DeviceFileEvents
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceFileEvents高级搜寻架构中的表包含有关文件创建、修改和其他文件系统事件的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
ActionType |
string |
触发事件的活动类型。 有关详细信息,请参阅 门户内架构参考 。 |
FileName |
string |
录制操作所应用到的文件的名称 |
FolderPath |
string |
包含已记录操作应用到的文件的文件夹 |
SHA1 |
string |
录制操作所应用到的文件的 SHA-1 |
SHA256 |
string |
录制操作所应用到的文件的 SHA-256。 通常不会填充此字段 — 可用时使用 SHA1 列。 |
MD5 |
string |
已记录操作应用到的文件的 MD5 哈希 |
FileOriginUrl |
string |
从中下载文件的 URL |
FileOriginReferrerUrl |
string |
链接到已下载文件的网页的 URL |
FileOriginIP |
string |
下载文件的 IP 地址 |
PreviousFolderPath |
string |
应用录制的操作之前包含文件的原始文件夹 |
PreviousFileName |
string |
由于操作而重命名的文件的原始名称 |
FileSize |
long |
文件的大小(以字节为单位) |
InitiatingProcessAccountDomain |
string |
运行负责事件的进程的帐户的域 |
InitiatingProcessAccountName |
string |
运行负责事件的进程的帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID 用户名可能会改为显示 |
InitiatingProcessAccountSid |
string |
安全标识符 (SID) 运行负责事件的进程的帐户 |
InitiatingProcessAccountUpn |
string |
用户主体名称 (负责事件的运行进程的帐户的 UPN) ;如果设备在 Microsoft Entra ID 中注册,则运行负责事件的进程的帐户的 Entra ID UPN 可能会改为显示 |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra运行负责事件的进程的用户帐户的对象 ID |
InitiatingProcessMD5 |
string |
发起事件的进程 (映像文件) 的 MD5 哈希 |
InitiatingProcessSHA1 |
string |
启动事件的进程的 SHA-1 (映像文件) |
InitiatingProcessSHA256 |
string |
进程的 SHA-256 (启动事件的映像文件) 。 通常不会填充此字段 — 可用时使用 SHA1 列。 |
InitiatingProcessFolderPath |
string |
包含发起事件的进程 (图像文件) 的文件夹 |
InitiatingProcessFileName |
string |
启动事件的进程的名称 |
InitiatingProcessFileSize |
long |
启动事件的进程 (图像文件) 的大小 |
InitiatingProcessVersionInfoCompanyName |
string |
进程版本信息中的公司名称 (映像文件) 负责事件 |
InitiatingProcessVersionInfoProductName |
string |
进程版本信息中的产品名称 (图像文件) 负责事件 |
InitiatingProcessVersionInfoProductVersion |
string |
来自进程版本信息的产品版本 (映像文件) 负责事件 |
InitiatingProcessVersionInfoInternalFileName |
string |
进程版本信息中的内部文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoOriginalFileName |
string |
进程版本信息中的原始文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoFileDescription |
string |
来自进程版本信息的说明 (负责事件的映像文件) |
InitiatingProcessId |
long |
进程 ID (启动事件的进程的 PID) |
InitiatingProcessCommandLine |
string |
用于运行启动事件的进程的命令行 |
InitiatingProcessCreationTime |
datetime |
启动事件的进程的日期和时间 |
InitiatingProcessIntegrityLevel |
string |
启动事件的进程的完整性级别。 Windows 根据某些特征(例如,是否从 Internet 下载启动)为进程分配完整性级别。 这些完整性级别会影响对资源的权限。 |
InitiatingProcessTokenElevation |
string |
指示是否存在用户访问控制 (UAC 的令牌类型,) 特权提升应用于发起事件的进程 |
InitiatingProcessParentId |
long |
进程 ID (PID) 生成负责事件的进程的父进程 |
InitiatingProcessParentFileName |
string |
生成负责事件的进程的父进程的名称 |
InitiatingProcessParentCreationTime |
datetime |
负责事件的进程的父级的启动日期和时间 |
RequestProtocol |
string |
用于启动活动的网络协议(如果适用):未知、本地、SMB 或 NFS |
RequestSourceIP |
string |
发起活动的远程设备的 IPv4 或 IPv6 地址 |
RequestSourcePort |
int |
启动活动的远程设备上的源端口 |
RequestAccountName |
string |
用于远程启动活动的帐户的用户名 |
RequestAccountDomain |
string |
用于远程启动活动的帐户的域 |
RequestAccountSid |
string |
用于远程启动活动的帐户的安全标识符 (SID) |
ShareName |
string |
包含文件的共享文件夹的名称 |
SensitivityLabel |
string |
应用于电子邮件、文件或其他内容的标签,以便对其进行分类,以便进行信息保护 |
SensitivitySubLabel |
string |
应用于电子邮件、文件或其他内容的子标签,以便对其进行分类,以便进行信息保护;敏感度子标签在敏感度标签下分组,但单独处理 |
IsAzureInfoProtectionApplied |
boolean |
指示文件是否由 Azure 信息保护加密 |
ReportId |
long |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
AppGuardContainerId |
string |
应用程序防护用于隔离浏览器活动的虚拟化容器的标识符 |
AdditionalFields |
string |
有关实体或事件的其他信息 |
注意
文件哈希信息在可用时始终显示。 但是,无法计算 SHA1、SHA256 或 MD5 的可能原因有多种。 例如,该文件可能位于远程存储中、被其他进程锁定、压缩或标记为虚拟。 在这些方案中,文件哈希信息显示为空。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈