Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Zeigen Sie Änderungen von Windows- und Linux-Dateien sowie von Softwareregistrierungsschlüsseln an. Ereignisse aus dieser Tabelle werden von Microsoft Defender für Endpunkt (MDE) erfasst.
Tabellenattribute
| Attribut | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | Protokollverwaltung |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Nein |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | Beschreibung |
|---|---|---|
| AADTenantID | Zeichenfolge | Die AAD-Mandanten-ID des Abonnements, in dem die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
| AzureResourceId | Zeichenfolge | Die Azure-Ressourcen-ID der Ressource, deren überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
| _BilledSize | real | Die Datensatzgröße in Bytes. |
| Änderungstyp | Zeichenfolge | Der Typ der Änderung, die für die Entität aufgetreten ist. Die Entität 'Datei' muss entweder 'Erstellt', 'Geändert', 'Umbenannt' oder 'Gelöscht' sein. Für die „Registry“-Entität muss entweder „RegistryKeyCreated“, „RegistryKeyDeleted“, „RegistryValueSet“, „RegistryValueDeleted“, „RegistryKeyRenamed“ sein. |
| Cloud-Identifikator | Zeichenfolge | Der Cloudbezeichner der Ressource. |
| Cloud-Anbieter | Zeichenfolge | Der Cloudanbieter der Ressource. |
| Cloud-Ressourcentyp | Zeichenfolge | Der Typ der Cloudressource. |
| Rechner | Zeichenfolge | Der Name des Computers, auf dem die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
| FileMd5 | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält die MD5 der Datei, die geändert, erstellt oder gelöscht wurde. |
| Dateiname | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält den Namen der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
| FilePath | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält den Pfad der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
| FileSha1 | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält die SHA1 der Datei, die geändert, erstellt oder gelöscht wurde. |
| FileSha256 | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält die SHA256 der Datei, die geändert, erstellt oder gelöscht wurde. |
| Dateigröße | long | Relevant für den überwachten Entitätstyp 'File'. Enthält die aktuelle Größe (in Byte) der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. |
| Dateityp | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält den Typ der Datei, die erstellt, umbenannt, geändert oder gelöscht wurde. Beispiel für mögliche Werte: Zip, PDF, Xar usw. |
| InitiatingProcessAccountDomainName | Zeichenfolge | Enthält den Kontodomänennamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiatingProcessAccountName | Zeichenfolge | Enthält den Kontonamen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| Initiierung von ProcessAccountSid | Zeichenfolge | Enthält die Konto-SID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiatingProcessCreationTime | Datum/Zeit | Enthält die Erstellungszeit des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiatingProcessFirstSeen | Datum/Zeit | Enthält die erste gesehene Zeit des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiatingProcessId | long | Enthält die Prozess-ID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiatingProcessImageFileName | Zeichenfolge | Enthält den Namen der Bilddatei des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| Initiierung von ProcessImageFilePath | Zeichenfolge | Enthält den Pfad der Bilddatei des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiatingProcessImageFileType | Zeichenfolge | Enthält den Bilddateityp des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiatingProcessName | Zeichenfolge | Enthält den Namen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitiatingProcessSessionId | long | Enthält die Sitzungs-ID des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| Initiieren von ProcessSource | Zeichenfolge | Enthält die Quelle des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageCreationTimeUtc | Datum/Zeit | Enthält den Erstellungszeitpunkt des Bildes des auslösenden Prozesses, der das überwachte Entitätsereignis ausgelöst hat. |
| InitProcImageFileSizeInBytes | long | Enthält die Größe der Bilddatei (in Bytes) des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageLetzterZugriffszeitpunktUtc | Datum/Zeit | Enthält die Zeit für den letzten Zugriff auf das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageLastWriteTimeUtc | Datum/Zeit | Enthält die letzte Imageschreibzeit für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageLsHash | Zeichenfolge | Enthält den LS-Hash für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageMd5 | Zeichenfolge | Enthält das Image-MD5 für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImagePeTimestampUtc | Datum/Zeit | Enthält die Image-PE-Zeit für das Image des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageSha1 | Zeichenfolge | Enthält das Image SHA 1 für das Bild des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcImageSha256 | Zeichenfolge | Enthält das Image SHA 256 für das Bild des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoUnternehmensname | Zeichenfolge | Enthält den Firmennamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoFileDescription | Zeichenfolge | Enthält die Versionsinformationsdateibeschreibung des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoInternalFileName | Zeichenfolge | Enthält den internen Dateinamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoOriginalFileName | Zeichenfolge | Enthält den ursprünglichen Dateinamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoProduktname | Zeichenfolge | Enthält den Produktnamen der Versionsinformationen des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| InitProcVersionInfoProductVersion | Zeichenfolge | Enthält die Versionsinformationen-Produktversion des initiierenden Prozesses, der das überwachte Entitätsereignis verursacht hat. |
| _IstAbrechnungsfähig | Zeichenfolge | Gibt an, ob die Einspeisung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| ÜberwachterEntitätstyp | Zeichenfolge | Der Typ der überwachten Entität, die erstellt, umbenannt, geändert oder gelöscht wurde. Kann entweder „Datei“ oder „Registrierung“ sein. |
| NewValueData | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält die Daten des neuen Registrierungswerts. |
| NewValueName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den Namen des neuen Registrierungswerts. |
| NeuerWerttyp | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den neuen Registrierungswerttyp. |
| OldValueData | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält die vorherigen Registrierungswertdaten. |
| OldValueFullRegistryKey | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den vorherigen vollständigen Registrierungsschlüssel. |
| OldValueName | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den vorherigen Registrierungswertnamen. |
| OldValueType | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den vorherigen Registrierungswerttyp. |
| OriginalFileName | Zeichenfolge | Relevant für den überwachten Entitätstyp 'Datei' und für einen Änderungstyp 'Umbenennen'. Enthält den ursprünglichen Namen der Datei, die umbenannt wurde, bevor die Umbenennung erfolgt ist. |
| OriginalFilePath | Zeichenfolge | Relevant für den überwachten Entitätstyp 'Datei' und für einen Änderungstyp 'Umbenennen'. Enthält den ursprünglichen Pfad der Datei, die umbenannt wurde, bevor die Umbenennung erfolgt ist. |
| RegistryHive | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält die Gruppierungskonfigurationseinstellungen für das Betriebssystem und die Anwendungen. |
| Registry-Schlüssel (RegistryKey) | Zeichenfolge | Relevant für den überwachten Entitätstyp "Registry". Enthält den vollständigen Registrierungsschlüssel der Registrierung, die erstellt wurde, oder den neuen Registrierungsschlüssel der registrierung, die umbenannt wurde. |
| RequestAccountDomain | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält die Domäne des Kontos des Benutzers, das das Dateiereignis verursacht hat. |
| RequestAccountName | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält den Namen des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
| RequestAccountSid | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält die SID des Kontos des Benutzers, der das Dateiereignis verursacht hat. |
| Anforderungsquelle | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält die Quelle des Kontos des Benutzers, der das Dateiereignis verursacht hat. Beispiel: Local/SMB/NFS. |
| AnforderungsQuell-IP | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält die Quell-IP des Kontos des Benutzers, das das Dateiereignis verursacht hat. Für eine Remotedatei die IP-Adresse, von der die Anforderung stammt. |
| RequestSourcePort | Zeichenfolge | Relevant für den überwachten Entitätstyp 'File'. Enthält den Quellport des Kontos des Benutzers, der das Dateiereignis verursacht hat. Für Remotedatei, der Port, von dem die Anforderung stammte. |
| SourceSystem | Zeichenfolge | Art des Agents, durch den das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated | Datum/Zeit | Die Zeit (UTC), zu der die überwachte Entität erstellt, umbenannt, geändert oder gelöscht wurde. |
| Typ | Zeichenfolge | Der Name der Tabelle. |