Compartir a través de


MDECustomCollectionDeviceFileEvents

Esta tabla forma parte de Microsoft Defender para punto de conexión para el escenario de colección personalizada. Esta tabla contiene eventos de creación, modificación y otros sistemas de archivos para cualquier cosa solicitada explícitamente por el cliente para la recopilación.

Atributos de tabla

Attribute Valor
Tipos de recursos -
Categorías Seguridad
Soluciones LogManagement
Registro básico No
Transformación en tiempo de ingesta No
Consultas de ejemplo -

Columnas

Columna Type Descripción
ActionType string Tipo de actividad que desencadenó el evento.
AdditionalFields dinámico Información adicional sobre la entidad o el evento.
AppGuardContainerId string Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador.
_BilledSize real Tamaño del registro en bytes
DeviceId string Identificador único del dispositivo en el servicio.
DeviceName string Nombre de dominio completo (FQDN) del dispositivo.
FileName string Nombre del archivo al que se aplicó la acción grabada.
FileOriginIP string Dirección IP desde la que se descargó el archivo.
FileOriginReferrerUrl string Dirección URL de la página web que se vincula al archivo descargado.
FileOriginUrl string Dirección URL desde la que se descargó el archivo.
FileSize long Tamaño del archivo en bytes.
FolderPath string Carpeta que contiene el archivo al que se aplicó la acción grabada.
InitProcessAccountDomain string Dominio de la cuenta que ejecutó el proceso responsable del evento.
InitProcessAccountName string Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento.
InitProcessAccountObjectId string Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento.
InitProcessAccountSid string Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento.
InitProcessAccountUpn string Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento.
InitProcessCommandLine string Línea de comandos usada para ejecutar el proceso que inició el evento.
InitProcessCreationTime datetime Fecha y hora en que se inició el proceso que inició el evento.
InitProcessFileName string Nombre del proceso que inició el evento.
InitProcessFileSize long Tamaño en bytes del proceso (archivo de imagen) que inició el evento.
InitProcessFolderPath string Carpeta que contiene el proceso (archivo de imagen) que inició el evento.
InitProcessId long Id. de proceso (PID) del proceso que inició el evento.
InitProcessIntegrityLevel string Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos.
InitProcessMD5 string Hash MD5 del proceso (archivo de imagen) que inició el evento.
InitProcessParentCreationTime datetime Fecha y hora en que se inició el elemento primario del proceso responsable del evento.
InitProcessParentFileName string Nombre del proceso primario que generó el proceso responsable del evento.
InitProcessParentId long Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento.
InitProcessSHA1 string Hash SHA-1 del proceso (archivo de imagen) que inició el evento.
InitProcessSHA256 string Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible.
InitProcessTokenElevation string Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que inició el evento.
InitProcessVersionInfoCompanyName string Nombre de la empresa a partir de la información de versión del proceso (archivo de imagen) responsable del evento.
InitProcessVersionInfoFileDescription string Descripción de la información de versión del proceso (archivo de imagen) responsable del evento.
InitProcessVersionInfoInternalFileName string Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento.
InitProcessVersionInfoOriginalFileName string Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento.
InitProcessVersionInfoProductName string Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento.
InitProcessVersionInfoProductVersion string Versión del producto de la información de versión del proceso (archivo de imagen) responsable del evento.
IsAzureInfoProtectionApplied bool Indica si azure Information Protection cifra el archivo.
_IsBillable string Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure
MachineGroup string Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina.
MD5 string Hash MD5 del archivo al que se aplicó la acción grabada.
PreviousFileName string Nombre original del archivo cuyo nombre se cambió como resultado de la acción.
PreviousFolderPath string Carpeta original que contiene el archivo antes de aplicar la acción grabada.
ReportId long Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime.
RequestAccountDomain string Dominio de la cuenta usada para iniciar de forma remota la actividad.
RequestAccountName string Nombre de usuario de la cuenta usada para iniciar la actividad de forma remota.
RequestAccountSid string Identificador de seguridad (SID) de la cuenta usada para iniciar de forma remota la actividad.
RequestProtocol string Protocolo de red, si procede, usado para iniciar la actividad: Desconocido, Local, SMB o NFS.
RequestSourceIP string Dirección IPv4 o IPv6 del dispositivo remoto que inició la actividad.
RequestSourcePort int Puerto de origen en el dispositivo remoto que inició la actividad.
SensitivityLabel string Etiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información.
SensitivitySubLabel string Subetiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información; las subetiquetas de sensibilidad se agrupan bajo etiquetas de confidencialidad, pero se tratan de forma independiente.
SHA1 string Hash SHA-1 del archivo al que se aplicó la acción grabada.
SHA256 string SHA-256 del archivo al que se aplicó la acción grabada.
ShareName string Nombre de la carpeta compartida que contiene el archivo.
SourceSystem string Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics
TenantId string Id. del área de trabajo de Log Analytics
TimeGenerated datetime Fecha y hora en que el agente de MDE registró el evento en el punto de conexión.
Tipo string Nombre de la tabla.