity
ShareName strängstring Namn på delad mapp som innehåller filenName of shared folder containing the file
InitiatingProcessFileSize longlong Storlek på filen som körde processen som ansvarar för händelsenSize of the file that ran the process responsible for the event
SensitivityLabel strängstring Etikett som använts på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det som informationsskyddLabel applied to an email, file, or other content to classify it for information protection
SensitivitySubLabel strängstring Sublabel tillämpat på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det som informationsskydd. känslighetsunderetiketter är grupperade under känslighetsetiketter, men behandlas oberoende av varandraSublabel applied to an email, file, or other content to classify it for information protection; sensitivity sublabels are grouped under sensitivity labels but are treated independently
IsAzureInfoProtectionApplied booleskboolean Anger om filen krypteras med Azure Information ProtectionIndicates whether the file is encrypted by Azure Information Protection
ReportId longlong Händelseidentifierare baserat på en räknare för upprepande händelser.Event identifier based on a repeating counter. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp.To identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns.
AppGuardContainerId strängstring Identifierare för den virtualiserade behållaren som används av Application Guard för att isolera webbläsaraktivitetIdentifier for the virtualized container used by Application Guard to isolate browser activity
AdditionalFields strängstring Ytterligare information om entiteten eller händelsenAdditional information about the entity or event

Anteckning

Hash-information för filer visas alltid när den är tillgänglig.File hash information will always be shown when it is available. Det finns dock flera möjliga orsaker till varför en SHA1, SHA256 eller MD5 inte kan beräknas.However, there are several possible reasons why a SHA1, SHA256, or MD5 cannot be calculated. Filen kan till exempel finnas i fjärrlagring, låst av en annan process, komprimerad eller markerad som virtuell.For instance, the file might be located in remote storage, locked by another process, compressed, or marked as virtual. I de här scenarierna visas filhashinformationen som tom.In these scenarios, the file hash information appears empty.