DeviceRegistryEvents
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
高度なハンティング スキーマのDeviceRegistryEvents テーブルには、レジストリ エントリの作成と変更に関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
ActionType |
string |
イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください。 |
RegistryKey |
string |
記録されたアクションが適用されたレジストリ キー |
RegistryValueType |
string |
記録されたアクションが適用されたレジストリ値のデータ型 (バイナリや文字列など) |
RegistryValueName |
string |
記録されたアクションが適用されたレジストリ値の名前 |
RegistryValueData |
string |
記録されたアクションが適用されたレジストリ値のデータ |
PreviousRegistryKey |
string |
変更前のレジストリ値の元のレジストリ キー |
PreviousRegistryValueName |
string |
変更前のレジストリ値の元の名前 |
PreviousRegistryValueData |
string |
変更前のレジストリ値の元のデータ |
InitiatingProcessAccountDomain |
string |
イベントを担当するプロセスを実行したアカウントのドメイン |
InitiatingProcessAccountName |
string |
イベントを担当するプロセスを実行したアカウントのユーザー名。デバイスがMicrosoft Entra IDに登録されている場合は、イベントを担当するプロセスを実行したアカウントの Entra ID ユーザー名が代わりに表示される可能性があります |
InitiatingProcessAccountSid |
string |
イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID) |
InitiatingProcessAccountUpn |
string |
イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。デバイスがMicrosoft Entra IDに登録されている場合は、イベントを担当するプロセスを実行したアカウントの Entra ID UPN が代わりに表示される可能性があります |
InitiatingProcessAccountObjectId |
string |
Microsoft Entraイベントを担当するプロセスを実行したユーザー アカウントのオブジェクト ID |
InitiatingProcessSHA1 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-1 |
InitiatingProcessSHA256 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-256。 このフィールドは通常は入力されません。使用可能な場合は、SHA1 列を使用します。 |
InitiatingProcessMD5 |
string |
イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ |
InitiatingProcessFileName |
string |
イベントを開始したプロセス ファイルの名前。使用できない場合は、イベントを開始したプロセスの名前が代わりに表示される可能性があります |
InitiatingProcessFileSize |
long |
イベントを担当するプロセスを実行したファイルのサイズ |
InitiatingProcessVersionInfoCompanyName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの会社名 |
InitiatingProcessVersionInfoProductName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品名 |
InitiatingProcessVersionInfoProductVersion |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン |
InitiatingProcessVersionInfoInternalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名 |
InitiatingProcessVersionInfoOriginalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの元のファイル名 |
InitiatingProcessVersionInfoFileDescription |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明 |
InitiatingProcessId |
long |
イベントを開始したプロセスのプロセス ID (PID) |
InitiatingProcessCommandLine |
string |
イベントを開始したプロセスの実行に使用されるコマンド ライン |
InitiatingProcessCreationTime |
datetime |
イベントを開始したプロセスが開始された日時 |
InitiatingProcessFolderPath |
string |
イベントを開始したプロセス (イメージ ファイル) を含むフォルダー |
InitiatingProcessParentId |
long |
イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID) |
InitiatingProcessParentFileName |
string |
イベントを担当するプロセスを生成した親プロセスの名前 |
InitiatingProcessParentCreationTime |
datetime |
イベントを担当するプロセスの親が開始された日時 |
InitiatingProcessIntegrityLevel |
string |
イベントを開始したプロセスの整合性レベル。 Windows では、インターネットのダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。 |
InitiatingProcessTokenElevation |
string |
イベントを開始したプロセスに適用されるユーザー Access Control (UAC) 特権昇格の有無を示すトークンの種類 |
ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
AppGuardContainerId |
string |
ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子 |
InitiatingProcessSessionId |
long |
開始プロセスの Windows セッション ID |
IsInitiatingProcessRemoteSession |
bool |
開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します |
InitiatingProcessRemoteSessionDeviceName |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名 |
InitiatingProcessRemoteSessionIP |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。