Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Filhändelsetabell för Microsoft Defender for Endpoints (MDE) för scenariot anpassade insamling. Denna tabell innehåller information om filskapande, filändringar och andra händelser i filsystemet som uttryckligen begärts av kunden för insamling.
Attributer för tabeller
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Intagstidsförvandling | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Åtgärdstyp | snöre | Typ av aktivitet som utlöste händelsen. |
| Ytterligare fält | dynamisk | Ytterligare information om entiteten eller händelsen. |
| Behållar-ID för AppGuard | snöre | Identifierare för den virtualiserade behållaren som används av Application Guard för att isolera webbläsaraktivitet. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| DeviceId | snöre | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | snöre | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| filnamn | snöre | Namnet på filen som den inspelade åtgärden tillämpades på. |
| FilUrsprungsIP | snöre | IP-adress där filen laddades ned från. |
| FilUrsprungReferensUrl | snöre | URL för webbsidan som länkar till den nedladdade filen. |
| Filursprungswebbadress | snöre | URL där filen laddades ner från. |
| Filstorlek | lång | Filens storlek i byte. |
| Mappsökväg | snöre | Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| Initiering av ProcesskontoDomän | snöre | Domän för det konto som körde processen som var ansvarig för händelsen. |
| Initierande Processkontonamn | snöre | Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| Initiera processkontoobjekts-ID | snöre | Azure AD-objekt-ID för det användarkonto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountSID | snöre | Säkerhetsidentifierare (SID) för det konto som körde processen som var ansvarig för händelsen. |
| Initiera ProcesskontoUpn | snöre | Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcesskommandorad | snöre | Kommandoraden som användes för att köra processen som initierade händelsen. |
| InitieringsprocessensSkapandetid | tidpunkt | Datum och tid då processen som initierade händelsen startades. |
| Initiationsprocessfilnamn | snöre | Namnet på processen som initierade händelsen. |
| Initierande Processfilstorlek | lång | Storlek i byte av den process (bildfil) som initierade händelsen. |
| InitieraProcessensMappsökväg | snöre | Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| PåbörjarProcessId | lång | Process-ID (PID) för processen som initierade händelsen. |
| Initieringsprocessens Integritetsnivå | snöre | Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser. |
| InitieringProcessMD5 | snöre | MD5-hash av processen (bildfilen) som initierade händelsen. |
| Initieringsprocessförälderskapandetiid | tidpunkt | Datum och tid då den överordnade processen som är ansvarig för händelsen startades. |
| Initiera Process Förälder Filnamn | snöre | Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitieringsprocessensFörälderId | lång | Process-ID (PID) för den förälderprocess som skapade den process som är ansvarig för händelsen. |
| InitieraProcessFjärrsessionEnhetsnamn | snöre | Enhetsnamn för den fjärrenhet från vilken den initierande processens RDP-session initierades. |
| InitieraProcessRemoteSessionIP | snöre | IP-adressen till den fjärrenhet från vilken startprocessens RDP-session initierades. |
| InitieraProcessSessionId | lång | Windows-sessions-ID för den inledande processen. |
| Initiera Process SHA1 | snöre | SHA-1-hash av processen (bildfilen) som initierade händelsen. |
| InitierarProcessSHA256 | snöre | SHA-256-hash för processen (bildfilen) som initierade händelsen. Detta fält är vanligtvis inte ifyllt - använd kolumnen SHA1 när den är tillgänglig. |
| Initiera Processens Tokenhöjning | snöre | Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den process som initierade händelsen. |
| InitieringProcessVersionInfoFöretagsnamn | snöre | Företagsnamn från versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| InitieringProcessVersionInfoFilbeskrivning | snöre | Beskrivning från versionsinformationen för den process (bildfil) som är ansvarig för händelsen. |
| InitieraProcessVersionInfoInternFilnamn | snöre | Internt filnamn från versionsinformationen för den process (bildfil) som ansvarar för händelsen. |
| InitieringProcessVersionInfoOriginalFilnamn | snöre | Ursprungligt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| Initiera Processversioninfo Produktnamn | snöre | Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| Versionsinformation för initieringsprocessens produktversion | snöre | Produktversion enligt versionsinformationen för processen (bildfilen) som ansvarar för händelsen. |
| ÄrAzureInfoProtectionTillämpad | bool | Anger om filen krypteras av Azure Information Protection. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| StartarProcessenFjärrsession | bool | Anger om initieringsprocessen kördes under en RDP-session (Remote Desktop Protocol) (true) eller lokalt (false). |
| MachineGroup (på engelska) | snöre | Maskingrupp för maskinen. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
| MD5 | snöre | MD5-hash av filen som den registrerade handlingen tillämpades på. |
| TidigareFilnamn | snöre | Ursprungligt namn på filen som ändrades till följd av åtgärden. |
| PreviousFolderPath | snöre | Ursprunglig mapp som innehöll filen innan den registrerade åtgärden tillämpades. |
| ReportId | lång | Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna ComputerName och EventTime. |
| BegärKontodomän | snöre | Domänen för det konto som används för att initiera aktiviteten på distans. |
| BegärKontonamn | snöre | Användarnamnet för det konto som används för att fjärrinitiering av aktiviteten. |
| Begär KontoSID | snöre | Säkerhetsidentifierare (SID) för det konto som används för att initiera aktiviteten på distans. |
| Förfrågningsprotokoll | snöre | Nätverksprotokoll, om tillämpligt, som används för att initiera aktiviteten: Okänd, Lokal, SMB eller NFS. |
| RequestSourceIP | snöre | IPv4- eller IPv6-adress för den fjärrenhet som initierade aktiviteten. |
| RequestSourcePort | Int | Källport på den fjärrenhet som initierade aktiviteten. |
| RegelSenasteÄndringstid | tidpunkt | Datum och tid då regeln som samlade in händelsen senast ändrades. |
| Regelnamn | snöre | Namnet på regeln som samlade in händelsen |
| Känslighetsetikett | snöre | Etikett som tillämpas på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det för informationsskydd. |
| Känslighetsunderetikett | snöre | Underetikett tillämpad på ett e-postmeddelande, fil eller annat innehåll för att klassificera det för informationsskydd; känslighetsunderetiketter grupperas under känslighetsetiketter men hanteras oberoende. |
| SHA1 | snöre | SHA-1-hash för filen som den inspelade åtgärden tillämpades på. |
| SHA256 | snöre | SHA-256 av filen som den registrerade åtgärden tillämpades på. |
| DelaNamn | snöre | Namn på den delade mappen som innehåller filen. |
| Källsystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| Tidpunkt för generering | tidpunkt | Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Typ | snöre | Tabellens namn |