Udostępnij za pośrednictwem


DeviceFileEvents

Dotyczy:

  • Microsoft Defender XDR
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Tabela DeviceFileEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o tworzeniu, modyfikowaniu i innych zdarzeniach systemu plików. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.

Porada

Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina zarejestrowania zdarzenia
DeviceId string Unikatowy identyfikator urządzenia w usłudze
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
ActionType string Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje , zobacz dokumentację schematu w portalu .
FileName string Nazwa pliku, do którego została zastosowana zarejestrowana akcja
FolderPath string Folder zawierający plik, do który zastosowano zarejestrowaną akcję
SHA1 string SHA-1 pliku, do który zastosowano zarejestrowaną akcję
SHA256 string SHA-256 pliku, do który zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna.
MD5 string Skrót MD5 pliku, do który zastosowano zarejestrowaną akcję
FileOriginUrl string Adres URL, z którego pobrano plik
FileOriginReferrerUrl string Adres URL strony internetowej, która łączy się z pobranym plikiem
FileOriginIP string Adres IP, z którego pobrano plik
PreviousFolderPath string Oryginalny folder zawierający plik przed zastosowaniem zarejestrowanej akcji
PreviousFileName string Oryginalna nazwa pliku, którego nazwa została zmieniona w wyniku akcji
FileSize long Rozmiar pliku w bajtach
InitiatingProcessAccountDomain string Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountName string Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie; Jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, zamiast tego może zostać wyświetlona nazwa użytkownika identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie.
InitiatingProcessAccountSid string Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountUpn string Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie; jeśli urządzenie jest zarejestrowane w Tożsamość Microsoft Entra, nazwa UPN identyfikatora Entra konta, na którym uruchomiono proces odpowiedzialny za zdarzenie, może zostać wyświetlona zamiast tego
InitiatingProcessAccountObjectId string Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessMD5 string Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessSHA1 string SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessSHA256 string SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna.
InitiatingProcessFolderPath string Folder zawierający proces (plik obrazu), który zainicjował zdarzenie
InitiatingProcessFileName string Nazwa pliku procesu, który zainicjował zdarzenie; Jeśli jest niedostępny, nazwa procesu, który zainicjował zdarzenie, może być wyświetlana zamiast tego
InitiatingProcessFileSize long Rozmiar procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessVersionInfoCompanyName string Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductName string Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductVersion string Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoInternalFileName string Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoOriginalFileName string Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoFileDescription string Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessId long Identyfikator procesu (PID) procesu, który zainicjował zdarzenie
InitiatingProcessCommandLine string Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie
InitiatingProcessCreationTime datetime Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie
InitiatingProcessIntegrityLevel string Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów w oparciu o pewne cechy, takie jak uruchamianie ich z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów.
InitiatingProcessTokenElevation string Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu, który zainicjował zdarzenie
InitiatingProcessParentId long Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie
InitiatingProcessParentFileName string Nazwa procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie
InitiatingProcessParentCreationTime datetime Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie
RequestProtocol string Protokół sieciowy, jeśli ma zastosowanie, używany do inicjowania działania: Nieznany, Lokalny, SMB lub NFS
RequestSourceIP string Adres IPv4 lub IPv6 urządzenia zdalnego, które zainicjowało działanie
RequestSourcePort int Port źródłowy na urządzeniu zdalnym, które zainicjowało działanie
RequestAccountName string Nazwa użytkownika konta używanego do zdalnego inicjowania działania
RequestAccountDomain string Domena konta używanego do zdalnego inicjowania działania
RequestAccountSid string Identyfikator zabezpieczeń (SID) konta używanego do zdalnego inicjowania działania
ShareName string Nazwa folderu udostępnionego zawierającego plik
SensitivityLabel string Etykieta zastosowana do wiadomości e-mail, pliku lub innej zawartości w celu sklasyfikowania jej pod kątem ochrony informacji
SensitivitySubLabel string Etykieta podrzędna zastosowana do wiadomości e-mail, pliku lub innej zawartości w celu sklasyfikowania jej pod kątem ochrony informacji; etykiety poufności są pogrupowane pod etykietami poufności, ale są traktowane niezależnie
IsAzureInfoProtectionApplied boolean Wskazuje, czy plik jest szyfrowany przez usługę Azure Information Protection
ReportId long Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp.
AppGuardContainerId string Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki
AdditionalFields string Dodatkowe informacje o jednostce lub zdarzeniu
InitiatingProcessSessionId long Identyfikator sesji systemu Windows procesu inicjowania
IsInitiatingProcessRemoteSession bool Wskazuje, czy proces inicjujący został uruchomiony w ramach sesji protokołu PULPITU zdalnego (RDP) (true), czy lokalnie (false)
InitiatingProcessRemoteSessionDeviceName string Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania
InitiatingProcessRemoteSessionIP string Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania

Uwaga

Informacje o skrótie pliku będą zawsze wyświetlane, gdy są dostępne. Istnieje jednak kilka możliwych powodów, dla których nie można obliczyć algorytmu SHA1, SHA256 lub MD5. Na przykład plik może znajdować się w magazynie zdalnym, zablokowany przez inny proces, skompresowany lub oznaczony jako wirtualny. W tych scenariuszach informacje o skrótie pliku są puste.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.