DeviceFileEvents

Gäller för:

  • Microsoft Defender XDR
  • Microsoft Defender för Endpoint

Tabellen DeviceFileEvents i det avancerade jaktschemat innehåller information om att skapa filer, ändra och andra filsystemhändelser. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Tips

Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.

Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen registrerades
DeviceId string Unik identifierare för enheten i tjänsten
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för enheten
ActionType string Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen .
FileName string Namnet på filen som den inspelade åtgärden tillämpades på
FolderPath string Mapp som innehåller filen som den inspelade åtgärden tillämpades på
SHA1 string SHA-1 av filen som den inspelade åtgärden tillämpades på
SHA256 string SHA-256 av filen som den registrerade åtgärden tillämpades på. Det här fältet är vanligtvis inte ifyllt – använd sha1-kolumnen när det är tillgängligt.
MD5 string MD5-hash för filen som den registrerade åtgärden tillämpades på
FileOriginUrl string URL där filen laddades ned från
FileOriginReferrerUrl string URL för webbsidan som länkar till den nedladdade filen
FileOriginIP string IP-adress där filen laddades ned från
PreviousFolderPath string Ursprunglig mapp som innehåller filen innan den inspelade åtgärden tillämpades
PreviousFileName string Ursprungligt namn på filen som ändrades till följd av åtgärden
FileSize long Filens storlek i byte
InitiatingProcessAccountDomain string Domän för det konto som körde processen som ansvarar för händelsen
InitiatingProcessAccountName string Användarnamnet för det konto som körde processen som var ansvarig för händelsen. om enheten är registrerad i Microsoft Entra ID kan Användarnamn för Entra-ID för det konto som körde processen som ansvarar för händelsen visas i stället
InitiatingProcessAccountSid string Säkerhetsidentifierare (SID) för det konto som körde processen som ansvarar för händelsen
InitiatingProcessAccountUpn string Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. om enheten är registrerad i Microsoft Entra ID kan Entra ID UPN för det konto som körde processen som ansvarar för händelsen visas i stället
InitiatingProcessAccountObjectId string Microsoft Entra objekt-ID för användarkontot som körde processen som ansvarar för händelsen
InitiatingProcessMD5 string MD5-hash för processen (bildfil) som initierade händelsen
InitiatingProcessSHA1 string SHA-1 av processen (bildfil) som initierade händelsen
InitiatingProcessSHA256 string SHA-256 av processen (bildfil) som initierade händelsen. Det här fältet är vanligtvis inte ifyllt – använd sha1-kolumnen när det är tillgängligt.
InitiatingProcessFolderPath string Mapp som innehåller processen (bildfil) som initierade händelsen
InitiatingProcessFileName string Namnet på den processfil som initierade händelsen. om den inte är tillgänglig kan namnet på den process som initierade händelsen visas i stället
InitiatingProcessFileSize long Storleken på processen (bildfilen) som initierade händelsen
InitiatingProcessVersionInfoCompanyName string Företagsnamn från versionsinformationen för processen (avbildningsfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoProductName string Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoProductVersion string Produktversion från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoInternalFileName string Internt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoOriginalFileName string Ursprungligt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessVersionInfoFileDescription string Beskrivning från versionsinformationen för processen (bildfilen) som ansvarar för händelsen
InitiatingProcessId long Process-ID (PID) för processen som initierade händelsen
InitiatingProcessCommandLine string Kommandorad som används för att köra processen som initierade händelsen
InitiatingProcessCreationTime datetime Datum och tid då processen som initierade händelsen startades
InitiatingProcessIntegrityLevel string Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser.
InitiatingProcessTokenElevation string Tokentyp som anger förekomsten eller avsaknaden av behörighetshöjning för användare Access Control (UAC) som tillämpas på processen som initierade händelsen
InitiatingProcessParentId long Process-ID (PID) för den överordnade processen som skapade processen som var ansvarig för händelsen
InitiatingProcessParentFileName string Namnet på den överordnade process som skapade processen som ansvarar för händelsen
InitiatingProcessParentCreationTime datetime Datum och tid då den överordnade processen som ansvarar för händelsen startades
RequestProtocol string Nätverksprotokoll, om tillämpligt, som används för att initiera aktiviteten: Okänd, Lokal, SMB eller NFS
RequestSourceIP string IPv4- eller IPv6-adressen för fjärrenheten som initierade aktiviteten
RequestSourcePort int Källporten på fjärrenheten som initierade aktiviteten
RequestAccountName string Användarnamn för det konto som används för att fjärrinitiering av aktiviteten
RequestAccountDomain string Domän för det konto som används för att fjärrinitiering av aktiviteten
RequestAccountSid string Säkerhetsidentifierare (SID) för det konto som används för att fjärrinitiering av aktiviteten
ShareName string Namnet på den delade mappen som innehåller filen
SensitivityLabel string Etikett som tillämpas på ett e-postmeddelande, en fil eller annat innehåll för att klassificera den för informationsskydd
SensitivitySubLabel string Underetikett som tillämpas på ett e-postmeddelande, en fil eller annat innehåll för att klassificera det för informationsskydd. känslighetsunderetiketter grupperas under känslighetsetiketter men behandlas oberoende av varandra
IsAzureInfoProtectionApplied boolean Anger om filen krypteras av Azure Information Protection
ReportId long Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp.
AppGuardContainerId string Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet
AdditionalFields string Ytterligare information om entiteten eller händelsen
InitiatingProcessSessionId long Windows-sessions-ID för den inledande processen
IsInitiatingProcessRemoteSession bool Anger om den inledande processen kördes under en RDP-session (Remote Desktop Protocol) (sant) eller lokalt (falskt)
InitiatingProcessRemoteSessionDeviceName string Enhetsnamnet på den fjärrenhet från vilken den initierande processens RDP-session initierades
InitiatingProcessRemoteSessionIP string IP-adressen för den fjärranslutna enhet från vilken den initierande processens RDP-session initierades

Obs!

Information om filhash visas alltid när den är tillgänglig. Det finns dock flera möjliga orsaker till varför en SHA1, SHA256 eller MD5 inte kan beräknas. Filen kan till exempel finnas i fjärrlagring, låsas av en annan process, komprimeras eller markeras som virtuell. I dessa scenarier visas filhashinformationen tom.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.