DeviceRegistryEvents
Microsoft Defender for Endpoints (MDE) デバイス レジストリ イベント テーブル。 このテーブルには、エンドポイントでのレジストリ エントリの作成と変更、およびそのようなイベントを開始するプロセスに関する情報が含まれています。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | - |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | - |
列
Column | Type | 説明 |
---|---|---|
ActionType | string | イベントをトリガーしたアクティビティの種類。 |
AppGuardContainerId | string | ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子。 |
_BilledSize | real | レコード サイズ (バイト単位) |
deviceId | string | サービス内のデバイスの一意識別子。 |
DeviceName | string | デバイスの完全修飾ドメイン名 (FQDN)。 |
InitiatingProcessAccountDomain | string | 開始プロセスを実行したアカウントのドメイン。 |
InitiatingProcessAccountName | string | 開始プロセスを実行したアカウントのユーザー名。 |
InitiatingProcessAccountObjectId | string | 開始プロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。 |
InitiatingProcessAccountSid | string | 開始プロセスを実行したアカウントのセキュリティ識別子 (SID)。 |
InitiatingProcessAccountUpn | string | 開始プロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。 |
InitiatingProcessCommandLine | string | 開始プロセスの実行に使用されるコマンド ライン。 |
InitiatingProcessCreationTime | DATETIME | イベントを開始したプロセスが開始された日時。 |
InitiatingProcessFileName | string | 開始プロセスの名前。 |
InitiatingProcessFileSize | long | イベントを担当するプロセスを実行したファイルのサイズ (バイト)。 |
InitiatingProcessFolderPath | string | 開始プロセス (イメージ ファイル) を含むフォルダー。 |
InitiatingProcessId | long | 開始プロセスのプロセス ID (PID)。 |
InitiatingProcessIntegrityLevel | string | 開始プロセスの整合性レベル。 Windows は、インターネットダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルを割り当てます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。. |
InitiatingProcessMD5 | string | 開始プロセスの MD5 ハッシュ (イメージ ファイル)。 |
InitiatingProcessParentCreationTime | DATETIME | イベントを担当するプロセスの親が開始された日時。 |
InitiatingProcessParentFileName | string | 開始プロセスを生成した親プロセスの名前。 |
InitiatingProcessParentId | long | 開始プロセスを生成した親プロセスのプロセス ID (PID)。 |
InitiatingProcessSHA1 | string | 開始プロセスの SHA-1 ハッシュ (イメージ ファイル)。 |
InitiatingProcessSHA256 | string | 開始プロセスの SHA-256 ハッシュ (イメージ ファイル)。 場合によっては、この列が設定されない場合があります。代わりに InitiatingProcessSHA1 列を使用してください。 |
InitiatingProcessTokenElevation | string | 開始プロセスに適用されるユーザー Access Control (UAC) 特権の昇格の有無を示すトークンの種類。 |
InitiatingProcessVersionInfoCompanyName | string | イベントを担当するバージョン情報 (イメージ ファイル) 内の会社名。 |
InitiatingProcessVersionInfoFileDescription | string | イベントを担当するバージョン情報 (イメージ ファイル) の説明。 |
InitiatingProcessVersionInfoInternalFileName | string | イベントを担当するバージョン情報 (イメージ ファイル) 内の内部ファイル名。 |
InitiatingProcessVersionInfoOriginalFileName | string | イベントを担当するバージョン情報 (イメージ ファイル) の元のファイル名。 |
InitiatingProcessVersionInfoProductName | string | イベントを担当するバージョン情報 (イメージ ファイル) の製品名。 |
InitiatingProcessVersionInfoProductVersion | string | イベントを担当するバージョン情報 (イメージ ファイル) の製品バージョン。 |
_IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
MachineGroup | string | マシンのマシン グループ。 このグループは、マシンへのアクセスを決定するために、ロールベースのアクセス制御によって使用されます。 |
PreviousRegistryKey | string | 変更前の元のレジストリ キー。 |
PreviousRegistryValueData | string | 変更前のレジストリ値の元のデータ。 |
PreviousRegistryValueName | string | 変更前のレジストリ値の元の名前。 |
RegistryKey | string | 記録されたアクションが適用されたレジストリ キー。 |
RegistryValueData | string | 記録されたアクションが適用されたレジストリ値のデータ。 |
RegistryValueName | string | 記録されたアクションが適用されたレジストリ値の名前。 |
RegistryValueType | string | 記録されたアクションが適用されたレジストリ値のデータ型 (バイナリや文字列など)。 |
ReportId | long | 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
TenantId | string | Log Analytics ワークスペース ID |
TimeGenerated | DATETIME | エンドポイント上の MDE エージェントによってイベントが記録された日時。 |
Type | string | テーブルの名前 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示