DeviceRegistryEvents
Microsoft Defender para a tabela de eventos de registo de dispositivos de Pontos Finais (MDE). Esta tabela contém a criação e modificação de entradas de registo no ponto final e informações sobre os processos que iniciam esses eventos.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | Segurança |
| Soluções | SecurityInsights |
| Registo básico | No |
| Transformação em tempo de ingestão | Yes |
| Consultas de Exemplo | - |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| ActionType | string | Tipo de atividade que acionou o evento. |
| AppGuardContainerId | string | Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser. |
| _BilledSize | real | O tamanho do registo em bytes |
| DeviceId | string | Identificador exclusivo do dispositivo no serviço. |
| DeviceName | string | Nome de domínio completamente qualificado (FQDN) do dispositivo. |
| InitiatingProcessAccountDomain | string | Domínio da conta que executou o processo de início. |
| InitiatingProcessAccountName | string | Nome de utilizador da conta que executou o processo de início. |
| InitiatingProcessAccountObjectId | string | Azure AD ID de objeto da conta de utilizador que executou o processo de início. |
| InitiatingProcessAccountSid | string | Identificador de Segurança (SID) da conta que executou o processo de início. |
| InitiatingProcessAccountUpn | string | Nome principal de utilizador (UPN) da conta que executou o processo de início. |
| InitiatingProcessCommandLine | string | Linha de comandos utilizada para executar o processo de início. |
| InitiatingProcessCreationTime | datetime | Data e hora em que o processo que iniciou o evento foi iniciado. |
| InitiatingProcessFileName | string | Nome do processo de início. |
| InitiatingProcessFileSize | long | O tamanho do ficheiro (bytes) que executou o processo responsável pelo evento. |
| InitiatingProcessFolderPath | string | Pasta que contém o processo de início (ficheiro de imagem). |
| InitiatingProcessId | long | ID do processo (PID) do processo de início. |
| InitiatingProcessIntegrityLevel | string | Nível de integridade do processo de início. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões para recursos.. |
| InitiatingProcessMD5 | string | Hash MD5 do processo de início (ficheiro de imagem). |
| InitiatingProcessParentCreationTime | datetime | Data e hora em que o principal do processo responsável pelo evento foi iniciado. |
| InitiatingProcessParentFileName | string | Nome do processo principal que gerou o processo inicial. |
| InitiatingProcessParentId | long | ID do processo (PID) do processo principal que gerou o processo de início. |
| InitiatingProcessSHA1 | string | Hash SHA-1 do processo de início (ficheiro de imagem). |
| InitiatingProcessSHA256 | string | Hash SHA-256 do processo de início (ficheiro de imagem). Em alguns casos, esta coluna pode não estar preenchida. Em alternativa, utilize a coluna InitiatingProcessSHA1. |
| InitiatingProcessTokenElevation | string | Tipo de token que indica a presença ou ausência da elevação de privilégios do User Controlo de Acesso (UAC) aplicada ao processo de início. |
| InitiatingProcessVersionInfoCompanyName | string | O nome da empresa nas informações da versão (ficheiro de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoFileDescription | string | A descrição nas informações da versão (ficheiro de imagem) responsável pelo evento. |
| InitiatingProcessVersionInfoInternalFileName | string | O nome de ficheiro interno nas informações de versão (ficheiro de imagem) responsáveis pelo evento. |
| InitiatingProcessVersionInfoOriginalFileName | string | O nome de ficheiro original nas informações de versão (ficheiro de imagem) responsáveis pelo evento. |
| InitiatingProcessVersionInfoProductName | string | O nome do produto nas informações de versão (ficheiro de imagem) responsáveis pelo evento. |
| InitiatingProcessVersionInfoProductVersion | string | A versão do produto nas informações da versão (ficheiro de imagem) responsável pelo evento. |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| MachineGroup | string | Grupo de máquinas do computador. Este grupo é utilizado pelo controlo de acesso baseado em funções para determinar o acesso ao computador. |
| PreviousRegistryKey | string | Chave de registo original antes de ser modificada. |
| PreviousRegistryValueData | string | Dados originais do valor do registo antes de ser modificado. |
| PreviousRegistryValueName | string | Nome original do valor do registo antes de ser modificado. |
| RegistryKey | string | Chave de registo à qual a ação gravada foi aplicada. |
| RegistryValueData | string | Dados do valor de registo ao qual a ação registada foi aplicada. |
| RegistryValueName | string | Nome do valor de registo ao qual a ação registada foi aplicada. |
| RegistryValueType | string | Tipo de dados, como binário ou cadeia, do valor de registo ao qual a ação registada foi aplicada. |
| ReportId | long | Identificador de eventos com base num contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas ComputerName e EventTime. |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | Data e hora em que o evento foi registado pelo agente MDE no ponto final. |
| Tipo | string | O nome da tabela |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários