AcaraPerangkatRegistry
Microsoft Defender untuk tabel peristiwa registri perangkat Titik Akhir (MDE). Tabel ini berisi pembuatan dan modifikasi entri registri pada titik akhir, dan informasi tentang proses yang memulai peristiwa tersebut.
Atribut tabel
| Atribut | Nilai |
|---|---|
| Jenis sumber daya | - |
| Kategori | Keamanan |
| Solusi | SecurityInsights |
| Log dasar | Tidak |
| Transformasi waktu penyerapan | Ya |
| Kueri Sampel | - |
Kolom
| Kolom | Jenis | Deskripsi |
|---|---|---|
| ActionType | string | Jenis aktivitas yang memicu peristiwa. |
| AppGuardContainerId | string | Pengidentifikasi untuk kontainer virtual yang digunakan oleh Application Guard untuk mengisolasi aktivitas browser. |
| _BilledSize | nyata | Ukuran rekaman dalam byte |
| DeviceId | string | Pengidentifikasi unik untuk perangkat dalam layanan. |
| DeviceName | string | Nama domain yang sepenuhnya memenuhi syarat (FQDN) perangkat. |
| InitiatingProcessAccountDomain | string | Domain akun yang menjalankan proses memulai. |
| InitiatingProcessAccountName | string | Nama pengguna akun yang menjalankan proses memulai. |
| InitiatingProcessAccountObjectId | string | Azure AD ID objek akun pengguna yang menjalankan proses memulai. |
| InitiatingProcessAccountSid | string | Pengidentifikasi Keamanan (SID) akun yang menjalankan proses memulai. |
| InitiatingProcessAccountUpn | string | Nama prinsipal pengguna (UPN) akun yang menjalankan proses memulai. |
| InitiatingProcessCommandLine | string | Baris perintah yang digunakan untuk menjalankan proses memulai. |
| InitiatingProcessCreationTime | tanggalwaktu | Tanggal dan waktu ketika proses yang memulai peristiwa dimulai. |
| InitiatingProcessFileName | string | Nama proses memulai. |
| InitiatingProcessFileSize | long | Ukuran file (byte) yang menjalankan proses yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessFolderPath | string | Folder yang berisi proses memulai (file gambar). |
| InitiatingProcessId | long | ID Proses (PID) dari proses memulai. |
| InitiatingProcessIntegrityLevel | string | Tingkat integritas proses memulai. Windows menetapkan tingkat integritas ke proses berdasarkan karakteristik tertentu, seperti jika diluncurkan dari unduhan internet. Tingkat integritas ini memengaruhi izin ke sumber daya.. |
| InitiatingProcessMD5 | string | Hash MD5 dari proses memulai (file gambar). |
| InitiatingProcessParentCreationTime | tanggalwaktu | Tanggal dan waktu ketika induk proses yang bertanggung jawab atas peristiwa dimulai. |
| InitiatingProcessParentFileName | string | Nama proses induk yang menelurkan proses memulai. |
| InitiatingProcessParentId | long | ID Proses (PID) dari proses induk yang melahirkan proses memulai. |
| InitiatingProcessSHA1 | string | Hash SHA-1 dari proses memulai (file gambar). |
| InisiatingProcessSHA256 | string | HASH SHA-256 dari proses memulai (file gambar). Dalam beberapa kasus, kolom ini mungkin tidak diisi - silakan gunakan kolom InitiatingProcessSHA1 sebagai gantinya. |
| InitiatingProcessTokenElevation | string | Jenis token yang menunjukkan ada atau tidak adanya elevasi hak istimewa User Access Control (UAC) yang diterapkan pada proses memulai. |
| InitiatingProcessVersionInfoCompanyName | string | Nama perusahaan dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoFileDescription | string | Deskripsi dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoInternalFileName | string | Nama file internal dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoOriginalFileName | string | Nama file asli dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoProductName | string | Nama produk dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| InitiatingProcessVersionInfoProductVersion | string | Versi produk dalam informasi versi (file gambar) yang bertanggung jawab atas peristiwa tersebut. |
| _IsBillable | string | Menentukan apakah menyerap data dapat ditagih. Saat _IsBillable penyerapan false tidak ditagih ke akun Azure Anda |
| MachineGroup | string | Grup mesin mesin. Grup ini digunakan oleh kontrol akses berbasis peran untuk menentukan akses ke komputer. |
| PreviousRegistryKey | string | Kunci registri asli sebelum dimodifikasi. |
| PreviousRegistryValueData | string | Data asli nilai registri sebelum dimodifikasi. |
| PreviousRegistryValueName | string | Nama asli nilai registri sebelum dimodifikasi. |
| RegistryKey | string | Kunci registri tempat tindakan yang direkam diterapkan. |
| RegistryValueData | string | Data nilai registri tempat tindakan yang direkam diterapkan. |
| RegistryValueName | string | Nama nilai registri tempat tindakan yang direkam diterapkan. |
| RegistryValueType | string | Jenis data, seperti biner atau string, dari nilai registri tempat tindakan yang direkam diterapkan. |
| ReportId | long | Pengidentifikasi peristiwa berdasarkan penghitung berulang. Untuk mengidentifikasi peristiwa unik, kolom ini harus digunakan bersama dengan kolom ComputerName dan EventTime.. |
| SourceSystem | string | Jenis agen yang dikumpulkan oleh peristiwa. Misalnya, OpsManager untuk agen Windows, baik koneksi langsung atau Manajer Operasi, Linux untuk semua agen Linux, atau Azure untuk Diagnostik Azure |
| TenantId | string | ID ruang kerja Analitik Log |
| TimeGenerated | tanggalwaktu | Tanggal dan waktu peristiwa direkam oleh agen MDE pada titik akhir. |
| Jenis | string | Nama tabel |
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk