DeviceFileEvents
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt
Tabellen DeviceFileEvents i det avanserte jaktskjemaet inneholder informasjon om filoppretting, endring og andre filsystemhendelser. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionTypeverdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
DeviceId |
string |
Unik identifikator for enheten i tjenesten |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
ActionType |
string |
Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon. |
FileName |
string |
Navnet på filen som den registrerte handlingen ble brukt på |
FolderPath |
string |
Mappe som inneholder filen som den registrerte handlingen ble brukt på |
SHA1 |
string |
SHA-1 for filen som den registrerte handlingen ble brukt på |
SHA256 |
string |
SHA-256 av filen som den registrerte handlingen ble brukt på. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig. |
MD5 |
string |
MD5-hash for filen som den registrerte handlingen ble brukt på |
FileOriginUrl |
string |
URL-adressen der filen ble lastet ned fra |
FileOriginReferrerUrl |
string |
URL-adressen til nettsiden som kobler til den nedlastede filen |
FileOriginIP |
string |
IP-adressen der filen ble lastet ned fra |
PreviousFolderPath |
string |
Opprinnelig mappe som inneholder filen før den registrerte handlingen ble brukt |
PreviousFileName |
string |
Opprinnelig navn på filen som fikk nytt navn som et resultat av handlingen |
FileSize |
long |
Størrelsen på filen i byte |
InitiatingProcessAccountDomain |
string |
Domene for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountName |
string |
Brukernavnet til kontoen som kjørte prosessen som var ansvarlig for hendelsen. hvis enheten er registrert i Microsoft Entra ID, kan navnet på Entra ID-brukernavnet til kontoen som kjørte prosessen som var ansvarlig for hendelsen, vises i stedet |
InitiatingProcessAccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountUpn |
string |
Brukerhovednavn (UPN) for kontoen som kjørte prosessen som var ansvarlig for hendelsen. hvis enheten er registrert i Microsoft Entra ID, kan Entra ID UPN for kontoen som kjørte prosessen som var ansvarlig for hendelsen, vises i stedet |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra objekt-ID for brukerkontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessMD5 |
string |
MD5-hash for prosessen (bildefil) som startet hendelsen |
InitiatingProcessSHA1 |
string |
SHA-1 av prosessen (bildefil) som startet hendelsen |
InitiatingProcessSHA256 |
string |
SHA-256 av prosessen (bildefil) som startet hendelsen. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig. |
InitiatingProcessFolderPath |
string |
Mappe som inneholder prosessen (bildefilen) som startet hendelsen |
InitiatingProcessFileName |
string |
Navnet på prosessfilen som startet hendelsen. hvis det ikke er tilgjengelig, kan navnet på prosessen som startet hendelsen, vises i stedet |
InitiatingProcessFileSize |
long |
Størrelsen på prosessen (bildefilen) som startet hendelsen |
InitiatingProcessVersionInfoCompanyName |
string |
Firmanavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoProductName |
string |
Produktnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversjon fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoOriginalFileName |
string |
Opprinnelig filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivelse fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessId |
long |
Prosess-ID (PID) for prosessen som startet hendelsen |
InitiatingProcessCommandLine |
string |
Kommandolinje som brukes til å kjøre prosessen som startet hendelsen |
InitiatingProcessCreationTime |
datetime |
Dato og klokkeslett da prosessen som startet hendelsen, ble startet |
InitiatingProcessIntegrityLevel |
string |
Integritetsnivå for prosessen som startet hendelsen. Windows tilordner integritetsnivåer til prosesser basert på bestemte egenskaper, for eksempel om de ble startet fra en nedlasting på Internett. Disse integritetsnivåene påvirker tillatelser til ressurser. |
InitiatingProcessTokenElevation |
string |
Tokentype som angir tilstedeværelsen eller fraværet av rettigheter for bruker Access Control (UAC) som brukes på prosessen som startet hendelsen |
InitiatingProcessParentId |
long |
Prosess-ID (PID) for den overordnede prosessen som utløste prosessen som var ansvarlig for hendelsen |
InitiatingProcessParentFileName |
string |
Navnet på den overordnede prosessen som gav prosessen som var ansvarlig for hendelsen |
InitiatingProcessParentCreationTime |
datetime |
Dato og klokkeslett da den overordnede for prosessen som var ansvarlig for hendelsen, ble startet |
RequestProtocol |
string |
Nettverksprotokoll, hvis aktuelt, brukes til å starte aktiviteten: Ukjent, Lokal, SMB eller NFS |
RequestSourceIP |
string |
IPv4- eller IPv6-adressen til den eksterne enheten som startet aktiviteten |
RequestSourcePort |
int |
Kildeport på den eksterne enheten som startet aktiviteten |
RequestAccountName |
string |
Brukernavnet til kontoen som brukes til å starte aktiviteten eksternt |
RequestAccountDomain |
string |
Domene for kontoen som brukes til å starte aktiviteten eksternt |
RequestAccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen som brukes til å starte aktiviteten eksternt |
ShareName |
string |
Navnet på den delte mappen som inneholder filen |
SensitivityLabel |
string |
Etikett brukt på en e-postmelding, fil eller annet innhold for å klassifisere den for informasjonsbeskyttelse |
SensitivitySubLabel |
string |
Sublabel brukes på en e-post, fil eller annet innhold for å klassifisere den for informasjonsbeskyttelse. følsomhetsunderplater grupperes under følsomhetsetiketter, men behandles uavhengig av hverandre |
IsAzureInfoProtectionApplied |
boolean |
Angir om filen er kryptert av Azure Information Protection |
ReportId |
long |
Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser. |
AppGuardContainerId |
string |
Identifikator for den virtualiserte beholderen som brukes av Application Guard til å isolere nettleseraktivitet |
AdditionalFields |
string |
Tilleggsinformasjon om enheten eller hendelsen |
InitiatingProcessSessionId |
long |
Windows-økt-ID for startprosessen |
IsInitiatingProcessRemoteSession |
bool |
Angir om startprosessen ble kjørt under en RDP-økt (remote desktop protocol) (sann) eller lokalt (usann) |
InitiatingProcessRemoteSessionDeviceName |
string |
Enhetsnavnet til den eksterne enheten der startprosessens RDP-økt ble startet |
InitiatingProcessRemoteSessionIP |
string |
IP-adressen til den eksterne enheten der startprosessens RDP-økt ble startet |
Obs!
Informasjon om hash-fil vises alltid når den er tilgjengelig. Det finnes imidlertid flere mulige årsaker til at en SHA1, SHA256 eller MD5 ikke kan beregnes. Filen kan for eksempel være plassert i ekstern lagring, låst av en annen prosess, komprimert eller merket som virtuell. I disse scenariene vises hash-informasjonen for filen tom.
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.