Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта таблица входит в состав Microsoft Defender для конечных точек с Azure Sentinel. Эта таблица содержит события создания, изменения и других событий файловой системы.
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | SecurityInsights |
| Базовый журнал | Нет |
| Преобразование ingestion-time | Да |
| Примеры запросов | - |
| Колонка | Тип | Описание |
|---|---|---|
| Тип действия | строка | Тип действия, активировав событие. |
| ДополнительныеПоля | динамичный | Дополнительные сведения о сущности или событии. |
| ИдентификаторКонтейнераAppGuard | строка | Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize | реальный | Размер записи в байтах |
| DeviceId | строка | Уникальный идентификатор устройства в службе. |
| Имя устройства | строка | Полное доменное имя устройства (FQDN). |
| ИмяФайла | строка | Имя файла, к которому было применено записанное действие. |
| FileOriginIP | строка | IP-адрес, из которого был скачан файл. |
| FileOriginReferrerUrl | строка | URL-адрес веб-страницы, которая ссылается на скачанный файл. |
| URL источника файла | строка | URL-адрес, из которого был скачан файл. |
| FileSize | длинный | Размер файла в байтах. |
| FolderPath | строка | Папка, содержащая файл, к которому применено записанное действие. |
| Инициализация ProcessAccountDomain | строка | Домен учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициирующийProcessAccountName | строка | Имя пользователя учетной записи, которая выполнила процесс, отвечающий за событие. |
| Инициирование ИдентификатораОбъектаУчетнойЗаписиПроцесса | строка | Идентификатор объекта Azure AD учетной записи пользователя, выполняющей процесс, отвечающий за событие. |
| ЗапускProcessAccountSid | строка | Идентификатор безопасности учетной записи, выполняющей процесс, отвечающий за событие. |
| Инициализация ProcessAccountUpn | строка | Имя субъекта-пользователя (UPN) учетной записи, выполнявшей процесс, отвечающий за событие. |
| Инициирование командной строки процесса | строка | Командная строка, используемая для запуска процесса, инициирующего событие. |
| Время создания процесса | дата и время | Дата и время запуска процесса, инициированного событием. |
| ЗапускИмяФайлаПроцесса | строка | Имя процесса, инициируемого событием. |
| ИнициированиеРазмерФайлаПроцесса | длинный | Размер в байтах процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessFolderPath | строка | Папка, содержащая процесс (файл изображения), инициируемый событием. |
| ИнициированиеИдентификатораПроцесса | длинный | Идентификатор процесса (PID) процесса, инициирующего событие. |
| Инициирование ProcessIntegrityLevel | строка | Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, таких как если бы они были запущены из скачивания в Интернете. Эти уровни целостности влияют на разрешения для ресурсов. |
| ИнициированиеProcessMD5 | строка | Хэш MD5 процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessParentCreationTime | дата и время | Дата и время начала процесса, родитель которого отвечает за событие. |
| Инициация ProcessParentFileName | строка | Имя родительского процесса, который запустил процесс, отвечающий за событие. |
| Инициирование ProcessParentId | долгий | Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
| Инициализация ProcessRemoteSessionDeviceName | строка | Имя устройства удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| Инициирование сеанса удаленного процесса IP | строка | IP-адрес удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ЗапускProcessSessionId | длинный | Идентификатор сеанса Windows для процесса инициации. |
| ЗапускProcessSHA1 | строка | Хэш SHA-1 процесса (файла изображения), инициированного событием. |
| ИнициированиеПроцессаSHA256 | строка | Хэш SHA-256 процесса (файла изображения), инициированного событием. Обычно это поле не заполняется. При наличии используйте столбец SHA1. |
| Инициирование ProcessTokenElevation | строка | Тип токена, указывающий на наличие или отсутствие повышения привилегий контроля доступа пользователя (UAC), примененного к процессу, инициировавшему событие. |
| Инициирование информации о версии процесса компании | строка | Имя компании из сведений о версии процесса (файла образа), ответственного за событие. |
| Инициирование информации о версии процесса файла описание | строка | Описание из сведений о версии процесса (файла изображения), ответственного за событие. |
| ЗапускProcessVersionInfoInternalFileName | строка | Имя внутреннего файла из сведений о версии процесса (файла образа), ответственного за событие. |
| ИнициированиеПроцессВерсияИнфоОригинальноеИмяФайла | строка | Исходное имя файла из сведений о версии процесса (файла образа), ответственного за событие. |
| ЗапускProcessVersionInfoProductName | строка | Имя продукта из сведений о версии процесса (файла изображения), ответственного за событие. |
| Инициирование процесса VersionInfoProductVersion | строка | Версия продукта из сведений о версии процесса (файла образа), ответственного за событие. |
| Применена ли защита информации Azure | bool | Указывает, шифруется ли файл Azure Information Protection. |
| _IsBillable | строка | Указывает, подлежит ли прием данных оплате. Если _IsBillable false, процесс не учитывается для выставления счетов в Azure. |
| IsInitiatingProcessRemoteSession | bool | Указывает, был ли запущен процесс инициирования в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| MachineGroup | строка | Группа компьютеров. Эта группа используется с помощью управления доступом на основе ролей для определения доступа к компьютеру. |
| MD5 | строка | Хэш MD5 файла, к которому было применено записанное действие. |
| ИмяПредыдущегоФайла | строка | Исходное имя файла, переименованного в результате действия. |
| ПутьКПредыдущейПапке | строка | Исходная папка, содержащая файл перед применением записанного действия. |
| ReportId | длинный | Идентификатор события на основе повторяющегося счетчика. Чтобы определить уникальные события, этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| RequestAccountDomain | строка | Домен учетной записи, используемой для удаленного запуска действия. |
| ЗапросИмениАккаунта | строка | Имя учетной записи, используемой для удаленного запуска действия. |
| RequestAccountSid | строка | Идентификатор безопасности учетной записи, используемой для удаленного запуска действия. |
| Протокол запроса | строка | Сетевой протокол, если применимо, используется для запуска действия: Unknown, Local, SMB или NFS. |
| RequestSourceIP | строка | IPv4 или IPv6-адрес удаленного устройства, инициирующего действие. |
| RequestSourcePort | INT | Исходный порт на удаленном устройстве, инициируемом действием. |
| Метка чувствительности | строка | Метка, применяемая к электронной почте, файлу или другому содержимому, чтобы классифицировать его для защиты информации. |
| ЧувствительностьSubLabel | строка | Вложенная метка, применяемая к электронной почте, файлу или другому содержимому, чтобы классифицировать его для защиты информации; вложенные метки конфиденциальности группируются под метками конфиденциальности, но обрабатываются независимо. |
| SHA1 | строка | Хэш SHA-1 файла, к которому было применено записанное действие. |
| SHA256 | строка | SHA-256 файла, к которому применено записанное действие. |
| ShareName | строка | Имя общей папки, содержащей файл. |
| SourceSystem | строка | Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics. |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Дата и время записи события агентом MDE в конечной точке. |
| Тип | строка | Имя таблицы. |