Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Tabella degli eventi del registro di dispositivo di Microsoft Defender per endpoint (MDE). Questa tabella contiene la creazione e la modifica delle voci del Registro di sistema nell'endpoint e informazioni sui processi che avviano tali eventi.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | Sì |
| Trasformazione del tempo di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Tipo di azione | corda | Tipo di attività che ha attivato l'evento. |
| AppGuardContainerId (Identificativo contenitore di AppGuard) | corda | Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize | autentico | Dimensioni del record in byte |
| DeviceId | corda | Identificatore univoco per il dispositivo nel servizio. |
| NomeDispositivo | corda | Nome di dominio completo (FQDN) del dispositivo. |
| InizializzazioneProcessoAccountDomain | corda | Dominio dell'account che ha eseguito il processo di avvio. |
| AvvioprocessAccountName | corda | Nome utente dell'account che ha eseguito il processo di avvio. |
| InizializzazioneProcessAccountObjectId | corda | ID oggetto di Azure AD dell'account utente che ha eseguito il processo di avvio. |
| ProcessoDiInizializzazioneAccountSid | corda | ID di sicurezza (SID) dell'account che ha eseguito il processo di avvio. |
| AvvioProcessoAccountUpn | corda | Nome dell'entità utente (UPN) dell'account che ha eseguito il processo di avvio. |
| AvviandoProcessoRigaDiComando | corda | Riga di comando usata per eseguire il processo di avvio. |
| OraInizioCreazioneProcesso | data e ora | Data e ora dell'avvio del processo che ha avviato l'evento. |
| NomeFileProcessoAvvio | corda | Nome del processo di avvio. |
| InizializzazioneProcessoFileSize | lungo | Dimensioni del file (byte) che ha eseguito il processo responsabile dell'evento. |
| PercorsoCartellaProcessoIniziale | corda | Cartella contenente il processo di avvio (file di immagine). |
| IdProcessoIniziale | lungo | ID processo (PID) del processo di avvio. |
| Livello di Integrità del Processo di Avvio | corda | Livello di integrità del processo di avvio. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| Avviare il Processo MD5 | corda | Hash MD5 del processo di avvio (file di immagine). |
| OraCreazioneProcessoGenitoreIniziale | data e ora | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| NomeFileProcessoGenitoreIniziante | corda | Nome del processo padre che ha generato il processo di avvio. |
| AvvioprocessParentId | lungo | ID processo (PID) del processo padre che ha generato il processo di avvio. |
| InizializzazioneProcessoSessioneRemotaDeviceName | corda | Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio. |
| AvvioprocessRemoteSessionIP | corda | Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio. |
| IDSessioneAvvioProcesso | lungo | ID sessione di Windows del processo di avvio. |
| Avvio di ProcessSHA1 | corda | Hash SHA-1 del processo di avvio (file di immagine). |
| Avvio del processo SHA256 | corda | Hash SHA-256 del processo di avvio (file di immagine). In alcuni casi questa colonna potrebbe non essere popolata. Usare invece la colonna AvvioProcessSHA1. |
| Avvio di ProcessTokenElevation | corda | Tipo di token che indica la presenza o l'assenza di un'elevazione dei privilegi del Controllo dell'accesso utente (UAC) applicata al processo iniziatore. |
| AvvioprocessUniqueId | corda | Identificatore univoco del processo di avvio; è uguale alla chiave di avvio del processo nei dispositivi Windows. |
| InizioProcessoInformazioniVersioneNomeAzienda | corda | Nome della società nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioProcessoVersionInfoFileDescription | corda | Descrizione nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| IniziazioneProcessoVersionInfoInternalFileName | corda | Nome file interno nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| InizializzazioneProcessVersionInfoOriginalFileName | corda | Nome del file originale nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| InizializzazioneProcessoVersioneInformazioniNomeDelProdotto | corda | Nome del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioProcessoInformazioniVersioneProdottoVersione | corda | Versione del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| _ÈFatturabile | corda | Indica se l'acquisizione dei dati è fatturabile. Quando _IsBillable è false, l'ingestione non viene fatturata sul tuo account Azure |
| InizializzareProcessoSessioneRemota | Bool | Indica se il processo di avvio è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false). |
| Gruppo di macchine | corda | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| ChiaveDiRegistroPrecedente | corda | Chiave originale del Registro di sistema prima della modifica. |
| DatiValoreRegistroPrecedente | corda | Dati originali del valore del registro di sistema prima della modifica. |
| valoreNomeRegistroPrecedente | corda | Nome originale del valore del registro di sistema prima della modifica. |
| Chiave di Registro | corda | Chiave del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueData | corda | Dati del valore del registro a cui è stata applicata l'azione registrata. |
| RegistryValueName | corda | Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| TipoDiValoreDelRegistro | corda | Tipo di dati, ad esempio binario o stringa, del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| Id Report | lungo | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere utilizzata insieme alle colonne ComputerName e EventTime. |
| SourceSystem | corda | Il tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, sia per la connessione diretta sia per Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Tipo | corda | Nome della tabella |