DeviceFileEvents

Gilt für:

  • Microsoft Defender XDR
  • Microsoft Defender für Endpunkt

Die DeviceFileEvents Tabelle im schema der erweiterten Suche enthält Informationen zum Erstellen, Ändern von Dateien und anderen Dateisystemereignissen. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Tipp

Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
DeviceId string Eindeutiger Bezeichner für das Gerät im Dienst
DeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts
ActionType string Typ der Aktivität, die das Ereignis ausgelöst hat. Ausführliche Informationen finden Sie in der Schemareferenz im Portal .
FileName string Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde
FolderPath string Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde
SHA1 string SHA-1 der Datei, auf die die aufgezeichnete Aktion angewendet wurde
SHA256 string SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. Dieses Feld wird in der Regel nicht ausgefüllt – Verwenden Sie die SHA1-Spalte, wenn verfügbar.
MD5 string MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde
FileOriginUrl string URL, von der die Datei heruntergeladen wurde
FileOriginReferrerUrl string URL der Webseite, die mit der heruntergeladenen Datei verknüpft ist
FileOriginIP string IP-Adresse, von der die Datei heruntergeladen wurde
PreviousFolderPath string Ursprünglicher Ordner, der die Datei enthält, bevor die aufgezeichnete Aktion angewendet wurde
PreviousFileName string Ursprünglicher Name der Datei, die als Ergebnis der Aktion umbenannt wurde
FileSize long Größe der Datei in Bytes
InitiatingProcessAccountDomain string Domäne des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessAccountName string Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat; Wenn das Gerät in Microsoft Entra ID registriert ist, wird stattdessen möglicherweise der Entra-ID-Benutzername des Kontos angezeigt, das den für das Ereignis verantwortlichen Prozess ausgeführt hat.
InitiatingProcessAccountSid string Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessAccountUpn string Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat; Wenn das Gerät in Microsoft Entra ID registriert ist, wird stattdessen möglicherweise der Entra-ID-UPN des Kontos angezeigt, das den für das Ereignis verantwortlichen Prozess ausgeführt hat.
InitiatingProcessAccountObjectId string Microsoft Entra Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessMD5 string MD5-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat
InitiatingProcessSHA1 string SHA-1 des Prozesses (Bilddatei), der das Ereignis initiiert hat
InitiatingProcessSHA256 string SHA-256 des Prozesses (Bilddatei), der das Ereignis initiiert hat. Dieses Feld wird in der Regel nicht ausgefüllt – Verwenden Sie die SHA1-Spalte, wenn verfügbar.
InitiatingProcessFolderPath string Ordner, der den Prozess (Bilddatei) enthält, der das Ereignis initiiert hat
InitiatingProcessFileName string Name der Prozessdatei, die das Ereignis initiiert hat; Wenn nicht verfügbar, wird stattdessen möglicherweise der Name des Prozesses angezeigt, der das Ereignis initiiert hat.
InitiatingProcessFileSize long Größe des Prozesses (Bilddatei), der das Ereignis initiiert hat
InitiatingProcessVersionInfoCompanyName string Firmenname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoProductName string Produktname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoProductVersion string Produktversion aus den Versionsinformationen des Prozesses (Imagedatei), die für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoInternalFileName string Interner Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoOriginalFileName string Ursprünglicher Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoFileDescription string Beschreibung aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist
InitiatingProcessId long Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat
InitiatingProcessCommandLine string Befehlszeile, die zum Ausführen des Prozesses verwendet wird, der das Ereignis initiiert hat
InitiatingProcessCreationTime datetime Datum und Uhrzeit des Beginns des Prozesses, der das Ereignis initiiert hat
InitiatingProcessIntegrityLevel string Integritätsebene des Prozesses, der das Ereignis initiiert hat. Windows weist Prozessen Integritätsebenen basierend auf bestimmten Merkmalen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsebenen wirken sich auf Berechtigungen für Ressourcen aus.
InitiatingProcessTokenElevation string Tokentyp, der angibt, dass auf den Prozess angewendet, der das Ereignis initiiert hat, das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (User Access Control, UAC)
InitiatingProcessParentId long Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat
InitiatingProcessParentFileName string Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat
InitiatingProcessParentCreationTime datetime Datum und Uhrzeit des Startdatums des übergeordneten Prozesses, der für das Ereignis verantwortlich ist
RequestProtocol string Netzwerkprotokoll, falls zutreffend, das zum Initiieren der Aktivität verwendet wird: Unbekannt, Lokal, SMB oder NFS
RequestSourceIP string IPv4- oder IPv6-Adresse des Remotegeräts, das die Aktivität initiiert hat
RequestSourcePort int Quellport auf dem Remotegerät, das die Aktivität initiiert hat
RequestAccountName string Benutzername des Kontos, das zum Remote-Initiieren der Aktivität verwendet wird
RequestAccountDomain string Domäne des Kontos, das zum Remotestarten der Aktivität verwendet wird
RequestAccountSid string Sicherheits-ID (SID) des Kontos, das zum Remotestarten der Aktivität verwendet wird
ShareName string Name des freigegebenen Ordners, der die Datei enthält
SensitivityLabel string Bezeichnung, die auf eine E-Mail, Datei oder andere Inhalte angewendet wird, um sie für den Informationsschutz zu klassifizieren
SensitivitySubLabel string Untergeordnete Bezeichnung, die auf eine E-Mail, Datei oder andere Inhalte angewendet wird, um sie für den Schutz von Informationen zu klassifizieren; Vertraulichkeitsunterbezeichnungen werden unter Vertraulichkeitsbezeichnungen gruppiert, aber unabhängig behandelt.
IsAzureInfoProtectionApplied boolean Gibt an, ob die Datei von Azure Information Protection
ReportId long Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden.
AppGuardContainerId string Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird
AdditionalFields string Zusätzliche Informationen zur Entität oder zum Ereignis
InitiatingProcessSessionId long Windows-Sitzungs-ID des initiierenden Prozesses
IsInitiatingProcessRemoteSession bool Gibt an, ob der initiierende Prozess unter einer RDP-Sitzung (Remotedesktopprotokoll) (true) oder lokal (false) ausgeführt wurde.
InitiatingProcessRemoteSessionDeviceName string Gerätename des Remotegeräts, von dem die RDP-Sitzung des initiierenden Prozesses initiiert wurde
InitiatingProcessRemoteSessionIP string IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des initiierenden Prozesses initiiert wurde

Hinweis

Dateihashinformationen werden immer angezeigt, wenn sie verfügbar sind. Es gibt jedoch mehrere mögliche Gründe, warum ein SHA1, SHA256 oder MD5 nicht berechnet werden kann. Für instance befindet sich die Datei möglicherweise im Remotespeicher, ist von einem anderen Prozess gesperrt, komprimiert oder als virtuell gekennzeichnet. In diesen Szenarien werden die Dateihashinformationen leer angezeigt.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.