Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Windows ve Linux Dosyalarının yanı sıra yazılım kayıt defteri anahtarlarındaki değişiklikleri görüntüleyin. Bu tablodaki olaylar, Microsoft Defender for Endpoint (MDE) tarafından toplanır.
Tablo öznitelikleri
| Özellik | Değer |
|---|---|
| Kaynak türleri | - |
| Kategori | Güvenlik |
| Çözümleri | Log Yönetimi |
| Temel günlük | Evet |
| Alım süresi DCR desteği | Evet |
| Yalnızca göl alımı | Evet |
| Örnek Sorgular | - |
Kolonlar
| Sütun | Türü | Açıklama |
|---|---|---|
| AADTenantID | String | İzlenen varlığın oluşturulduğu, yeniden adlandırıldığı, değiştirildiği veya silindiği aboneliğin AAD kiracı kimliği. |
| AzureResourceId | String | İzlenen varlığı oluşturulan, yeniden adlandırılan, değiştirilen veya silinen kaynağın Azure kaynak kimliği. |
| _FaturalandirilmisBoyut (_BilledSize) | gerçek | Kayıt boyutu bayt cinsinden |
| DeğişimTürü | String | Varlık üzerinde meydana gelen değişiklik türü. 'Dosya' varlığı ya 'Oluşturuldu', 'Değiştirildi', 'Yeniden Adlandırıldı' ya da 'Silindi' olmalıdır. 'Kayıt Defteri' varlığı ya 'RegistryKeyCreated', 'RegistryKeyDeleted', 'RegistryValueSet', 'RegistryValueDeleted' veya 'RegistryKeyRenamed' olmalıdır. |
| Bulut Tanımlayıcı | String | Kaynağın bulut tanımlayıcısı. |
| Bulut Sağlayıcı | String | Kaynağın bulut sağlayıcısı. |
| Bulut Kaynak Türü | String | Bulut kaynağının türü. |
| Bilgisayar | String | İzlenen varlığın oluşturulduğu, yeniden adlandırıldığı, değiştirildiği veya silindiği makinenin adı. |
| FileMd5 | String | 'Dosya' izlenen varlık türü için geçerli. Değiştirilen, oluşturulan veya silinen dosyanın MD5 değerini tutar. |
| Dosya Adı | String | 'Dosya' izlenen varlık türü için geçerli. Oluşturulan, yeniden adlandırılan, değiştirilen veya silinen dosyanın adını tutar. |
| FilePath | String | 'Dosya' izlenen varlık türü için geçerli. Oluşturulan, yeniden adlandırılan, değiştirilen veya silinen dosyanın yolunu tutar. |
| FileSha1 | String | 'Dosya' izlenen varlık türü için geçerli. Dosyanın değiştirilmiş, oluşturulmuş veya silinmiş SHA1 değerini tutar. |
| FileSha256 | String | 'Dosya' izlenen varlık türü için geçerli. Dosyanın değiştirilmiş, oluşturulmuş veya silinmiş SHA256 hash'ini tutar. |
| Dosya Boyutu | uzun | 'Dosya' izlenen varlık türü için geçerli. Oluşturulan, yeniden adlandırılan, değiştirilen veya silinen dosyanın mevcut boyutunu (bayt olarak) tutar. |
| Dosya Türü | String | 'Dosya' izlenen varlık türü için geçerli. Oluşturulan, yeniden adlandırılan, değiştirilen veya silinen dosyanın türünü tutar. Olası değerler örneği: Zip, PDF, Xar vb. |
| BaşlatıcıİşlemHesapAlanAdı | String | Başlatıcı işlemin hesap etki alanı adını, izlenen varlık olayına neden olan süreci tutar. |
| Başlatıcı İşlem Hesap Adı | String | İzlenen varlık olayına neden olan başlatıcı işlemin hesap adını tutar. |
| Başlatma Süreci Hesap SID'si | String | Başlatan süreç hesabının SID'sini, izlenen varlık olayına neden olan işlemde tutar. |
| Başlatıcı İşlem Oluşturma Zamanı | tarih-saat | İzlenen varlık olayına neden olan sürecin oluşturulma zamanını tutar. |
| InitiatingProcessFirstSeen | tarih-saat | İzlenen varlık olayına neden olan başlatıcı sürecin ilk görüldüğü zamanı tutar. |
| BaşlatanSüreçId | uzun | Başlatıcı işlemin neden olduğu izlenen varlık olayının işlem kimliğini (Id) tutar. |
| Başlatma Süreci Resim Dosyası Adı | String | İzlenen varlık olayına neden olan başlatıcı işlemin görüntü dosyasının adını tutar. |
| InitiatingProcessImageFilePath | String | İzlenen varlık olayına neden olan başlatıcı işlemin görüntü dosya yolunu tutar. |
| Başlatılan İşlem Görüntü Dosyası Türü | String | Takip edilen varlık olayına neden olan başlatıcı sürecin görüntü dosya türünü tutar. |
| BaşlatmaSüreciAdı | String | Başlatıcı sürecin adı, izlenen varlık olayını oluşturan neden olur. |
| BaşlatanSüreçOturumKimliği | uzun | Başlatıcı sürecin oturum kimliğini tutar ve bu, izlenen varlık olayına neden oldu. |
| Başlatma Süreci Kaynağı | String | Başlatma sürecinin kaynağını, izlenen varlık olayına neden olan süreci belirler. |
| InitProcGörüntüOluşturmaZamanıUtc | tarih-saat | Başlatılan işlemin görüntüsünün oluşturulma zamanını, izlenen varlık olayına neden olan görüntü için tutar. |
| InitProcImageFileSizeInBytes | uzun | İzlenen varlık olayına neden olan başlatma işleminin görüntü dosyası boyutunu (Bayt cinsinden) tutar. |
| InitProcImageLastAccessTimeUtc | tarih-saat | Başlatıcı sürecin görüntüsü için görüntünün son erişim zamanını, izlenen varlık olayına neden olan süreci tutar. |
| InitProcImageLastWriteTimeUtc | tarih-saat | Başlatıcı sürecin görüntüsüne ait son yazma zamanını, izlenen varlık olayına neden olan süreç için tutar. |
| InitProcImageLsHash | String | Başlatılan sürecin görüntüsü için LS hash'ini tutar; bu süreç, izlenen varlık olayına neden olmuştur. |
| InitProcImageMd5 | String | Başlatıcı sürecin izlenen varlık olayı oluşturmasına neden olan görüntünün MD5 bilgisini tutar. |
| InitProcImagePeTimestampUtc | tarih-saat | Başlatıcı sürecin görüntüsü için, izlenen varlık olayına yol açan sürecin "image PE time"ını tutar. |
| InitiateProcImageSha1 | String | İzlenen varlık olayına neden olan başlatıcı sürecin görüntü SHA 1'ini tutar. |
| InitProcImageSha256 | String | İzleme altındaki varlık olayına neden olan başlatma sürecinin görüntüsü için görüntü SHA 256'sını tutar. |
| InitProcVersionInfoCompanyName | String | Başlatma sürecinin sürüm bilgisi şirket adını, izlenen varlık olayına neden olan şekilde tutar. |
| InitProcVersionInfoFileDescription | String | İzlenen varlık olayına neden olan başlatma işleminin sürüm bilgisi dosyasının açıklamasını tutar. |
| InitProcVersionInfoInternalFileName | String | İlgili varlık olayına neden olan başlatıcı işlemin sürüm bilgileri iç dosya adını saklar. |
| InitProcVersionInfoOriginalFileName | String | Başlatıcı işlemin, izlenen varlık olayına neden olan orijinal dosya adının sürüm bilgilerini tutar. |
| InitProcVersionInfoÜrünAdı | String | Başlatıcı işlemin izlenen varlık olayına neden olan sürüm bilgisi ürün adını tutar. |
| InitProcVersionInfoProductVersion | String | Başlatılan işlemin sürüm bilgisi ve sürüm numarasını içeren ve izlenen varlık olayına neden olan süreç versiyonunu tutar. |
| _FaturalandırılabilirMi | String | Verilerin alınmasının faturalandırılabilir olup olmadığını belirtir. "_IsBillable false olduğunda, veri alımı Azure hesabınıza faturalandırılmaz." |
| İzlenen Varlık Türü | String | Oluşturulan, yeniden adlandırılan, değiştirilen veya silinen izlenen varlığın türü. Ya 'Dosya' ya da 'Kayıt Defteri' olabilir. |
| YeniDeğerVerisi | String | 'Kayıt' izlenen varlık türüyle ilgili. Yeni kayıt defteri değeri verilerini tutar. |
| YeniDeğerAdı | String | 'Kayıt' izlenen varlık türüyle ilgili. Yeni kayıt defteri değer adını tutar. |
| YeniDeğerTürü | String | 'Kayıt' izlenen varlık türüyle ilgili. Yeni bir kayıt defteri değeri türünü tutar. |
| EskiDeğerVerisi | String | 'Kayıt' izlenen varlık türüyle ilgili. Önceki kayıt değeri verilerini tutar. |
| EskiDeğerTamKayıtDefteriAnahtarı | String | 'Kayıt' izlenen varlık türüyle ilgili. Önceki tam kayıt defteri anahtarını tutar. |
| EskiDeğerAdı | String | 'Kayıt' izlenen varlık türüyle ilgili. Önceki kayıt değeri adını tutar. |
| EskiDeğerTürü | String | 'Kayıt' izlenen varlık türüyle ilgili. Önceki kayıt değeri türünü tutar. |
| OrijinalDosyaAdı | String | 'Dosya' izlenen varlık türü ve 'Yeniden Adlandır' değişiklik türü için geçerlidir. Yeniden adlandırılmadan önce orijinal dosya adını saklar. |
| OrijinalDosyaYolu | String | 'Dosya' izlenen varlık türü ve 'Yeniden Adlandır' değişiklik türü için geçerlidir. Yeniden adlandırılmadan önce, yeniden adlandırılan dosyanın orijinal yolunu tutar. |
| RegistryHive | String | 'Kayıt' izlenen varlık türüyle ilgili. İşletim sistemi ve uygulamalar için gruplama yapılandırma ayarlarını tutar. |
| Kayıt Defteri Anahtarı | String | 'Kayıt' izlenen varlık türüyle ilgili. Oluşturulan kayıt defterinin tam kayıt defteri anahtarını ya da yeniden adlandırılan kayıt defterinin yeni anahtarını tutar. |
| HesapAlanınıTalepEt | String | 'Dosya' izlenen varlık türü için geçerli. Dosya olayına neden olan kullanıcının hesabının etki alanını tutar. |
| Hesap İsmi Talebi | String | 'Dosya' izlenen varlık türü için geçerli. Kullanıcının dosya olayına neden olan hesabının adı tutulur. |
| HesapKimliğiTalepEt | String | 'Dosya' izlenen varlık türü için geçerli. Dosya olayına neden olan kullanıcının hesabının SID'sini tutar. |
| RequestSource | String | 'Dosya' izlenen varlık türü için geçerli. Dosya olayına neden olan kullanıcının hesabının kaynağını tutar. Örneğin, Yerel/SMB/NFS. |
| İstek Kaynak IP | String | 'Dosya' izlenen varlık türü için geçerli. Kullanıcının dosya olayına neden olan hesabının kaynak IP'sini tutar. Uzak dosya için, isteğin geldiği IP. |
| RequestSourcePort | String | 'Dosya' izlenen varlık türü için geçerli. Dosya olayına neden olan kullanıcının hesabının kaynak portunu tutar. Uzaktan dosya için, talebin geldiği port. |
| SourceSystem | String | Olayın toplandığı ajan türü. Örneğin, OpsManager Windows etkeni için, ya doğrudan bağlan ya da Operations Manager kullan, Linux tüm Linux etkenleri için veya Azure Azure Diagnostics için. |
| Kiracı Kimliği | String | Log Analizi çalışma alanı ID'si |
| TimeGenerated | tarih-saat | İzlenen varlığın oluşturulduğu, yeniden adlandırıldığı, değiştirildiği veya silindiği saat (UTC). |
| Türü | String | Tablonun adı |