DeviceFileEvents
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
Tabela DeviceFileEvents
w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o tworzeniu, modyfikowaniu i innych zdarzeniach systemu plików. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Porada
Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionType
wartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
Nazwa kolumny | Typ danych | Opis |
---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje , zobacz dokumentację schematu w portalu . |
FileName |
string |
Nazwa pliku, do którego została zastosowana zarejestrowana akcja |
FolderPath |
string |
Folder zawierający plik, do który zastosowano zarejestrowaną akcję |
SHA1 |
string |
SHA-1 pliku, do który zastosowano zarejestrowaną akcję |
SHA256 |
string |
SHA-256 pliku, do który zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
MD5 |
string |
Skrót MD5 pliku, do który zastosowano zarejestrowaną akcję |
FileOriginUrl |
string |
Adres URL, z którego pobrano plik |
FileOriginReferrerUrl |
string |
Adres URL strony internetowej, która łączy się z pobranym plikiem |
FileOriginIP |
string |
Adres IP, z którego pobrano plik |
PreviousFolderPath |
string |
Oryginalny folder zawierający plik przed zastosowaniem zarejestrowanej akcji |
PreviousFileName |
string |
Oryginalna nazwa pliku, którego nazwa została zmieniona w wyniku akcji |
FileSize |
long |
Rozmiar pliku w bajtach |
InitiatingProcessAccountDomain |
string |
Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountName |
string |
Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie; Jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie. |
InitiatingProcessAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountUpn |
string |
Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, nazwa UPN identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie, może zostać wyświetlona zamiast tego |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessMD5 |
string |
Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessSHA1 |
string |
SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessSHA256 |
string |
SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
InitiatingProcessFolderPath |
string |
Folder zawierający proces (plik obrazu), który zainicjował zdarzenie |
InitiatingProcessFileName |
string |
Nazwa pliku procesu, który zainicjował zdarzenie; Jeśli jest niedostępny, nazwa procesu, który zainicjował zdarzenie, może być wyświetlana zamiast tego |
InitiatingProcessFileSize |
long |
Rozmiar procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessVersionInfoCompanyName |
string |
Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductName |
string |
Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductVersion |
string |
Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoFileDescription |
string |
Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessId |
long |
Identyfikator procesu (PID) procesu, który zainicjował zdarzenie |
InitiatingProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie |
InitiatingProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie |
InitiatingProcessIntegrityLevel |
string |
Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów w oparciu o pewne cechy, takie jak uruchamianie ich z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
InitiatingProcessTokenElevation |
string |
Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu, który zainicjował zdarzenie |
InitiatingProcessParentId |
long |
Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentFileName |
string |
Nazwa procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentCreationTime |
datetime |
Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie |
RequestProtocol |
string |
Protokół sieciowy, jeśli ma zastosowanie, używany do inicjowania działania: Nieznany, Lokalny, SMB lub NFS |
RequestSourceIP |
string |
Adres IPv4 lub IPv6 urządzenia zdalnego, które zainicjowało działanie |
RequestSourcePort |
int |
Port źródłowy na urządzeniu zdalnym, które zainicjowało działanie |
RequestAccountName |
string |
Nazwa użytkownika konta używanego do zdalnego inicjowania działania |
RequestAccountDomain |
string |
Domena konta używanego do zdalnego inicjowania działania |
RequestAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta używanego do zdalnego inicjowania działania |
ShareName |
string |
Nazwa folderu udostępnionego zawierającego plik |
SensitivityLabel |
string |
Etykieta zastosowana do wiadomości e-mail, pliku lub innej zawartości w celu sklasyfikowania jej pod kątem ochrony informacji |
SensitivitySubLabel |
string |
Etykieta podrzędna zastosowana do wiadomości e-mail, pliku lub innej zawartości w celu sklasyfikowania jej pod kątem ochrony informacji; etykiety poufności są pogrupowane pod etykietami poufności, ale są traktowane niezależnie |
IsAzureInfoProtectionApplied |
boolean |
Wskazuje, czy plik jest szyfrowany przez usługę Azure Information Protection |
ReportId |
long |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
AppGuardContainerId |
string |
Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki |
AdditionalFields |
string |
Dodatkowe informacje o jednostce lub zdarzeniu |
InitiatingProcessSessionId |
long |
Identyfikator sesji systemu Windows procesu inicjowania |
IsInitiatingProcessRemoteSession |
bool |
Wskazuje, czy proces inicjujący został uruchomiony w ramach sesji protokołu PULPITU zdalnego (RDP) (true), czy lokalnie (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
InitiatingProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
Uwaga
Informacje o skrótie pliku będą zawsze wyświetlane, gdy są dostępne. Istnieje jednak kilka możliwych powodów, dla których nie można obliczyć algorytmu SHA1, SHA256 lub MD5. Na przykład plik może znajdować się w magazynie zdalnym, zablokowany przez inny proces, skompresowany lub oznaczony jako wirtualny. W tych scenariuszach informacje o skrótie pliku są puste.
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.