DeviceRegistryEvents
Microsoft Defender végpontok (MDE) eszközregisztrációs adatbázis eseménytáblához. Ez a táblázat a végpont beállításjegyzék-bejegyzéseinek létrehozását és módosítását, valamint az ilyen eseményeket kezdeményező folyamatokkal kapcsolatos információkat tartalmazza.
Táblaattribútumok
| Attribútum | Érték |
|---|---|
| Erőforrástípusok | - |
| Kategóriák | Biztonság |
| Megoldások | SecurityInsights |
| Alapszintű napló | No |
| Betöltési idő átalakítás | Yes |
| Mintalekérdezések | - |
Oszlopok
| Oszlop | Típus | Description |
|---|---|---|
| ActionType | sztring | Az eseményt kiváltó tevékenység típusa. |
| AppGuardContainerId | sztring | A Alkalmazásőr által a böngészőtevékenység elkülönítéséhez használt virtualizált tároló azonosítója. |
| _BilledSize | valós szám | A rekord mérete bájtban |
| DeviceId | sztring | A szolgáltatásban lévő eszköz egyedi azonosítója. |
| DeviceName | sztring | Az eszköz teljes tartományneve (FQDN). |
| KezdeményezőProcessAccountDomain | sztring | A kezdeményező folyamatot futtató fiók tartománya. |
| InitiatingProcessAccountName | sztring | A kezdeményező folyamatot futtató fiók felhasználóneve. |
| InitiatingProcessAccountObjectId | sztring | Azure AD kezdeményező folyamatot futtató felhasználói fiók objektumazonosítóját. |
| InitiatingProcessAccountSid | sztring | A kezdeményező folyamatot futtató fiók biztonsági azonosítója (SID). |
| KezdeményezőProcessAccountUpn | sztring | A kezdeményező folyamatot futtató fiók egyszerű felhasználóneve (UPN). |
| KezdeményezőProcessCommandLine | sztring | A kezdeményező folyamat futtatásához használt parancssor. |
| InitiatingProcessCreationTime | dátum/idő | Az eseményt kezdeményező folyamat elindításának dátuma és időpontja. |
| KezdeményezőProcessFileName | sztring | A kezdeményező folyamat neve. |
| InitiatingProcessFileSize | hosszú | Az eseményért felelős folyamatot futtató fájl (bájt) mérete. |
| KezdeményezőProcessFolderPath | sztring | A kezdeményező folyamatot tartalmazó mappa (képfájl). |
| Folyamatazonosító kezdeményezése | hosszú | A kezdeményező folyamat folyamatazonosítója (PID). |
| KezdeményezőProcessIntegrityLevel | sztring | A kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például azt, hogy azokat internetes letöltésből indították-e el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
| KezdeményezőProcessMD5 | sztring | A kezdeményező folyamat MD5-kivonata (képfájl). |
| InitiatingProcessParentCreationTime | dátum/idő | Az eseményért felelős folyamat szülőjének kezdő dátuma és időpontja. |
| InitiatingProcessParentFileName | sztring | A kezdeményező folyamatot kezdeményező szülőfolyamat neve. |
| KezdeményezőProcessParentId | hosszú | A kezdeményező folyamatot kezdeményező szülőfolyamat folyamatazonosítója (PID). |
| IniciálásProcessSHA1 | sztring | A kezdeményező folyamat SHA-1 kivonata (képfájl). |
| IniciálásProcessSHA256 | sztring | A kezdeményező folyamat SHA-256 kivonata (képfájl). Bizonyos esetekben előfordulhat, hogy ez az oszlop nem töltődik fel – használja inkább az InitiatingProcessSHA1 oszlopot. |
| KezdeményezőProcessTokenElevation | sztring | Jogkivonat típusa, amely a kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelési jogosultság meglétét vagy hiányát jelzi. |
| InitiatingProcessVersionInfoCompanyName | sztring | Az eseményért felelős verzióinformációkban (képfájlban) szereplő cégnév. |
| InitiatingProcessVersionInfoFileDescription | sztring | Az eseményért felelős verzióinformációk (képfájl) leírása. |
| InitiatingProcessVersionInfoInternalFileName | sztring | Az eseményért felelős verzióinformációk (képfájl) belső fájlneve. |
| InitiatingProcessVersionInfoOriginalFileName | sztring | Az eseményért felelős verzióinformációk (képfájl) eredeti fájlneve. |
| InitiatingProcessVersionInfoProductName | sztring | Az eseményért felelős verzióinformációkban (képfájlban) szereplő terméknév. |
| InitiatingProcessVersionInfoProductVersion | sztring | Az eseményért felelős verzióinformációkban (képfájlban) szereplő termékverzió. |
| _IsBillable | sztring | Meghatározza, hogy az adatok betöltése számlázható-e. Ha _IsBillable betöltés történik false , a számla nem az Azure-fiókjába kerül. |
| MachineGroup | sztring | A gép gépcsoportja. Ezt a csoportot a szerepköralapú hozzáférés-vezérlés használja a géphez való hozzáférés meghatározásához. |
| PreviousRegistryKey | sztring | Eredeti beállításkulcs a módosítás előtt. |
| PreviousRegistryValueData | sztring | A beállításjegyzék-érték eredeti adatai a módosítás előtt. |
| PreviousRegistryValueName | sztring | A beállításjegyzék-érték eredeti neve a módosítás előtt. |
| Beállításkulcs | sztring | Beállításkulcs, amellyel a rögzített műveletet alkalmazták. |
| RegistryValueData | sztring | Annak a beállításjegyzék-értéknek az adatai, amelyekre a rögzített műveletet alkalmazták. |
| RegistryValueName | sztring | Annak a beállításjegyzék-értéknek a neve, amelyekre a rögzített műveletet alkalmazták. |
| RegistryValueType | sztring | Annak a beállításjegyzék-értéknek az adattípusa, például bináris vagy sztring, amelyekre a rögzített műveletet alkalmazták. |
| Jelentésazonosító | hosszú | Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a ComputerName és az EventTime oszlopokkal együtt kell használni. |
| SourceSystem | sztring | Az esemény által gyűjtött ügynök típusa. Windows-ügynök esetén például OpsManager a közvetlen csatlakozás vagy az Operations Manager, Linux az összes Linux-ügynök, vagy Azure a Azure Diagnostics |
| TenantId | sztring | A Log Analytics-munkaterület azonosítója |
| TimeGenerated | dátum/idő | Az esemény rögzítésének dátuma és időpontja az MDE-ügynök által a végponton. |
| Típus | sztring | A tábla neve |
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: