DeviceFileEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender
Gelişmiş DeviceFileEventstehdit avcılığı şemasındaki tablo, dosya oluşturma, değiştirme ve diğer dosya sistemi olayları hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
İpucu
Bir tablo tarafından desteklenen olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
DeviceId |
string |
Hizmetteki cihaz için benzersiz tanımlayıcı |
DeviceName |
string |
Cihazın tam etki alanı adı (FQDN) |
ActionType |
string |
Olayı tetikleyen etkinlik türü. Ayrıntılar için portal içi şema başvurusuna bakın. |
FileName |
string |
Kaydedilen eylemin uygulandığı dosyanın adı |
FolderPath |
string |
Kaydedilen eylemin uygulandığı dosyayı içeren klasör |
SHA1 |
string |
Kaydedilen eylemin uygulandığı dosyanın SHA-1 |
SHA256 |
string |
Kaydedilen eylemin uygulandığı dosyanın SHA-256'sı. Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın. |
MD5 |
string |
Kaydedilen eylemin uygulandığı dosyanın MD5 karması |
FileOriginUrl |
string |
Dosyanın indirildiği URL |
FileOriginReferrerUrl |
string |
İndirilen dosyaya bağlanan web sayfasının URL'si |
FileOriginIP |
string |
Dosyanın indirildiği IP adresi |
PreviousFolderPath |
string |
Kaydedilen eylem uygulanmadan önce dosyayı içeren özgün klasör |
PreviousFileName |
string |
Eylemin sonucu olarak yeniden adlandırılan dosyanın özgün adı |
FileSize |
long |
Dosyanın bayt cinsinden boyutu |
InitiatingProcessAccountDomain |
string |
Olaydan sorumlu işlemi çalıştıran hesabın etki alanı |
InitiatingProcessAccountName |
string |
Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı adı; cihaz Microsoft Entra ID kayıtlıysa, bunun yerine olaydan sorumlu işlemi çalıştıran hesabın Entra Id kullanıcı adı gösterilebilir |
InitiatingProcessAccountSid |
string |
Olaydan sorumlu işlemi çalıştıran hesabın Güvenlik Tanımlayıcısı (SID) |
InitiatingProcessAccountUpn |
string |
Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı asıl adı (UPN); cihaz Microsoft Entra ID kayıtlıysa, bunun yerine olaydan sorumlu işlemi çalıştıran hesabın Entra ID UPN'si gösterilebilir |
InitiatingProcessAccountObjectId |
string |
Olaydan sorumlu işlemi çalıştıran kullanıcı hesabının nesne kimliğini Microsoft Entra |
InitiatingProcessMD5 |
string |
Olayı başlatan işlemin MD5 karması (görüntü dosyası) |
InitiatingProcessSHA1 |
string |
Olayı başlatan işlemin SHA-1 'i (görüntü dosyası) |
InitiatingProcessSHA256 |
string |
Olayı başlatan işlemin SHA-256'sı (görüntü dosyası). Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın. |
InitiatingProcessFolderPath |
string |
Olayı başlatan işlemi (görüntü dosyası) içeren klasör |
InitiatingProcessFileName |
string |
Olayı başlatan işlemin adı |
InitiatingProcessFileSize |
long |
Olayı başlatan işlemin boyutu (görüntü dosyası) |
InitiatingProcessVersionInfoCompanyName |
string |
Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) şirket adı |
InitiatingProcessVersionInfoProductName |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün adı |
InitiatingProcessVersionInfoProductVersion |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün sürümü |
InitiatingProcessVersionInfoInternalFileName |
string |
Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) iç dosya adı |
InitiatingProcessVersionInfoOriginalFileName |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) özgün dosya adı |
InitiatingProcessVersionInfoFileDescription |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden açıklama (görüntü dosyası) |
InitiatingProcessId |
long |
Olayı başlatan işlemin İşlem Kimliği (PID) |
InitiatingProcessCommandLine |
string |
Olayı başlatan işlemi çalıştırmak için kullanılan komut satırı |
InitiatingProcessCreationTime |
datetime |
Olayı başlatan işlemin başlatıldığı tarih ve saat |
InitiatingProcessIntegrityLevel |
string |
Olayı başlatan işlemin bütünlük düzeyi. Windows, bir internet indirmesinden başlatılmış olmaları gibi belirli özelliklere göre işlemlere bütünlük düzeyleri atar. Bu bütünlük düzeyleri kaynaklara yönelik izinleri etkiler. |
InitiatingProcessTokenElevation |
string |
Olayı başlatan işleme uygulanan Kullanıcı Access Control (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç türü |
InitiatingProcessParentId |
long |
Olaydan sorumlu işlemi oluşturan üst işlemin İşlem Kimliği (PID) |
InitiatingProcessParentFileName |
string |
Olaydan sorumlu işlemi oluşturan üst işlemin adı |
InitiatingProcessParentCreationTime |
datetime |
Olaydan sorumlu işlemin üst öğesinin başlatıldığı tarih ve saat |
RequestProtocol |
string |
Varsa, etkinliği başlatmak için kullanılan ağ protokolü: Bilinmiyor, Yerel, SMB veya NFS |
RequestSourceIP |
string |
Etkinliği başlatan uzak cihazın IPv4 veya IPv6 adresi |
RequestSourcePort |
int |
Etkinliği başlatan uzak cihazda kaynak bağlantı noktası |
RequestAccountName |
string |
Etkinliği uzaktan başlatmak için kullanılan hesabın kullanıcı adı |
RequestAccountDomain |
string |
Etkinliği uzaktan başlatmak için kullanılan hesabın etki alanı |
RequestAccountSid |
string |
Etkinliği uzaktan başlatmak için kullanılan hesabın Güvenlik Tanımlayıcısı (SID) |
ShareName |
string |
Dosyayı içeren paylaşılan klasörün adı |
SensitivityLabel |
string |
Bir e-postaya, dosyaya veya diğer içeriğe uygulanan etiket, bu içeriği bilgi koruması için sınıflandırmak için |
SensitivitySubLabel |
string |
E-postaya, dosyaya veya diğer içeriğe uygulanan alt etiket, bunu bilgi koruması için sınıflandırmak için; duyarlılık alt etiketleri duyarlılık etiketleri altında gruplandırılır ancak bağımsız olarak işlenir |
IsAzureInfoProtectionApplied |
boolean |
Dosyanın Azure Information Protection tarafından şifrelenip şifrelenmediğini gösterir |
ReportId |
long |
Yinelenen sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun DeviceName ve Timestamp sütunlarıyla birlikte kullanılması gerekir. |
AppGuardContainerId |
string |
tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı |
AdditionalFields |
string |
Varlık veya olay hakkında ek bilgi |
Not
Dosya karması bilgileri her zaman kullanılabilir olduğunda gösterilir. Ancak SHA1, SHA256 veya MD5'in hesaplanamamasının birkaç olası nedeni vardır. Örneğin, dosya uzak depolama alanında, başka bir işlem tarafından kilitlenmiş, sıkıştırılmış veya sanal olarak işaretlenmiş olabilir. Bu senaryolarda, dosya karması bilgileri boş görünür.
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin