Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Просмотр изменений файлов Windows и Linux, а также ключей реестра программ. События из этой таблицы собираются Microsoft Defender для защиты конечных точек (MDE).
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | Управление логами |
| Базовый журнал | Да |
| Преобразование на этапе загрузки | Да |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| AADTenantID (идентификатор клиента AAD) | строка | Идентификатор клиента AAD подписки, в которой отслеживаемая сущность была создана, переименована, изменена или удалена. |
| AzureResourceId | строка | Идентификатор ресурса Azure для ресурса, который был создан, переименован, изменён или удалён отслеживаемой сущностью. |
| _BilledSize | реальный | Размер записи в байтах |
| Тип изменения | строка | Тип изменения, которое произошло в сущности. Для сущности "Файл" должно быть "Создано", "Изменено", "Переименовано" или "Удалено". Для сущности Registry состояние должно быть либо RegistryKeyCreated, RegistryKeyDeleted, RegistryValueSet, RegistryValueDeleted или RegistryKeyRenamed. |
| ИдентификаторОблака | строка | Идентификатор облака ресурса. |
| Облачный провайдер | строка | Поставщик облачных ресурсов. |
| ТипОблачногоРесурса | строка | Тип облачного ресурса. |
| Компьютер | строка | Имя компьютера, на котором была создана отслеживаемая сущность, переименована, изменена или удалена. |
| FileMd5 | строка | Относится к типу отслеживаемой сущности "Файл". Содержит MD5 файла, который был изменен, создан или удален. |
| Имя файла | строка | Относится к типу отслеживаемой сущности "Файл". Содержит имя созданного, переименованного, измененного или удаленного файла. |
| FilePath | строка | Относится к типу отслеживаемой сущности "Файл". Содержит путь к файлу, который был создан, переименован, изменен или удален. |
| FileSha1 | строка | Относится к типу отслеживаемой сущности "Файл". Содержит SHA1 файла, который был изменен, создан или удален. |
| FileSha256 | строка | Относится к типу отслеживаемой сущности "Файл". Содержит SHA256 файла, который был изменен, создан или удален. |
| Размер файла | длинный | Относится к типу отслеживаемой сущности "Файл". Содержит текущий размер (в байтах) созданного, переименованного, измененного или удаленного файла. |
| Тип файла | строка | Относится к типу отслеживаемой сущности "Файл". Содержит тип файла, который был создан, переименован, изменен или удален. Пример возможных значений: Zip, PDF, Xar и т. д. |
| ИнициацияИмяДоменногоАккаунтаПроцесса | строка | Содержит доменное имя учетной записи инициирующего процесса, вызвавшего событие сущности, за которой ведётся мониторинг. |
| ИмяАккаунтаПроцессаИнициирования | строка | Содержит имя учетной записи инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| Запуск ProcessAccountSid | строка | Содержит SID учетной записи инициирующего процесса, вызвавшего событие мониторинга сущности. |
| ВремяИнициацииСозданияПроцесса | дата и время | Содержит время создания инициирующего процесса, вызвавшего мониторируемое событие сущности. |
| ИнициированиеProcessFirstSeen | дата и время | Хранит момент, когда процесс, инициировавший событие отслеживаемой сущности, был впервые замечен. |
| ИдентификаторЗапущенногоПроцесса | длинный | Содержит идентификатор инициирующего процесса, который вызвал мониторированное событие сущности. |
| Инициирование имени файла изображения процесса | строка | Содержит имя файла изображения инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| Инициирование пути к файлу образа процесса | строка | Содержит путь к файлу изображения процесса, который инициализировал мониторируемое событие. |
| Инициализация типа файла изображения процесса | строка | Содержит тип файла изображения инициирующего процесса, вызвавшего мониторируемое событие сущности. |
| ИнициированиеProcessName | строка | Содержит имя инициирующего процесса, вызвавшего событие отслеживаемого объекта. |
| ИнициированиеПроцессСеансИД | длинный | Содержит идентификатор сеанса процесса, вызвавшего событие отслеживаемой сущности. |
| Инициирование источника процесса | строка | Содержит источник инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageCreationTimeUtc | дата и время | Содержит время создания образа для образа запускаемого процесса, вызвавшего событие контролируемой сущности. |
| Размер файла изображения процесса в байтах (InitProcImageFileSizeInBytes) | длинный | Содержит размер файла изображения (в байтах) инициирующего процесса, вызвавшего событие, связанное с отслеживаемой сущностью. |
| InitProcImageLastAccessTimeUtc | дата и время | Содержит время последнего доступа к изображению инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageLastWriteTimeUtc | дата и время | Содержит время последней записи изображения для образа процесса, инициировавшего отслеживаемое событие сущности. |
| InitProcImageLsHash | строка | Содержит хэш образа LS для изображения процесса, инициировавшего событие отслеживаемой сущности. |
| InitProcImageMd5 | строка | Содержит хеш MD5 изображения процесса, инициировавшего событие отслеживаемой сущности. |
| InitProcImagePeTimestampUtc | дата и время | Содержит время PE для образа начального процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageSha1 | строка | Содержит изображение SHA 1 для образа запускающего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcImageSha256 | строка | Содержит хэш SHA 256 для образа инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcVersionInfoCompanyName | строка | Содержит имя компании, связанное с информацией о версии процесса, инициировавшего событие отслеживаемой сущности. |
| InitProcVersionInfoFileDescription | строка | Содержит описание файла сведений о версии инициирующего процесса, вызвавшего событие отслеживаемой сущности. |
| InitProcVersionInfoInternalFileName | строка | Содержит внутреннее имя файла, содержащего сведения о версии, инициирующего процесса, вызвавшего отслеживаемое событие сущности. |
| InitProcVersionInfoOriginalFileName | строка | Содержит оригинальное имя файла версии начального процесса, вызвавшего отслеживаемое событие сущности. |
| InitProcVersionInfoProductName | строка | Содержит имя продукта, связанное с информацией о версии процесса, который инициировал событие отслеживаемой сущности. |
| InitProcVersionInfoProductVersion | строка | Содержит информацию о версии продукта версии инициирующего процесса, вызвавшего событие отслеживания сущности. |
| _IsBillable | строка | Указывает, является ли обработка данных платной. Если _IsBillable false, прием данных не будет оплачиваться с вашей учетной записи Azure. |
| ТипОтслеживаемойСущности | строка | Тип отслеживаемой сущности, которая была создана, переименована, изменена или удалена. Может иметь значение "Файл" или "Реестр". |
| NewValueData | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Содержит данные новых значений реестра. |
| NewValueName | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Содержит имя нового значения реестра. |
| НовыйТипЗначения | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Удерживает тип нового значения реестра. |
| OldValueData | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Содержит предыдущие данные значения реестра. |
| OldValueFullRegistryKey (полный ключ реестра OldValue) | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Содержит предыдущий полный ключ реестра. |
| OldValueName | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Содержит предыдущее имя значения реестра. |
| СтарыйТипЗначения | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Содержит предыдущий тип значения реестра. |
| ИсходноеИмяФайла | строка | Относится к типу отслеживаемой сущности "Файл" и типу изменения "Переименовать". Содержит исходное имя файла, переименованного до переименования. |
| OriginalFilePath | строка | Относится к типу отслеживаемой сущности "Файл" и типу изменения "Переименовать". Содержит исходный путь к файлу, переименованного до переименования. |
| RegistryHive | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Содержит параметры конфигурации группировки для операционной системы и приложений. |
| ключ реестра | строка | Актуально для типа сущности «Реестр», находящегося под мониторингом. Содержит полный ключ реестра, который был создан, или новый ключ реестра, который был переименован. |
| ЗапросНаДоменыАккаунтов | строка | Относится к типу отслеживаемой сущности "Файл". Содержит домен учетной записи пользователя, вызвавшего событие файла. |
| ЗапросИмениАккаунта | строка | Относится к типу отслеживаемой сущности "Файл". Содержит имя учетной записи пользователя, вызвавшего событие файла. |
| RequestAccountSid | строка | Относится к типу отслеживаемой сущности "Файл". Содержит идентификатор безопасности учетной записи пользователя, вызвавшего событие файла. |
| ИсточникЗапроса | строка | Относится к типу отслеживаемой сущности "Файл". Содержит источник учетной записи пользователя, вызвавшего событие файла. Например, Local/SMB/NFS. |
| RequestSourceIP | строка | Относится к типу отслеживаемой сущности "Файл". Содержит исходный IP-адрес учетной записи пользователя, вызвавшего событие файла. Для удаленного файла IP-адрес, из которого поступил запрос. |
| RequestSourcePort | строка | Относится к типу отслеживаемой сущности "Файл". Содержит исходный порт учетной записи пользователя, вызвавшего событие файла. Для удаленного файла порт, из которого поступил запрос. |
| SourceSystem | строка | Тип агента, с помощью которого было собрано событие. Например, OpsManager, для агента Windows, прямого подключения или Operations Manager, Linux, для всех агентов Linux, или Azure, для Azure Diagnostics. |
| ИдентификаторАрендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Время (UTC), когда отслеживаемая сущность была создана, переименована, изменена или удалена. |
| Тип | строка | Имя таблицы. |