DeviceRegistryEvents
Uç Noktalar (MDE) cihaz kayıt defteri olayları tablosu için Microsoft Defender. Bu tablo, uç noktada kayıt defteri girdilerinin oluşturulmasını ve değiştirilmesini ve bu tür olayları başlatan işlemler hakkındaki bilgileri içerir.
Tablo öznitelikleri
| Öznitelik | Değer |
|---|---|
| Kaynak türleri | - |
| Kategoriler | Güvenlik |
| Çözümler | SecurityInsights |
| Temel günlük | No |
| Veri alımı-zaman dönüşümü | Yes |
| Örnek Sorgular | - |
Sütunlar
| Sütun | Tür | Description |
|---|---|---|
| EylemTürü | string | Olayı tetikleyen etkinliğin türü. |
| AppGuardContainerId | string | tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı. |
| _BilledSize | real | Bayt cinsinden kayıt boyutu |
| DeviceId | string | Hizmetteki cihazın benzersiz tanımlayıcısı. |
| DeviceName | string | Cihazın tam etki alanı adı (FQDN). |
| InitiatingProcessAccountDomain | string | Başlatma işlemini çalıştıran hesabın etki alanı. |
| InitiatingProcessAccountName | string | Başlatma işlemini çalıştıran hesabın kullanıcı adı. |
| InitiatingProcessAccountObjectId | string | Başlatma işlemini çalıştıran kullanıcı hesabının nesne kimliğini Azure AD. |
| InitiatingProcessAccountSid | string | Başlatma işlemini çalıştıran hesabın Güvenlik Tanımlayıcısı (SID). |
| InitiatingProcessAccountUpn | string | Başlatma işlemini çalıştıran hesabın kullanıcı asıl adı (UPN). |
| InitiatingProcessCommandLine | string | Başlatma işlemini çalıştırmak için kullanılan komut satırı. |
| InitiatingProcessCreationTime | datetime | Olayı başlatan işlemin başlatıldığı tarih ve saat. |
| InitiatingProcessFileName | string | Başlatan işlemin adı. |
| InitiatingProcessFileSize | long | Olaydan sorumlu işlemi çalıştıran dosyanın (bayt) boyutu. |
| InitiatingProcessFolderPath | string | Başlatma işlemini içeren klasör (görüntü dosyası). |
| InitiatingProcessId | long | Başlatan işlemin işlem kimliği (PID). |
| InitiatingProcessIntegrityLevel | string | Başlatma işleminin bütünlük düzeyi. Windows, bir internet indirmesinden başlatılmış gibi belirli özelliklere göre işlemlere bütünlük düzeyleri atar. Bu bütünlük düzeyleri kaynaklara yönelik izinleri etkiler... |
| InitiatingProcessMD5 | string | Başlatma işleminin MD5 karması (görüntü dosyası). |
| InitiatingProcessParentCreationTime | datetime | Olaydan sorumlu işlemin üst öğesinin başlatıldığı tarih ve saat. |
| InitiatingProcessParentFileName | string | Başlatma işlemini oluşturan üst işlemin adı. |
| InitiatingProcessParentId | long | Başlatma işlemini oluşturan üst işlemin İşlem Kimliği (PID). |
| InitiatingProcessSHA1 | string | Başlatma işleminin SHA-1 karması (görüntü dosyası). |
| InitiatingProcessSHA256 | string | Başlatma işleminin SHA-256 karması (görüntü dosyası). Bazı durumlarda bu sütun doldurulmayabilir. Lütfen bunun yerine InitiatingProcessSHA1 sütununu kullanın. |
| InitiatingProcessTokenElevation | string | Başlatma işlemine uygulanan Kullanıcı Access Control (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç türü. |
| InitiatingProcessVersionInfoCompanyName | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) şirket adı. |
| InitiatingProcessVersionInfoFileDescription | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) açıklama. |
| InitiatingProcessVersionInfoInternalFileName | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) iç dosya adı. |
| InitiatingProcessVersionInfoOriginalFileName | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) özgün dosya adı. |
| InitiatingProcessVersionInfoProductName | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) ürün adı. |
| InitiatingProcessVersionInfoProductVersion | string | Olaydan sorumlu sürüm bilgilerindeki (görüntü dosyası) ürün sürümü. |
| _IsBillable | string | Veri alımının faturalanabilir olup olmadığını belirtir. _IsBillable false alımı Azure hesabınıza faturalandırılmıyorsa |
| MachineGroup | string | Makinenin makine grubu. Bu grup, makineye erişimi belirlemek için rol tabanlı erişim denetimi tarafından kullanılır. |
| PreviousRegistryKey | string | Değiştirilmeden önce özgün kayıt defteri anahtarı. |
| PreviousRegistryValueData | string | Kayıt defteri değerinin değiştirilmeden önceki özgün verileri. |
| PreviousRegistryValueName | string | Kayıt defteri değerinin değiştirilmeden önceki özgün adı. |
| RegistryKey | string | Kaydedilen eylemin uygulandığı kayıt defteri anahtarı. |
| RegistryValueData | string | Kaydedilen eylemin uygulandığı kayıt defteri değerinin verileri. |
| RegistryValueName | string | Kaydedilen eylemin uygulandığı kayıt defteri değerinin adı. |
| RegistryValueType | string | Kaydedilen eylemin uygulandığı kayıt defteri değerinin ikili veya dize gibi veri türü. |
| ReportId | long | Yinelenen bir sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun ComputerName ve EventTime sütunlarıyla birlikte kullanılması gerekir.. |
| SourceSystem | string | Olayın toplandığı aracı türü. Örneğin, OpsManager Windows aracısı için, doğrudan bağlantı veya Operations Manager, Linux tüm Linux aracıları için veya Azure Azure Tanılama |
| TenantId | string | Log Analytics çalışma alanı kimliği |
| TimeGenerated | datetime | Olayın uç noktadaki MDE aracısı tarafından kaydedildiği tarih ve saat. |
| Tür | string | Tablonun adı |
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin