Delen via


MDECustomCollectionDeviceFileEvents

Deze tabel maakt deel uit van Microsoft Defender voor Eindpunt s voor het scenario aangepaste verzameling. Deze tabel bevat gebeurtenissen voor het maken, wijzigen en andere bestandssysteem voor alles wat de klant expliciet heeft aangevraagd voor verzameling.

Tabelkenmerken

Kenmerk Weergegeven als
Resourcetypen -
Categorieën Beveiliging
Oplossingen LogManagement
Basislogboek Nee
Opnametijdtransformatie Nee
Voorbeeldquery's -

Kolommen

Column Type Description
ActionType tekenreeks Type activiteit dat de gebeurtenis heeft geactiveerd.
AdditionalFields dynamisch Aanvullende informatie over de entiteit of gebeurtenis.
AppGuardContainerId tekenreeks Id voor de gevirtualiseerde container die door Application Guard wordt gebruikt om browseractiviteit te isoleren.
_BilledSize werkelijk De recordgrootte in bytes
DeviceId tekenreeks Unieke id voor het apparaat in de service.
Apparaatnaam tekenreeks FQDN (Fully Qualified Domain Name) van het apparaat.
FileName tekenreeks De naam van het bestand waarop de vastgelegde actie is toegepast.
FileOriginIP tekenreeks IP-adres van waaruit het bestand is gedownload.
FileOriginReferrerUrl tekenreeks URL van de webpagina die is gekoppeld aan het gedownloade bestand.
FileOriginUrl tekenreeks URL van waaruit het bestand is gedownload.
FileSize long Grootte van het bestand in bytes.
FolderPath tekenreeks Map met het bestand waarop de vastgelegde actie is toegepast.
InitProcessAccountDomain tekenreeks Domein van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis.
InitProcessAccountName tekenreeks Gebruikersnaam van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis.
InitProcessAccountObjectId tekenreeks Azure AD-object-id van het gebruikersaccount dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis.
InitProcessAccountSid tekenreeks Beveiligings-id (SID) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis.
InitProcessAccountUpn tekenreeks Upn (User Principal Name) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis.
InitProcessCommandLine tekenreeks De opdrachtregel die wordt gebruikt om het proces uit te voeren waarmee de gebeurtenis is gestart.
InitProcessCreationTime datetime De datum en tijd waarop het proces waarmee de gebeurtenis is gestart, is gestart.
InitProcessFileName tekenreeks Naam van het proces dat de gebeurtenis heeft gestart.
InitProcessFileSize long Grootte in bytes van het proces (afbeeldingsbestand) waarmee de gebeurtenis is gestart.
InitProcessFolderPath tekenreeks Map met het proces (afbeeldingsbestand) waarmee de gebeurtenis is gestart.
InitProcessId long Proces-id (PID) van het proces dat de gebeurtenis heeft gestart.
InitProcessIntegrityLevel tekenreeks Integriteitsniveau van het proces dat de gebeurtenis heeft gestart. Windows wijst integriteitsniveaus toe aan processen op basis van bepaalde kenmerken, bijvoorbeeld als ze zijn gestart via een internetdownload. Deze integriteitsniveaus zijn van invloed op machtigingen voor resources.
InitProcessMD5 tekenreeks MD5-hash van het proces (afbeeldingsbestand) waarmee de gebeurtenis is gestart.
InitProcessParentCreationTime datetime De datum en tijd waarop het bovenliggende element van het proces dat verantwoordelijk is voor de gebeurtenis is gestart.
InitProcessParentFileName tekenreeks Naam van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis.
InitProcessParentId long Proces-id (PID) van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis.
InitProcessSHA1 tekenreeks SHA-1-hash van het proces (afbeeldingsbestand) waarmee de gebeurtenis is gestart.
InitProcessSHA256 tekenreeks SHA-256-hash van het proces (afbeeldingsbestand) waarmee de gebeurtenis is gestart. Dit veld is meestal niet ingevuld. Gebruik de SHA1-kolom indien beschikbaar.
InitProcessTokenElevation tekenreeks Tokentype dat de aanwezigheid of afwezigheid van UAC-bevoegdheden (User Access Control) aangeeft die is toegepast op het proces dat de gebeurtenis heeft gestart.
InitProcessVersionInfoCompanyName tekenreeks Bedrijfsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis.
InitProcessVersionInfoFileDescription tekenreeks Beschrijving van de versie-informatie van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis.
InitProcessVersionInfoInternalFileName tekenreeks Interne bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis.
InitProcessVersionInfoOriginalFileName tekenreeks Oorspronkelijke bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis.
InitProcessVersionInfoProductName tekenreeks Productnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis.
InitProcessVersionInfoProductVersion tekenreeks Productversie van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis.
IsAzureInfoProtectionApplied bool Geeft aan of het bestand is versleuteld door Azure Information Protection.
_IsBillable tekenreeks Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable wordt false opgenomen, worden er geen kosten in rekening gebracht voor uw Azure-account
MachineGroup tekenreeks Machinegroep van de machine. Deze groep wordt gebruikt door op rollen gebaseerd toegangsbeheer om de toegang tot de computer te bepalen.
MD5 tekenreeks MD5-hash van het bestand waarop de vastgelegde actie is toegepast.
PreviousFileName tekenreeks Oorspronkelijke naam van het bestand waarvan de naam is gewijzigd als gevolg van de actie.
PreviousFolderPath tekenreeks Oorspronkelijke map met het bestand voordat de vastgelegde actie werd toegepast.
ReportId long Gebeurtenis-id op basis van een herhalend item. Als u unieke gebeurtenissen wilt identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen ComputerName en EventTime.
RequestAccountDomain tekenreeks Domein van het account dat wordt gebruikt om de activiteit op afstand te initiëren.
RequestAccountName tekenreeks Gebruikersnaam van het account dat wordt gebruikt om de activiteit op afstand te initiëren.
RequestAccountSid tekenreeks Beveiligings-id (SID) van het account dat wordt gebruikt om de activiteit op afstand te initiëren.
RequestProtocol tekenreeks Netwerkprotocol, indien van toepassing, gebruikt om de activiteit te initiëren: Onbekend, Lokaal, SMB of NFS.
RequestSourceIP tekenreeks IPv4- of IPv6-adres van het externe apparaat dat de activiteit heeft gestart.
RequestSourcePort int Bronpoort op het externe apparaat dat de activiteit heeft gestart.
SensitivityLabel tekenreeks Label dat is toegepast op een e-mailbericht, bestand of andere inhoud om deze te classificeren voor informatiebeveiliging.
SensitivitySubLabel tekenreeks Sublabel toegepast op een e-mailbericht, bestand of andere inhoud om deze te classificeren voor informatiebeveiliging; gevoeligheidssublabels worden gegroepeerd onder vertrouwelijkheidslabels, maar worden onafhankelijk behandeld.
SHA1 tekenreeks SHA-1-hash van het bestand waarop de vastgelegde actie is toegepast.
SHA256 tekenreeks SHA-256 van het bestand waarop de vastgelegde actie is toegepast.
ShareName tekenreeks Naam van gedeelde map die het bestand bevat.
SourceSystem tekenreeks Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinding maken of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics
TenantId tekenreeks De Log Analytics-werkruimte-id
TimeGenerated datetime De datum en tijd waarop de gebeurtenis is vastgelegd door de MDE-agent op het eindpunt.
Type tekenreeks De naam van de tabel