Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tabulka událostí registru zařízení v programu Microsoft Defender for Endpoints (MDE). Tato tabulka obsahuje vytváření a úpravy položek registru v koncovém bodu a informace o procesech, které tyto události iniciují.
Atributy tabulky
| Vlastnost | Hodnota |
|---|---|
| Typy prostředků | - |
| Kategorie | Zabezpečení |
| Řešení | SecurityInsights |
| Základní protokol | Ano |
| Transformace v čase příjmu dat | Ano |
| Ukázkové dotazy | - |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Typ akce | řetězec | Typ aktivity, která aktivovala událost |
| Identifikátor kontejneru AppGuard | řetězec | Identifikátor virtualizovaného kontejneru používaný aplikací Application Guard k izolaci aktivity prohlížeče. |
| _ÚčtovanáVelikost | skutečný | Velikost záznamu v bajtech |
| Id zařízení | řetězec | Jedinečný identifikátor zařízení ve službě. |
| Název zařízení | řetězec | Plně kvalifikovaný název domény (FQDN) zařízení. |
| Zahájení domény ProcessAccountDomain | řetězec | Doména účtu, který spustil proces zahájení. |
| Inicializování názvu účtu ProcessAccountName | řetězec | Uživatelské jméno účtu, který spustil proces zahájení. |
| ZahájeníProcessAccountObjectId | řetězec | ID objektu Azure AD uživatelského účtu, který spustil proces zahájení. |
| IniciaceProcessAccountSid | řetězec | Identifikátor zabezpečení (SID) účtu, který spustil proces zahájení. |
| Inicializování účtuProcessAccountUpn | řetězec | Hlavní název uživatele (UPN) účtu, který spustil proces zahájení. |
| ZahájeníPříkazovéŘádkyProcesu | řetězec | Příkazový řádek použitý ke spuštění procesu zahájení. |
| IniciaceČasuVytvářeníProcesu | datetime | Datum a čas zahájení procesu, který spustil událost. |
| IniciujeNázevProcesuSouboru | řetězec | Název iniciačního procesu |
| InicializaceVelikostiSouboruProcesu | dlouhý | Velikost souboru (bajtů), který spustil proces zodpovědný za událost. |
| InicializaceCestaSložkyProcesu | řetězec | Složka obsahující spouštěcí proces (obrazový soubor). |
| ZahájeníProcesuId | dlouhý | ID procesu (PID) iniciátoru. |
| Zahájení Úrovně Integrity Procesu | řetězec | Úroveň integrity iniciačního procesu. Systém Windows přiřazuje úrovně integrity procesům na základě určitých charakteristik, například pokud byly spuštěny ze stahování z internetu. Tyto úrovně integrity ovlivňují oprávnění k prostředkům. |
| Zahájení ProcessMD5 | řetězec | MD5 hash zahajovacího procesu (obrazový soubor). |
| Zahájení procesu času vytvoření rodiče | datetime | Datum a čas, kdy byl spuštěn proces zodpovědný za událost. |
| IniciaceProcessParentFileName | řetězec | Název nadřazeného procesu, který vyvolal iniciační proces. |
| ZainiciováníProcessParentId | dlouhý | ID procesu (PID) nadřazeného procesu, který vyvolal iniciační proces. |
| ZahájeníProcessRemoteSessionDeviceName | řetězec | Název vzdáleného zařízení, ze kterého byla zahájena relace protokolu RDP iniciátoru procesu. |
| ZahájeníProcessRemoteSessionIP | řetězec | IP adresa vzdáleného zařízení, ze kterého byla zahájena relace protokolu RDP iniciátoru procesu. |
| InicializaceProcesuSessionId | dlouhý | ID relace Systému Windows při zahájení procesu. |
| IniciaceProcessSHA1 | řetězec | Hodnota hash SHA-1 iniciujícího procesu (soubor obrázku). |
| Zahájení procesuSHA256 | řetězec | Hodnota hash SHA-256 počátečního procesu (obrazový soubor). V některých případech nemusí být tento sloupec vyplněný – použijte místo toho sloupec InitiatingProcessSHA1. |
| Iniciace zvýšení oprávnění tokenu procesu | řetězec | Typ tokenu označující přítomnost nebo absenci zvýšení oprávnění řízení přístupu uživatele (UAC) použitého pro iniciační proces. |
| IniciaceProcessUniqueId | řetězec | Jedinečný identifikátor iniciačního procesu; to se rovná spouštěcímu klíči procesu na zařízeních s Windows. |
| IniciaceProcesVerzeInfoJménoSpolečnosti | řetězec | Název společnosti v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| IniciaceProcessVersionInfoFileDescription | řetězec | Popis v informacích o verzi (soubor obrázku), který je spojen s událostí. |
| InicializaceProcessVersionInfoInternalFileName | řetězec | Interní název souboru v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| ZahajováníProcessVersionInfoOriginalFileName | řetězec | Původní název souboru v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| InicializaceProcessVersionInfoProductName | řetězec | Název produktu v informacích o verzi (soubor obrázku) zodpovědný za událost. |
| IniciaceProcessVersionInfoProductVersion | řetězec | Verze produktu uvedená v informacích o verzi (soubor s obrazem), která je zodpovědná za událost. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud _IsBillable je false, příjem dat se neúčtuje na váš účet Azure. |
| ZahajujeProcesVzdálenéRelace | Booleova hodnota | Označuje, jestli byl proces iniciace spuštěný v relaci protokolu RDP (Remote Desktop Protocol) (true) nebo místně (false). |
| Skupina strojů | řetězec | Skupina strojů stroje. Tuto skupinu používá řízení přístupu na základě role k určení přístupu k počítači. |
| PředchozíRegistryKey | řetězec | Původní klíč registru před úpravou. |
| PředchozíHodnotaRegistruData | řetězec | Původní data hodnoty registru před úpravou. |
| PředchozíHodnotaJménaRegistru | řetězec | Původní název hodnoty registru před úpravou. |
| Klíč registru | řetězec | Klíč registru, na který byla aplikována zaznamenaná akce. |
| Data Hodnoty Registru | řetězec | Data hodnoty registru, na kterou byla použita zaznamenaná akce. |
| Název_hodnoty_registru | řetězec | Název hodnoty registru, na kterou byla zaznamenána akce. |
| TypHodnotyRegistru | řetězec | Typ dat, například binární nebo řetězec, hodnoty registru, na kterou byla použita zaznamenaná akce. |
| ReportId | dlouhý | Identifikátor události založený na opakujícím se čítači. Chcete-li identifikovat jedinečné události, musí být tento sloupec použit ve spojení se sloupci ComputerName a EventTime.. |
| SourceSystem | řetězec | Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| Id nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Čas vygenerování | datetime | Datum a čas, kdy událost zaznamenal agent MDE na koncovém bodu. |
| Typ | řetězec | Název tabulky |