Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта таблица является частью Microsoft Defender для конечных точек в сценарии пользовательской коллекции. Эта таблица содержит события создания, изменения и другие события файловой системы по явным запросам клиента для сбора данных.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | Управление журналами |
| Базовый журнал | No |
| Преобразование ingestion-time | No |
| Примеры запросов | - |
Столбцы
| Колонка | Тип | Описание |
|---|---|---|
| Тип действия | строка | Тип действия, активировав событие. |
| ДополнительныеПоля | динамический | Дополнительные сведения о сущности или событии. |
| AppGuardContainerId | строка | Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize | real | Размер записи в байтах |
| DeviceId | строка | Уникальный идентификатор устройства в службе. |
| Имя устройства | строка | Полное доменное имя (FQDN) устройства. |
| FileName | строка | Имя файла, к которому было применено записанное действие. |
| FileOriginIP | строка | IP-адрес, из которого был скачан файл. |
| URL адрес источника файла | строка | URL-адрес веб-страницы, которая ссылается на скачанный файл. |
| URL источника файла | строка | URL-адрес, из которого был скачан файл. |
| FileSize | длинный | Размер файла в байтах. |
| FolderPath | строка | Папка, содержащая файл, к которому применено записанное действие. |
| InitProcessAccountDomain | строка | Домен учетной записи, выполняющей процесс, отвечающий за событие. |
| InitProcessAccountName | строка | Имя пользователя учетной записи, которая выполнила процесс, отвечающий за событие. |
| InitProcessAccountObjectId | строка | Идентификатор объекта Azure AD учетной записи пользователя, выполняющей процесс, отвечающий за событие. |
| InitProcessAccountSid | строка | Идентификатор безопасности учетной записи, выполняющей процесс, отвечающий за событие. |
| InitProcessAccountUpn | строка | Имя субъекта-пользователя (UPN) учетной записи, который запустил процесс, отвечающий за событие. |
| InitProcessCommandLine | строка | Командная строка, используемая для запуска процесса, инициирующего событие. |
| InitProcessCreationTime | дата и время | Дата и время запуска процесса, инициированного событием. |
| InitProcessFileName | строка | Имя процесса, инициируемого событием. |
| InitProcessFileSize | длинный | Размер в байтах процесса (файла изображения), инициированного событием. |
| InitProcessFolderPath | строка | Папка, содержащая процесс (файл изображения), инициируемый событием. |
| InitProcessId | длинный | Идентификатор процесса (PID) процесса, инициирующего событие. |
| InitProcessIntegrityLevel | строка | Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, таких как если бы они были запущены из скачивания в Интернете. Эти уровни целостности влияют на разрешения для ресурсов. |
| InitProcessMD5 | строка | Хэш MD5 процесса (файла изображения), инициированного событием. |
| InitProcessParentCreationTime | дата и время | Дата и время начала родительского процесса, ответственного за событие. |
| InitProcessParentFileName | строка | Имя родительского процесса, который породил процесс, отвечающий за событие. |
| InitProcessParentId | длинный | Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
| InitProcessSHA1 | строка | Хэш SHA-1 процесса (файла изображения), инициированного событием. |
| InitProcessSHA256 | строка | Хэш SHA-256 процесса (файла изображения), инициированного событием. Обычно это поле не заполняется. При наличии используйте столбец SHA1. |
| InitProcessTokenElevation | строка | Тип токена, указывающий на наличие или отсутствие привилегий повышения прав пользователя контроль учётных записей (UAC), применённых к процессу, инициировавшему событие. |
| InitProcessVersionInfoCompanyName | строка | Имя компании из сведений о версии процесса (файла образа), ответственного за событие. |
| InitProcessVersionInfoFileDescription | строка | Описание из сведений о версии процесса (файла изображения), ответственного за событие. |
| InitProcessVersionInfoInternalFileName | строка | Имя внутреннего файла из сведений о версии процесса (файла образа), ответственного за событие. |
| InitProcessVersionInfoOriginalFileName | строка | Исходное имя файла из сведений о версии процесса (файла образа), ответственного за событие. |
| InitProcessVersionInfoProductName | строка | Имя продукта из сведений о версии процесса (файла изображения), ответственного за событие. |
| InitProcessVersionInfoProductVersion | строка | Версия продукта из сведений о версии процесса (файла образа), ответственного за событие. |
| IsAzureInfoProtectionApplied | bool | Указывает, шифруется ли файл Azure Information Protection. |
| _IsBillable | строка | Указывает, является ли поглощение данных платным. Если _IsBillable false, то плата за обработку не взимается с вашего аккаунта Azure. |
| MachineGroup | строка | Группа компьютеров. Эта группа используется с помощью управления доступом на основе ролей для определения доступа к компьютеру. |
| MD5 | строка | Хэш MD5 файла, к которому было применено записанное действие. |
| PreviousFileName | строка | Исходное имя файла, переименованного в результате действия. |
| ПутьКПредыдущейПапке | строка | Исходная папка, содержащая файл перед применением записанного действия. |
| ReportId | длинный | Идентификатор события на основе повторяющегося счетчика. Чтобы определить уникальные события, этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| Запрос домена аккаунта | строка | Домен учетной записи, используемой для удаленного запуска действия. |
| RequestAccountName | строка | Имя учетной записи, используемой для удаленного запуска действия. |
| RequestAccountSid | строка | Идентификатор безопасности учетной записи, используемой для удаленного запуска действия. |
| ПротоколЗапроса | строка | Сетевой протокол, если применимо, используется для запуска действия: Unknown, Local, SMB или NFS. |
| RequestSourceIP | строка | IPv4 или IPv6-адрес удаленного устройства, инициирующего действие. |
| RequestSourcePort | INT | Исходный порт на удаленном устройстве, инициируемом действием. |
| Метка чувствительности | строка | Метка, применяемая к электронной почте, файлу или другому содержимому, чтобы классифицировать его для защиты информации. |
| ЧувствительностьSubLabel | строка | Вложенная метка, применяемая к электронной почте, файлу или другому содержимому, чтобы классифицировать его для защиты информации; вложенные метки конфиденциальности группируются под метками конфиденциальности, но обрабатываются независимо. |
| SHA1 | строка | Хэш SHA-1 файла, к которому было применено записанное действие. |
| SHA256 | строка | SHA-256 файла, к которому применено записанное действие. |
| ShareName | строка | Имя общей папки, содержащей файл. |
| SourceSystem | строка | Тип агента, который собрал событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| ИдентификаторАрендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Дата и время записи события агентом MDE в конечной точке. |
| Тип | строка | Имя таблицы. |