Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Visualizzare le modifiche apportate a File Windows e Linux, nonché alle chiavi del Registro di sistema software. Gli eventi di questa tabella vengono raccolti da Microsoft Defender per endpoint (MDE).
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | Gestione dei log |
| Log di base | Sì |
| Trasformazione in fase di inserimento | Sì |
| Ricerche di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| AADTenantID | string | ID tenant di AAD della sottoscrizione in cui è stata creata, rinominata, modificata o eliminata l'entità monitorata. |
| AzureResourceId | string | ID risorsa di Azure della risorsa la cui entità monitorata è stata creata, rinominata, modificata o eliminata. |
| _BilledSize | real | Dimensioni del record in byte |
| ChangeType | string | Tipo di modifica che si è verificata nell'entità. Per l'entità 'File' deve essere 'Creato', 'Modificato', 'Rinominato' o 'Eliminato'. Per l'entità 'Registro', deve essere uno tra 'RegistryKeyCreated', 'RegistryKeyDeleted', 'RegistryValueSet', 'RegistryValueDeleted', 'RegistryKeyRenamed'. |
| Identificatore del Cloud | string | Identificatore cloud della risorsa. |
| Fornitore di Servizi Cloud | string | Provider di servizi cloud della risorsa. |
| CloudResourceType | string | Tipo di risorsa cloud. |
| Computer | string | Nome del computer in cui è stata creata, rinominata, modificata o eliminata l'entità monitorata. |
| FileMd5 | string | Rilevante per il tipo di entità monitorata 'File'. Contiene l'MD5 del file modificato, creato o eliminato. |
| Nome del File | string | Rilevante per il tipo di entità monitorata 'File'. Contiene il nome del file creato, rinominato, modificato o eliminato. |
| FilePath | string | Rilevante per il tipo di entità monitorata 'File'. Contiene il percorso del file creato, rinominato, modificato o eliminato. |
| FileSha1 | string | Rilevante per il tipo di entità monitorata 'File'. Contiene l'sha1 del file modificato, creato o eliminato. |
| FileSha256 | string | Rilevante per il tipo di entità monitorata 'File'. Contiene il valore SHA256 del file modificato, creato o eliminato. |
| Dimensione del file | long | Rilevante per il tipo di entità monitorata 'File'. Contiene le dimensioni correnti (in byte) del file creato, rinominato, modificato o eliminato. |
| Tipo di file | string | Rilevante per il tipo di entità monitorata 'File'. Contiene il tipo del file creato, rinominato, modificato o eliminato. Esempio di valori possibili: Zip, PDF, Xar e così via. |
| InitiatingProcessAccountDomainName | string | Contiene il nome di dominio account del processo di avvio che ha causato l'evento di entità monitorata. |
| InitiatingProcessAccountName | string | Contiene il nome dell'account del processo di avvio che ha causato l'evento di entità monitorata. |
| InitiatingProcessAccountSid | string | Contiene il SID dell'account del processo di avvio che ha causato l'evento di entità monitorata. |
| InitiatingProcessCreationTime | data e ora | Contiene l'ora di creazione del processo iniziale che ha causato l'evento dell'entità monitorata. |
| InitiatingProcessFirstSeen | data e ora | Contiene la prima visualizzazione del processo di avvio che ha causato l'evento di entità monitorata. |
| InitiatingProcessId | long | Contiene l'ID del processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitiatingProcessImageFileName | string | Contiene il nome del file di immagine del processo di avvio che ha causato l'evento di entità monitorata. |
| InitiatingProcessImageFilePath | string | Contiene il percorso del file di immagine del processo di avvio che ha causato l'evento di entità monitorata. |
| InitiatingProcessImageFileType | string | Contiene il tipo di file di immagine del processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitiatingProcessName | string | Contiene il nome del processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitiatingProcessSessionId | long | Contiene l'ID sessione del processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitiatingProcessSource | string | Contiene l'origine del processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcImageCreationTimeUtc | data e ora | Contiene l'orario di creazione dell'immagine per l'immagine del processo di avvio che ha generato l'evento dell'entità monitorata. |
| InitProcImageFileSizeInBytes | long | Contiene le dimensioni del file di immagine (in byte) del processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcImageLastAccessTimeUtc | data e ora | Contiene l'ora dell'ultimo accesso dell'immagine relativa al processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcImageLastWriteTimeUtc | data e ora | Contiene l'ultima ora di scrittura dell'immagine relativa al processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcImageLsHash | string | Contiene l'hash LS dell'immagine relativa al processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcImageMd5 | string | Contiene l'MD5 dell'immagine relativa al processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcImagePeTimestampUtc | data e ora | Contiene l'ora PE dell'immagine relativa al processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcImageSha1 | string | Contiene l'immagine SHA 1 per l'immagine del processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcImageSha256 | string | Contiene l'immagine SHA 256 per l'immagine del processo di avvio che ha causato l'evento dell'entità monitorata. |
| InitProcVersionInfoCompanyName | string | Contiene il nome dell'azienda con le informazioni sulla versione del processo di avvio che ha causato l'evento di entità monitorata. |
| InitProcVersionInfoFileDescription | string | Contiene la descrizione del file di informazioni sulla versione del processo di avvio che ha causato l'evento di entità monitorata. |
| InitProcVersionInfoInternalFileName | string | Contiene il nome del file interno con le informazioni sulla versione del processo di avvio che ha causato l'evento di entità monitorata. |
| InitProcVersionInfoOriginalFileName | string | Contiene il nome del file originale con le informazioni sulla versione del processo di avvio che ha causato l'evento di entità monitorata. |
| InitProcVersionInfoProductName | string | Contiene il nome del prodotto con le informazioni sulla versione del processo di avvio che ha causato l'evento di entità monitorata. |
| InitProcVersionInfoProductVersion | string | Contiene la versione del prodotto con le informazioni sulla versione del processo di avvio che ha causato l'evento di entità monitorata. |
| _IsBillable | string | Specifica se l'ingestione dei dati è fatturabile. Quando _IsBillable è false, l'inserimento non viene fatturato all'account Azure |
| TipoEntitàMonitorata | string | Tipo dell'entità monitorata creata, rinominata, modificata o eliminata. Può essere "File" o "Registro di sistema". |
| NewValueData | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene i dati del nuovo valore del Registro di sistema. |
| NewValueName | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene il nome del nuovo valore del Registro di sistema. |
| NewValueType | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene il tipo di nuovo valore del Registro di sistema. |
| OldValueData | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene i dati del valore del Registro di sistema precedenti. |
| OldValueFullRegistryKey | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene la chiave completa del Registro di sistema precedente. |
| OldValueName | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene il nome del valore del Registro di sistema precedente. |
| OldValueType | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene il tipo di valore del Registro di sistema precedente. |
| NomeDelFileOriginale | string | Rilevante per il tipo di entità monitorata "File" e per una modifica di tipo "Rinomina". Contiene il nome originale del file rinominato, prima della ridenominazione. |
| OriginalFilePath | string | Rilevante per il tipo di entità monitorata "File" e per una modifica di tipo "Rinomina". Contiene il percorso originale del file rinominato, prima della ridenominazione. |
| RegistryHive | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene le impostazioni di configurazione di raggruppamento per il sistema operativo e le applicazioni. |
| Chiave del Registro | string | Rilevante per il tipo di entità monitorata 'Registry'. Contiene la chiave del Registro di sistema completa del Registro di sistema creata o la nuova chiave del Registro di sistema del Registro di sistema rinominata. |
| RequestAccountDomain | string | Rilevante per il tipo di entità monitorata 'File'. Contiene il dominio dell'account dell'utente che ha causato l'evento di file. |
| RequestAccountName | string | Rilevante per il tipo di entità monitorata 'File'. Contiene il nome dell'account dell'utente che ha causato l'evento di file. |
| RequestAccountSid | string | Rilevante per il tipo di entità monitorata 'File'. Contiene il SID dell'account dell'utente che ha causato l'evento di file. |
| RequestSource | string | Rilevante per il tipo di entità monitorata 'File'. Contiene l'account di origine dell'utente che ha causato l'evento relativo ai file. Ad esempio, Local/SMB/NFS. |
| RequestSourceIP | string | Rilevante per il tipo di entità monitorata 'File'. Contiene l'indirizzo IP di origine dell'account dell'utente che ha causato l'evento di file. Per il file remoto, l'INDIRIZZO IP da cui proviene la richiesta. |
| RequestSourcePort | string | Rilevante per il tipo di entità monitorata 'File'. Contiene la porta sorgente dell'account dell'utente che ha causato l'evento relativo al file. Per il file remoto, porta da cui proviene la richiesta. |
| SourceSystem | string | Il tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Azure Diagnostics. |
| TenantId | string | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Ora (UTC) in cui è stata creata, rinominata, modificata o eliminata l'entità monitorata. |
| Tipo | string | Nome della tabella |