DeviceFileEvents
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Defender voor Eindpunt
De DeviceFileEvents tabel in het geavanceerde opsporingsschema bevat informatie over het maken, wijzigen van bestanden en andere bestandssysteem-gebeurtenissen. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Tip
Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
DeviceId |
string |
Unieke id voor het apparaat in de service |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie. |
FileName |
string |
Naam van het bestand waarop de vastgelegde actie is toegepast |
FolderPath |
string |
Map met het bestand waarop de vastgelegde actie is toegepast |
SHA1 |
string |
SHA-1 van het bestand waarop de vastgelegde actie is toegepast |
SHA256 |
string |
SHA-256 van het bestand waarop de opgenomen actie is toegepast. Dit veld wordt meestal niet ingevuld. Gebruik de kolom SHA1 indien beschikbaar. |
MD5 |
string |
MD5-hash van het bestand waarop de vastgelegde actie is toegepast |
FileOriginUrl |
string |
URL van waaruit het bestand is gedownload |
FileOriginReferrerUrl |
string |
URL van de webpagina die een koppeling naar het gedownloade bestand bevat |
FileOriginIP |
string |
IP-adres van waaruit het bestand is gedownload |
PreviousFolderPath |
string |
Oorspronkelijke map met het bestand voordat de opgenomen actie werd toegepast |
PreviousFileName |
string |
Oorspronkelijke naam van het bestand waarvan de naam is gewijzigd als gevolg van de actie |
FileSize |
long |
Grootte van het bestand in bytes |
InitiatingProcessAccountDomain |
string |
Domein van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountName |
string |
Gebruikersnaam van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis; als het apparaat is geregistreerd in Microsoft Entra ID, kan in plaats daarvan de Entra ID-gebruikersnaam worden weergegeven van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountSid |
string |
Beveiligings-id (SID) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountUpn |
string |
User Principal Name (UPN) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis; als het apparaat is geregistreerd in Microsoft Entra ID, kan in plaats daarvan de ENTRA-ID-UPN worden weergegeven van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra object-id van het gebruikersaccount dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessMD5 |
string |
MD5-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessSHA1 |
string |
SHA-1 van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessSHA256 |
string |
SHA-256 van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. Dit veld wordt meestal niet ingevuld. Gebruik de kolom SHA1 indien beschikbaar. |
InitiatingProcessFolderPath |
string |
Map met het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessFileName |
string |
Naam van het procesbestand dat de gebeurtenis heeft geïnitieerd; indien niet beschikbaar, kan de naam van het proces dat de gebeurtenis heeft geïnitieerd, in plaats daarvan worden weergegeven |
InitiatingProcessFileSize |
long |
Grootte van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessVersionInfoCompanyName |
string |
Bedrijfsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoProductName |
string |
Productnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoProductVersion |
string |
Productversie van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoInternalFileName |
string |
Interne bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oorspronkelijke bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoFileDescription |
string |
Beschrijving van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessId |
long |
Proces-id (PID) van het proces dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessCommandLine |
string |
Opdrachtregel die wordt gebruikt om het proces uit te voeren dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessCreationTime |
datetime |
Datum en tijd waarop het proces dat de gebeurtenis heeft geïnitieerd, is gestart |
InitiatingProcessIntegrityLevel |
string |
Integriteitsniveau van het proces dat de gebeurtenis heeft geïnitieerd. Windows wijst integriteitsniveaus toe aan processen op basis van bepaalde kenmerken, bijvoorbeeld als ze zijn gestart vanuit een internetdownload. Deze integriteitsniveaus zijn van invloed op machtigingen voor resources. |
InitiatingProcessTokenElevation |
string |
Tokentype dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het proces dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessParentId |
long |
Proces-id (PID) van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessParentFileName |
string |
Naam van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessParentCreationTime |
datetime |
Datum en tijd waarop de bovenliggende van het proces dat verantwoordelijk is voor de gebeurtenis is gestart |
RequestProtocol |
string |
Netwerkprotocol, indien van toepassing, gebruikt om de activiteit te initiëren: Onbekend, Lokaal, SMB of NFS |
RequestSourceIP |
string |
IPv4- of IPv6-adres van het externe apparaat dat de activiteit heeft geïnitieerd |
RequestSourcePort |
int |
Bronpoort op het externe apparaat dat de activiteit heeft geïnitieerd |
RequestAccountName |
string |
Gebruikersnaam van het account dat wordt gebruikt om de activiteit op afstand te initiëren |
RequestAccountDomain |
string |
Domein van het account dat wordt gebruikt om de activiteit op afstand te initiëren |
RequestAccountSid |
string |
Beveiligings-id (SID) van het account dat wordt gebruikt om de activiteit op afstand te initiëren |
ShareName |
string |
Naam van gedeelde map die het bestand bevat |
SensitivityLabel |
string |
Label toegepast op een e-mail, bestand of andere inhoud om deze te classificeren voor informatiebeveiliging |
SensitivitySubLabel |
string |
Sublabel toegepast op een e-mail, bestand of andere inhoud om deze te classificeren voor informatiebeveiliging; gevoeligheidssublabels worden gegroepeerd onder vertrouwelijkheidslabels, maar worden onafhankelijk behandeld |
IsAzureInfoProtectionApplied |
boolean |
Geeft aan of het bestand is versleuteld door Azure Information Protection |
ReportId |
long |
Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp. |
AppGuardContainerId |
string |
Id voor de gevirtualiseerde container die door Application Guard wordt gebruikt om browseractiviteit te isoleren |
AdditionalFields |
string |
Aanvullende informatie over de entiteit of gebeurtenis |
InitiatingProcessSessionId |
long |
Windows-sessie-id van het initiërende proces |
IsInitiatingProcessRemoteSession |
bool |
Geeft aan of het initiërende proces is uitgevoerd onder een RDP-sessie (Remote Desktop Protocol) (true) of lokaal (onwaar) |
InitiatingProcessRemoteSessionDeviceName |
string |
Apparaatnaam van het externe apparaat waarop de RDP-sessie van het initiërende proces is gestart |
InitiatingProcessRemoteSessionIP |
string |
IP-adres van het externe apparaat waarop de RDP-sessie van het initiërende proces is gestart |
Opmerking
Bestands-hashgegevens worden altijd weergegeven wanneer deze beschikbaar zijn. Er zijn echter verschillende mogelijke redenen waarom een SHA1, SHA256 of MD5 niet kan worden berekend. Het bestand bevindt zich bijvoorbeeld in externe opslag, is vergrendeld door een ander proces, is gecomprimeerd of gemarkeerd als virtueel. In deze scenario's wordt de hash-informatie van het bestand leeg weergegeven.
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.