DeviceRegistryEvents
Microsoft Defender per la tabella degli eventi del Registro di sistema dei dispositivi (MDE) degli endpoint. Questa tabella contiene la creazione e la modifica delle voci del Registro di sistema nell'endpoint e informazioni sui processi che avviano tali eventi.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| ActionType | string | Tipo di attività che ha attivato l'evento. |
| AppGuardContainerId | string | Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize | real | Dimensioni del record in byte |
| DeviceId | string | Identificatore univoco per il dispositivo nel servizio. |
| DeviceName | string | Nome di dominio completo (FQDN) del dispositivo. |
| AvvioprocessAccountDomain | string | Dominio dell'account che ha eseguito il processo di avvio. |
| AvvioProcessAccountName | string | Nome utente dell'account che ha eseguito il processo di avvio. |
| AvvioprocessAccountObjectId | string | ID oggetto di Azure AD dell'account utente che ha eseguito il processo di avvio. |
| AvvioprocessAccountSid | string | ID di sicurezza (SID) dell'account che ha eseguito il processo di avvio. |
| StartingProcessAccountUpn | string | Nome dell'entità utente (UPN) dell'account che ha eseguito il processo di avvio. |
| AvvioprocessCommandLine | string | Riga di comando usata per eseguire il processo di avvio. |
| AvvioProcessCreationTime | Datetime | Data e ora in cui è stato avviato il processo che ha avviato l'evento. |
| AvvioProcessFileName | string | Nome del processo di avvio. |
| AvvioProcessFileSize | long | Dimensioni del file (byte) che ha eseguito il processo responsabile dell'evento. |
| AvvioProcessFolderPath | string | Cartella contenente il processo di avvio (file di immagine). |
| AvvioProcessId | long | ID processo (PID) del processo di avvio. |
| AvvioprocessIntegrityLevel | string | Livello di integrità del processo di avvio. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| AvvioprocessMD5 | string | Hash MD5 del processo di avvio (file di immagine). |
| AvvioProcessParentCreationTime | Datetime | Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| AvvioProcessParentFileName | string | Nome del processo padre che ha generato il processo di avvio. |
| AvvioprocessParentId | long | ID processo (PID) del processo padre che ha generato il processo di avvio. |
| AvvioprocessSHA1 | string | Hash SHA-1 del processo di avvio (file di immagine). |
| AvvioprocessSHA256 | string | Hash SHA-256 del processo di avvio (file di immagine). In alcuni casi questa colonna potrebbe non essere popolata. Usare invece la colonna DiavvioProcessSHA1. |
| AvvioprocessTokenElevation | string | Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi di user Controllo di accesso (UAC) applicata al processo di avvio. |
| AvvioProcessVersionInfoCompanyName | string | Nome della società nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoFileDescription | string | Descrizione nelle informazioni sulla versione (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoInternalFileName | string | Nome file interno nelle informazioni sulla versione (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoOriginalFileName | string | Nome del file originale nelle informazioni sulla versione (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoProductName | string | Nome del prodotto nelle informazioni sulla versione (file immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoProductVersion | string | Versione del prodotto nelle informazioni sulla versione (file immagine) responsabile dell'evento. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable false l'inserimento non viene addebitato all'account Azure |
| MachineGroup | string | Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| PreviousRegistryKey | string | Chiave del Registro di sistema originale prima della modifica. |
| PreviousRegistryValueData | string | Dati originali del valore del Registro di sistema prima della modifica. |
| PreviousRegistryValueName | string | Nome originale del valore del Registro di sistema prima della modifica. |
| RegistryKey | string | Chiave del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueData | string | Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueName | string | Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueType | string | Tipo di dati, ad esempio binario o stringa, del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| ReportId | long | Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere usata in combinazione con le colonne ComputerName e EventTime. |
| SourceSystem | string | Il tipo di agente è stato raccolto dall'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Type | string | Nome della tabella |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per