DeviceRegistryEvents
Microsoft Defender für Endpunkte (MDE)-Geräteregistrierungsereignissetabelle Diese Tabelle enthält das Erstellen und Ändern von Registrierungseinträgen auf dem Endpunkt sowie Informationen zu den Prozessen, die solche Ereignisse initiieren.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | Sicherheit |
Lösungen | SecurityInsights |
Standardprotokoll | No |
Transformation der Erfassungszeit | Yes |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
ActionType | Zeichenfolge | Typ der Aktivität, die das Ereignis ausgelöst hat. |
AppGuardContainerId | Zeichenfolge | Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird. |
_BilledSize | real | Die Datensatzgröße in Bytes |
deviceId | Zeichenfolge | Eindeutiger Bezeichner für das Gerät im Dienst. |
DeviceName | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts. |
InitiierenprocessAccountDomain | Zeichenfolge | Domäne des Kontos, das den initiierenden Prozess ausgeführt hat. |
InitiierenProcessAccountName | Zeichenfolge | Benutzername des Kontos, das den initiierenden Prozess ausgeführt hat. |
Initiieren vonProcessAccountObjectId | Zeichenfolge | Azure AD-Objekt-ID des Benutzerkontos, das den initiierenden Prozess ausgeführt hat. |
Initiieren vonProcessAccountSid | Zeichenfolge | Security Identifier (SID) des Kontos, das den Initiierenvorgang ausgeführt hat. |
InitiierenprocessAccountUpn | Zeichenfolge | Benutzerprinzipalname (User Principal Name, UPN) des Kontos, das den initiierenden Prozess ausgeführt hat. |
Initiieren vonProcessCommandLine | Zeichenfolge | Befehlszeile, die zum Ausführen des initiierenden Prozesses verwendet wird. |
InitialingProcessCreationTime | datetime | Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
InitiierenProcessFileName | Zeichenfolge | Name des initiierenden Prozesses. |
InitiierenProcessFileSize | long | Die Größe der Datei (Bytes), die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
InitiierenProcessFolderPath | Zeichenfolge | Ordner mit dem initiierenden Prozess (Imagedatei). |
InitiierenProcessId | long | Prozess-ID (PID) des initiierenden Prozesses. |
InitiierenProcessIntegrityLevel | Zeichenfolge | Integritätsgrad des initiierenden Prozesses. Windows weist Prozessen Integritätsstufen zu, die auf bestimmten Merkmalen basieren, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen beeinflussen die Berechtigungen für Ressourcen. |
InitiierenProcessMD5 | Zeichenfolge | MD5-Hash des initiierenden Prozesses (Imagedatei). |
InitiierenprocessParentCreationTime | datetime | Datum und Uhrzeit, zu dem das übergeordnete Element des für das Ereignis verantwortlichen Prozesses gestartet wurde. |
InitiierenProcessParentFileName | Zeichenfolge | Name des übergeordneten Prozesses, der den initiierenden Prozess ausgelöst hat. |
Initiieren vonProcessParentId | long | Prozess-ID (PID) des übergeordneten Prozesses, der den initiierenden Prozess ausgelöst hat. |
Initiieren vonProcessSHA1 | Zeichenfolge | SHA-1-Hash des initiierenden Prozesses (Imagedatei). |
InitiierenProcessSHA256 | Zeichenfolge | SHA-256-Hash des initiierenden Prozesses (Imagedatei). In einigen Fällen wird diese Spalte möglicherweise nicht aufgefüllt. Verwenden Sie stattdessen die Spalte InitiatingProcessSHA1. |
Initiieren vonProcessTokenElevation | Zeichenfolge | Tokentyp, der das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (UAC) angibt, die auf den initiierenden Prozess angewendet wurden. |
InitiierenProcessVersionInfoCompanyName | Zeichenfolge | Der Unternehmensname in den Versionsinformationen (Imagedatei), die für das Ereignis verantwortlich ist. |
Initiieren vonProcessVersionInfoFileDescription | Zeichenfolge | Die Beschreibung in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
Initiieren vonProcessVersionInfoInternalFileName | Zeichenfolge | Der interne Dateiname in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
InitiatingProcessVersionInfoOriginalFileName | Zeichenfolge | Der ursprüngliche Dateiname in den Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
Initiieren vonProcessVersionInfoProductName | Zeichenfolge | Der Produktname in den Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
Initiieren vonProcessVersionInfoProductVersion | Zeichenfolge | Die Produktversion in den Versionsinformationen (Imagedatei), die für das Ereignis verantwortlich ist. |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
MachineGroup | Zeichenfolge | Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
PreviousRegistryKey | Zeichenfolge | Ursprünglicher Registrierungsschlüssel, bevor er geändert wurde. |
PreviousRegistryValueData | Zeichenfolge | Originaldaten des Registrierungswerts, bevor er geändert wurde. |
PreviousRegistryValueName | Zeichenfolge | Der ursprüngliche Name des Registrierungswerts, bevor er geändert wurde. |
RegistryKey | Zeichenfolge | Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde. |
RegistryValueData | Zeichenfolge | Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
RegistryValueName | Zeichenfolge | Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
RegistryValueType | Zeichenfolge | Datentyp, z. B. binär oder Zeichenfolge, des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
ReportId | long | Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Datum und Uhrzeit, zu der das Ereignis vom MDE-Agent auf dem Endpunkt aufgezeichnet wurde. |
type | Zeichenfolge | Der Name der Tabelle. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für