Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa tabella fa parte di Microsoft Defender per Endpoint per lo scenario di raccolta personalizzata. Questa tabella include la creazione, la modifica e altri eventi del file system per qualsiasi elemento richiesto in modo esplicito dal cliente per la raccolta.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | Gestione dei Log |
| Log di base | Sì |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Tipo di Azione | stringa | Tipo di attività che ha attivato l'evento. |
| Campi aggiuntivi | dinamico | Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId | stringa | Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize | autentico | Dimensioni del record in byte |
| DeviceId | stringa | Identificatore univoco per il dispositivo nel servizio. |
| NomeDispositivo | stringa | Nome di dominio completo (FQDN) del dispositivo. |
| Nome del file | stringa | Nome del file a cui è stata applicata l'azione registrata. |
| Indirizzo IP di Origine del File | stringa | Indirizzo IP da cui è stato scaricato il file. |
| FileOriginReferrerUrl | stringa | URL della pagina Web che collega al file scaricato. |
| FileOriginUrl | stringa | URL da cui è stato scaricato il file. |
| Dimensione del file | lungo | Dimensioni del file, in byte. |
| FolderPath | stringa | Cartella contenente il file a cui è stata applicata l'azione registrata. |
| InitProcessAccountDomain | stringa | Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| InitProcessAccountName | stringa | Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| InitProcessAccountObjectId | stringa | ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| InitProcessAccountSid | stringa | ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| InitProcessAccountUpn | stringa | Nome principale dell'utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
| InitProcessCommandLine | stringa | Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| InitProcessCreationTime | data e ora | Data e ora dell'avvio del processo che ha avviato l'evento. |
| InitProcessFileName | stringa | Nome del processo che ha avviato l'evento. |
| InitProcessFileSize | lungo | Dimensioni in byte del processo (file di immagine) che ha avviato l'evento. |
| InitProcessFolderPath | stringa | Cartella contenente il processo (file di immagine) che ha avviato l'evento. |
| InitProcessId | lungo | ID processo (PID) del processo che ha avviato l'evento. |
| InitProcessIntegrityLevel | stringa | Livello di integrità del processo che ha avviato l'evento. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| InitProcessMD5 | stringa | Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| InitProcessParentCreationTime | data e ora | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| InitProcessParentFileName | stringa | Nome del processo padre che ha generato il processo responsabile dell'evento. |
| InitProcessParentId | lungo | ID del processo (PID) del processo genitore che ha generato il processo responsabile dell'evento. |
| InitProcessSHA1 | stringa | Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| InitProcessSHA256 | stringa | Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. Questo campo in genere non viene popolato. Usare la colonna SHA1, se disponibile. |
| InitProcessTokenElevation | stringa | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di Controllo dell'accesso utente (UAC) applicata al processo che ha avviato l'evento. |
| InitProcessVersionInfoCompanyName | stringa | Nome della società ricavato dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoFileDescription | stringa | Descrizione delle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoInternalFileName | stringa | Nome del file interno ricavato dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoOriginalFileName | stringa | Nome file originale tratto dalle informazioni sulla versione del processo (file immagine) che è responsabile dell'evento. |
| InitProcessVersionInfoProductName | stringa | Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoProductVersion | stringa | Versione del prodotto ricavata dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| È applicata la protezione delle informazioni di Azure? | Bool | Indica se il file è crittografato da Azure Information Protection. |
| _ÈFatturabile | stringa | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, il processo di ingestione non viene fatturato all'account Azure |
| MachineGroup | stringa | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| MD5 | stringa | Hash MD5 del file a cui è stata applicata l'azione registrata. |
| NomeFilePrecedente | stringa | Nome originale del file rinominato in seguito all'azione. |
| PreviousFolderPath | stringa | Cartella originale contenente il file prima dell'applicazione dell'azione registrata. |
| Id Report | lungo | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere utilizzata insieme alle colonne ComputerName e EventTime. |
| RequestAccountDomain | stringa | Dominio dell'account usato per avviare in remoto l'attività. |
| RequestAccountName | stringa | Nome utente dell'account usato per avviare in remoto l'attività. |
| RequestAccountSid | stringa | Identificatore di sicurezza (SID) dell'account usato per avviare in remoto l'attività. |
| Protocollo di Richiesta | stringa | Protocollo di rete, se applicabile, usato per avviare l'attività: Sconosciuto, Locale, SMB o NFS. |
| RequestSourceIP | stringa | Indirizzo IPv4 o IPv6 del dispositivo remoto che ha avviato l'attività. |
| RequestSourcePort | Int | Porta di origine nel dispositivo remoto che ha avviato l'attività. |
| Etichetta di Sensibilità | stringa | Etichetta applicata a un messaggio di posta elettronica, a un file o a un altro contenuto per classificarla per la protezione delle informazioni. |
| Sottoetichetta di Sensibilità | stringa | Etichetta secondaria applicata a un messaggio di posta elettronica, a un file o ad altro contenuto per classificarla per la protezione delle informazioni; le etichette secondarie di riservatezza sono raggruppate sotto etichette di riservatezza, ma vengono trattate in modo indipendente. |
| SHA1 | stringa | Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 | stringa | SHA-256 del file a cui è stata applicata l'azione registrata. |
| ShareName | stringa | Nome della cartella condivisa contenente il file. |
| SourceSystem | stringa | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per gli agenti Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Azure Diagnostics |
| ID del Tenant | stringa | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Tipo | stringa | Nome della tabella |