DeviceFileEvents
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
Tabellen DeviceFileEvents i det avancerade sökschemat innehåller information om hur du skapar filer, ändras och andra filsystemhändelser. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
DeviceId |
string |
Unikt ID för datorn i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för datorn |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen |
FileName |
string |
Namnet på filen som den inspelade åtgärden tillämpats på |
FolderPath |
string |
Mapp som innehåller den fil som den inspelade åtgärden tillämpats på |
SHA1 |
string |
SHA-1 för filen som den inspelade åtgärden tillämpats på |
SHA256 |
string |
SHA-256 av filen som den inspelade åtgärden tillämpats på. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när den är tillgänglig. |
MD5 |
string |
MD5-hash för filen som den inspelade åtgärden tillämpats på |
FileOriginUrl |
string |
URL som filen laddades ned från |
FileOriginReferrerUrl |
string |
URL-adressen till webbsidan som länkar till den hämtade filen |
FileOriginIP |
string |
IP-adress där filen laddades ned från |
PreviousFolderPath |
string |
Originalmapp som innehåller filen innan den inspelade åtgärden tillämpats |
PreviousFileName |
string |
Det ursprungliga namnet på filen som ändrades till följd av åtgärden |
FileSize |
long |
Storlek på filen i byte |
InitiatingProcessAccountDomain |
string |
Domän för kontot som körde processen som ansvarar för händelsen |
InitiatingProcessAccountName |
sträng | Användarnamn för det konto som körde processen som ansvarar för händelsen |
InitiatingProcessAccountSid |
string |
Säkerhetsidentifierare (SID) för kontot som körde processen som ansvarar för händelsen |
InitiatingProcessAccountUpn |
string |
Användarkontons huvudnamn (UPN) för det konto som körde processen som ansvarar för händelsen |
InitiatingProcessAccountObjectId |
string |
Azure AD-objekt-ID för användarkontot som körde processen som ansvarar för händelsen |
InitiatingProcessMD5 |
string |
MD5-hash för processen (bildfil) som initierade händelsen |
InitiatingProcessSHA1 |
string |
SHA-1 för processen (bildfil) som initierade händelsen |
InitiatingProcessSHA256 |
string |
SHA-256 för processen (bildfil) som initierade händelsen. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när den är tillgänglig. |
InitiatingProcessFolderPath |
string |
Mapp som innehåller den process (bildfil) som initierade händelsen |
InitiatingProcessFileName |
string |
Namn på processen som initierade händelsen |
InitiatingProcessFileSize |
long |
Storlek på processen (bildfil) som initierade händelsen |
InitiatingProcessVersionInfoCompanyName |
string |
Företagsnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoProductName |
string |
Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversion från versionsinformationen för processen (bildfil) som ansvarar för händelsen |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoOriginalFileName |
string |
Det ursprungliga filnamnet från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivning av versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessId |
int |
Process-ID (PID) för processen som initierade händelsen |
InitiatingProcessCommandLine |
string |
Kommandorad som används för att köra processen som initierade händelsen |
InitiatingProcessCreationTime |
datetime |
Datum och tid då processen som initierade händelsen startades |
InitiatingProcessIntegrityLevel |
string |
Integritetsnivån för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startas från en Internetnedladdning. De här integritetsnivåerna påverkar behörigheter till resurser |
InitiatingProcessTokenElevation |
string |
Tokentyp som anger närvaro eller frånvaro av UAC-behörighets ökning (User Access Control) som används för processen som initierade händelsen |
InitiatingProcessParentId |
int |
Process-ID (PID) för den överordnade process som hanterade processen som ansvarar för händelsen |
InitiatingProcessParentFileName |
string |
Namn på den överordnade process som gav upphov till processen som ansvarar för händelsen |
InitiatingProcessParentCreationTime |
datetime |
Datum och tid då föräldern till processen som ansvarar för händelsen startades |
RequestProtocol |
string |
Nätverksprotokoll, om tillämpligt, används för att starta aktiviteten: Okänd, Lokal, SMB eller NFS |
RequestSourceIP |
string |
IPv4- eller IPv6-adressen för den fjärrenhet som initierade aktiviteten |
RequestSourcePort |
string |
Källport på den fjärrenhet som initierade aktiviteten |
RequestAccountName |
string |
Användarnamn på konto som används för att starta aktiviteten via fjärrstyrning |
RequestAccountDomain |
string |
Domän för kontot som används för att starta aktiviteten via fjärrstyrning |
RequestAccountSid |
string |
Säkerhetsidentifierare (SID) för kontot som används för att starta aktiviteten via fjärrstyrning |
ShareName |
string |
Namn på delad mapp som innehåller filen |
InitiatingProcessFileSize |
long |
Storlek på filen som körde processen som ansvarar för händelsen |
SensitivityLabel |
string |
Etikett som använts på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det som informationsskydd |
SensitivitySubLabel |
string |
Sublabel tillämpat på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det som informationsskydd. känslighetsunderetiketter är grupperade under känslighetsetiketter, men behandlas oberoende av varandra |
IsAzureInfoProtectionApplied |
boolean |
Anger om filen krypteras med Azure Information Protection |
ReportId |
long |
Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
AppGuardContainerId |
string |
Identifierare för den virtualiserade behållaren som används av Application Guard för att isolera webbläsaraktivitet |
AdditionalFields |
string |
Ytterligare information om entiteten eller händelsen |
Anteckning
Hash-information för filer visas alltid när den är tillgänglig. Det finns dock flera möjliga orsaker till varför en SHA1, SHA256 eller MD5 inte kan beräknas. Filen kan till exempel finnas i fjärrlagring, låst av en annan process, komprimerad eller markerad som virtuell. I de här scenarierna visas filhashinformationen som tom.