Jaa


DeviceFileEvents

Koskee seuraavia:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

Kehittyneen DeviceFileEventsmetsästysrakenteen taulukko sisältää tietoja tiedoston luomisesta, muokkaamisesta ja muista tiedostojärjestelmän tapahtumista. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.

Vihje

Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.

Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.

Sarakkeen nimi Tietotyyppi Kuvaus
Timestamp datetime Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin
DeviceId string Palvelun laitteen yksilöllinen tunniste
DeviceName string Laitteen täydellinen toimialuenimi (FQDN)
ActionType string Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittaus -kohdassa .
FileName string Sen tiedoston nimi, jossa tallennettua toimintoa käytettiin
FolderPath string Kansio, joka sisältää tiedoston, jossa tallennettua toimintoa käytettiin
SHA1 string Sen tiedoston SHA-1, jossa tallennettua toimintoa sovellettiin
SHA256 string Sen tiedoston SHA-256, jossa tallennettua toimintoa sovellettiin. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä.
MD5 string Sen tiedoston MD5-hajautusarvo, johon tallennettu toiminto suoritettiin
FileOriginUrl string URL-osoite, josta tiedosto ladattiin
FileOriginReferrerUrl string Ladatun tiedoston linkittämisen verkkosivun URL-osoite
FileOriginIP string IP-osoite, josta tiedosto ladattiin
PreviousFolderPath string Alkuperäinen kansio, joka sisältää tiedoston ennen tallennetun toiminnon käyttöönottoa
PreviousFileName string Toiminnon seurauksena uudelleennimetyn tiedoston alkuperäinen nimi
FileSize long Tiedoston koko tavuina
InitiatingProcessAccountDomain string Tapahtumasta vastuussa olevan prosessin suorittaneen tilin toimialue
InitiatingProcessAccountName string Tapahtumasta vastuussa olevan prosessin suorittaneen tilin käyttäjänimi. jos laite on rekisteröity Microsoft Entra ID, tapahtumasta vastuussa olevan tilin Entra ID -käyttäjänimi saatetaan näyttää sen sijaan
InitiatingProcessAccountSid string Tapahtumasta vastuussa olevan tilin suojaustunnus (SID)
InitiatingProcessAccountUpn string Tapahtumasta vastuussa olevan tilin täydellinen käyttäjätunnus (UPN). jos laite on rekisteröity Microsoft Entra ID, tapahtumasta vastuussa olevan tilin Entra ID UPN saatetaan näyttää sen sijaan
InitiatingProcessAccountObjectId string Microsoft Entra sen käyttäjätilin objektitunnuksen, joka suoritti tapahtumasta vastaavan prosessin
InitiatingProcessMD5 string Tapahtuman aloittaneen prosessin (kuvatiedoston) MD5-hajautusarvo
InitiatingProcessSHA1 string Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-1
InitiatingProcessSHA256 string Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-256. Tätä kenttää ei yleensä täytetä. Käytä SHA1-saraketta, kun se on käytettävissä.
InitiatingProcessFolderPath string Kansio, joka sisältää tapahtuman aloittaneen prosessin (kuvatiedoston).
InitiatingProcessFileName string Tapahtuman aloittaneen prosessitiedoston nimi. jos se ei ole käytettävissä, tapahtuman aloittaneen prosessin nimi saatetaan näyttää sen sijaan
InitiatingProcessFileSize long Tapahtuman aloittaneen prosessin (kuvatiedoston) koko
InitiatingProcessVersionInfoCompanyName string Yrityksen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto)
InitiatingProcessVersionInfoProductName string Tuotteen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto)
InitiatingProcessVersionInfoProductVersion string Tuoteversio tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto).
InitiatingProcessVersionInfoInternalFileName string Sisäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto)
InitiatingProcessVersionInfoOriginalFileName string Alkuperäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto)
InitiatingProcessVersionInfoFileDescription string Tapahtumasta vastaavan prosessin (kuvatiedoston) versiotietojen kuvaus
InitiatingProcessId long Tapahtuman aloittaneen prosessin prosessitunnus (PID)
InitiatingProcessCommandLine string Komentorivi, jota käytetään tapahtuman aloittaneen prosessin suorittamiseen
InitiatingProcessCreationTime datetime Päivämäärä ja kellonaika, jolloin tapahtuman käynnistänyt prosessi käynnistettiin
InitiatingProcessIntegrityLevel string Tapahtuman aloittaneen prosessin eheystaso. Windows määrittää prosesseille eheystasot tiettyjen ominaisuuksien perusteella, esimerkiksi jos ne käynnistettiin Internet-latauksesta. Nämä eheystasot vaikuttavat resurssien käyttöoikeuksiin.
InitiatingProcessTokenElevation string Tunnustyyppi, joka ilmaisee tapahtuman aloittaneessa prosessissa käytetyn Käyttäjän Käyttöoikeuksien hallinta (UAC) -oikeuksien korotuksen olemassaolon tai puuttumisen
InitiatingProcessParentId long Tapahtumasta vastuussa olevan prosessin luoneen pääprosessin prosessitunnus (PID)
InitiatingProcessParentFileName string Tapahtumasta vastuussa olevan prosessin synnyttäneen pääprosessin nimi
InitiatingProcessParentCreationTime datetime Päivämäärä ja kellonaika, jolloin tapahtumasta vastaavan prosessin pääelementtiä on aloitettu
RequestProtocol string Verkkoprotokolla, jos käytettävissä, toiminnon käynnistämiseen: Tuntematon, Paikallinen, SMB tai NFS
RequestSourceIP string Toiminnon aloittaneen etälaitteen IPv4- tai IPv6-osoite
RequestSourcePort int Toiminnon aloittaneen etälaitteen lähdeportti
RequestAccountName string Toiminnon etäkäynnistämiseen käytetyn tilin käyttäjänimi
RequestAccountDomain string Sen tilin toimialue, jota käytetään aktiviteetin etäkäynnistämiseen
RequestAccountSid string Toiminnon etäkäynnistämiseen käytetyn tilin suojaustunnus (SID)
ShareName string Tiedoston sisältävän jaetun kansion nimi
SensitivityLabel string Selite, jota käytetään sähköpostissa, tiedostossa tai muussa sisällössä sen luokittelemiseksi tietojen suojaamiseksi
SensitivitySubLabel string Sähköpostissa, tiedostossa tai muussa sisällössä käytetty alanimi, jolla se luokitellaan tietojen suojaamiseksi. luottamuksellisuusalatunnisteet on ryhmitelty luottamuksellisuustunnisteiden alle, mutta niitä käsitellään erikseen
IsAzureInfoProtectionApplied boolean Ilmaisee, onko Azure-Information Protection salannut tiedoston
ReportId long Toistuvaan laskuriin perustuva tapahtumatunnus. Jos haluat tunnistaa yksilölliset tapahtumat, tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa.
AppGuardContainerId string Tunnus virtualisoidulle säilölle, jota Sovellussuoja käyttää selaimen toiminnan eristämiseen
AdditionalFields string Lisätietoja entiteetistä tai tapahtumasta
InitiatingProcessSessionId long Käynnistysprosessin Windows-istuntotunnus
IsInitiatingProcessRemoteSession bool Ilmaisee, suoritettiinko aloitusprosessi RDP-etäistunnossa (tosi) vai paikallisesti (epätosi)
InitiatingProcessRemoteSessionDeviceName string Sen etälaitteen nimi, josta aloitusprosessin RDP-istunto aloitettiin
InitiatingProcessRemoteSessionIP string Sen etälaitteen IP-osoite, josta aloitusprosessin RDP-istunto aloitettiin

Huomautus

Tiedoston hajautusarvot näytetään aina, kun ne ovat käytettävissä. On kuitenkin useita mahdollisia syitä, miksi SHA1-, SHA256- tai MD5-arvoa ei voida laskea. Tiedosto saattaa esimerkiksi sijaita etätallennustilassa, lukita toisen prosessin, pakata tai merkitä virtuaaliseksi. Näissä tilanteissa tiedoston hajautusarvon tiedot näkyvät tyhjinä.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.