Поделиться через

MDCFileIntegrityMonitoringEvents

  • Статья

Просмотр изменений файлов Windows и Linux, а также разделов реестра программного обеспечения. События из этой таблицы собираются Microsoft Defender для конечной точки (MDE).

Атрибуты таблицы

Атрибут Значение
Типы ресурсов -
Категории Безопасность
Решения LogManagement
Базовый журнал Да
Преобразование ingestion-time No
Примеры запросов -

Столбцы

Column Type Описание
AADTenantID строка Идентификатор клиента AAD подписки, в которой отслеживаемая сущность была создана, переименована, изменена или удалена.
AzureResourceId строка Идентификатор ресурса Azure, отслеживаемый сущностью которого была создана, переименована, изменена или удалена.
_BilledSize real Размер записи в байтах
ChangeType строка Тип изменения, которое произошло в сущности. Для сущности "Файл" должно быть "Создано", "Изменено", "Переименовано" или "Удалено". Для сущности Registry должен быть параметр RegistryKeyCreated, RegistryKeyDeleted, RegistryValueSet, RegistryValueDeleted, RegistryValueDeleted, RegistryKeyRenamed.
CloudIdentifier строка Идентификатор облака ресурса.
CloudProvider строка Поставщик облачных ресурсов.
CloudResourceType строка Тип облачного ресурса.
Компьютер строка Имя компьютера, на котором была создана отслеживаемая сущность, переименована, изменена или удалена.
FileMd5 строка Относится к типу отслеживаемой сущности "Файл". Содержит MD5 файла, который был изменен, создан или удален.
FileName строка Относится к типу отслеживаемой сущности "Файл". Содержит имя созданного, переименованного, измененного или удаленного файла.
FilePath строка Относится к типу отслеживаемой сущности "Файл". Содержит путь к файлу, который был создан, переименован, изменен или удален.
FileSha1 строка Относится к типу отслеживаемой сущности "Файл". Содержит SHA1 файла, который был изменен, создан или удален.
FileSha256 строка Относится к типу отслеживаемой сущности "Файл". Содержит SHA256 файла, который был изменен, создан или удален.
FileSize длинный Относится к типу отслеживаемой сущности "Файл". Содержит текущий размер (в байтах) созданного, переименованного, измененного или удаленного файла.
FileType строка Относится к типу отслеживаемой сущности "Файл". Содержит тип файла, который был создан, переименован, изменен или удален. Пример возможных значений: Zip, PDF, Xar и т. д.
ИнициированиеProcessAccountDomainName строка Содержит доменное имя учетной записи инициирующего процесса, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessAccountName строка Содержит имя учетной записи инициирующего процесса, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessAccountSid строка Содержит идентификатор безопасности учетной записи инициирующего процесса, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessCreationTime datetime Содержит время создания процесса инициации, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessFirstSeen datetime Содержит первое время запуска процесса, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessId длинный Содержит идентификатор процесса инициирующего процесса, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessImageFileName строка Содержит имя файла изображения, вызывающего событие отслеживаемой сущности.
ИнициированиеProcessImageFilePath строка Содержит путь к файлу изображения для процесса инициации, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessImageFileType строка Содержит тип файла изображения процесса инициации, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessName строка Содержит имя процесса инициации, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessSessionId длинный Содержит идентификатор сеанса процесса инициации, вызвавшего отслеживаемое событие сущности.
ИнициированиеProcessSource строка Содержит источник процесса инициирования, вызвавшего отслеживаемое событие сущности.
InitProcImageCreationTimeUtc datetime Содержит время создания образа для образа процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcImageFileSizeInBytes длинный Содержит размер файла изображения (в байтах) процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcImageLastAccessTimeUtc datetime Содержит время последнего доступа к изображению процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcImageLastWriteTimeUtc datetime Содержит время последней записи изображения для образа процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcImageLsHash строка Содержит хэш образа LS для образа процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcImageMd5 строка Содержит образ MD5 для образа процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcImagePeTimestampUtc datetime Содержит время PE изображения для образа процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcImageSha1 строка Содержит образ SHA 1 для образа процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcImageSha256 строка Содержит образ SHA 256 для образа процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcVersionInfoCompanyName строка Содержит имя компании сведений о версии процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcVersionInfoFileDescription строка Содержит описание файла сведений о версии процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcVersionInfoInternalFileName строка Содержит внутреннее имя файла сведений о версии процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcVersionInfoOriginalFileName строка Содержит исходное имя файла сведений о версии процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcVersionInfoProductName строка Содержит имя продукта сведений о версии процесса инициации, вызвавшего отслеживаемое событие сущности.
InitProcVersionInfoProductVersion строка Содержит версию продукта сведений о версии процесса инициации, вызвавшего отслеживаемое событие сущности.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
MonitoredEntityType строка Тип отслеживаемой сущности, которая была создана, переименована, изменена или удалена. Может иметь значение "Файл" или "Реестр".
NewValueData строка Релевантный для отслеживаемого типа сущности Реестра. Содержит данные о новых значениях реестра.
NewValueName строка Релевантный для отслеживаемого типа сущности Реестра. Содержит имя нового значения реестра.
NewValueType строка Релевантный для отслеживаемого типа сущности Реестра. Содержит тип нового значения реестра.
OldValueData строка Релевантный для отслеживаемого типа сущности Реестра. Содержит предыдущие данные о значении реестра.
OldValueFullRegistryKey строка Релевантный для отслеживаемого типа сущности Реестра. Содержит предыдущий полный раздел реестра.
OldValueName строка Релевантный для отслеживаемого типа сущности Реестра. Содержит предыдущее имя значения реестра.
OldValueType строка Релевантный для отслеживаемого типа сущности Реестра. Содержит предыдущий тип значения реестра.
OriginalFileName строка Относится к типу отслеживаемой сущности "Файл" и типу изменения "Переименовать". Содержит исходное имя файла, переименованного до переименования.
OriginalFilePath строка Относится к типу отслеживаемой сущности "Файл" и типу изменения "Переименовать". Содержит исходный путь к файлу, переименованного до переименования.
RegistryHive строка Релевантный для отслеживаемого типа сущности Реестра. Содержит параметры конфигурации группировки для операционной системы и приложений.
RegistryKey строка Релевантный для отслеживаемого типа сущности Реестра. Содержит полный раздел реестра созданного реестра или новый раздел реестра, который был переименован.
RequestAccountDomain строка Относится к типу отслеживаемой сущности "Файл". Содержит домен учетной записи пользователя, вызвавшего событие файла.
RequestAccountName строка Относится к типу отслеживаемой сущности "Файл". Содержит имя учетной записи пользователя, вызвавшего событие файла.
RequestAccountSid строка Относится к типу отслеживаемой сущности "Файл". Содержит идентификатор безопасности учетной записи пользователя, вызвавшего событие файла.
RequestSource строка Относится к типу отслеживаемой сущности "Файл". Содержит источник учетной записи пользователя, вызвавшего событие файла. Например, Local/SMB/NFS.
RequestSourceIP строка Относится к типу отслеживаемой сущности "Файл". Содержит исходный IP-адрес учетной записи пользователя, вызвавшего событие файла. Для удаленного файла IP-адрес, из которого поступил запрос.
RequestSourcePort строка Относится к типу отслеживаемой сущности "Файл". Содержит исходный порт учетной записи пользователя, вызвавшего событие файла. Для удаленного файла порт, из которого поступил запрос.
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated datetime Время (UTC) при создании отслеживаемой сущности, переименовании, изменении или удалении.
Тип строка Имя таблицы.