Delen via


DeviceRegistryEvents

Microsoft Defender voor Eindpunt s (MDE) tabel met apparaatregisters. Deze tabel bevat het maken en wijzigen van registervermeldingen op het eindpunt en informatie over de processen die dergelijke gebeurtenissen initiëren.

Tabelkenmerken

Kenmerk Weergegeven als
Resourcetypen -
Categorieën Beveiliging
Oplossingen SecurityInsights
Basislogboek Nee
Opnametijdtransformatie Ja
Voorbeeldquery's -

Kolommen

Column Type Description
ActionType tekenreeks Type activiteit dat de gebeurtenis heeft geactiveerd.
AppGuardContainerId tekenreeks Id voor de gevirtualiseerde container die door Application Guard wordt gebruikt om browseractiviteit te isoleren.
_BilledSize werkelijk De recordgrootte in bytes
DeviceId tekenreeks Unieke id voor het apparaat in de service.
Apparaatnaam tekenreeks FQDN (Fully Qualified Domain Name) van het apparaat.
InitiatingProcessAccountDomain tekenreeks Domein van het account dat het initiërende proces heeft uitgevoerd.
InitiatingProcessAccountName tekenreeks Gebruikersnaam van het account waarop het initiërende proces is uitgevoerd.
InitiatingProcessAccountObjectId tekenreeks Azure AD-object-id van het gebruikersaccount dat het initiërende proces heeft uitgevoerd.
InitiatingProcessAccountSid tekenreeks Beveiligings-id (SID) van het account dat het initiërende proces heeft uitgevoerd.
InitiatingProcessAccountUpn tekenreeks Upn (User Principal Name) van het account dat het initiërende proces heeft uitgevoerd.
InitiatingProcessCommandLine tekenreeks De opdrachtregel wordt gebruikt om het initiërende proces uit te voeren.
InitiatingProcessCreationTime datetime De datum en tijd waarop het proces waarmee de gebeurtenis is gestart, is gestart.
InitiatingProcessFileName tekenreeks Naam van het initiërende proces.
InitiatingProcessFileSize long De grootte van het bestand (bytes) dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis.
InitiatingProcessFolderPath tekenreeks Map met het initiërende proces (afbeeldingsbestand).
InitiatingProcessId long Proces-id (PID) van het initiërende proces.
InitiatingProcessIntegrityLevel tekenreeks Integriteitsniveau van het initiërende proces. Windows wijst integriteitsniveaus toe aan processen op basis van bepaalde kenmerken, bijvoorbeeld als ze zijn gestart via een internetdownload. Deze integriteitsniveaus zijn van invloed op machtigingen voor resources..
InitiatingProcessMD5 tekenreeks MD5-hash van het initiërende proces (afbeeldingsbestand).
InitiatingProcessParentCreationTime datetime De datum en tijd waarop het bovenliggende element van het proces dat verantwoordelijk is voor de gebeurtenis is gestart.
InitiatingProcessParentFileName tekenreeks Naam van het bovenliggende proces dat het initiërende proces heeft voortgebracht.
InitiatingProcessParentId long Proces-id (PID) van het bovenliggende proces dat het initiërende proces heeft voortgebracht.
InitiatingProcessRemoteSessionDeviceName tekenreeks De apparaatnaam van het externe apparaat van waaruit de RDP-sessie van het initiërende proces is gestart.
InitiatingProcessRemoteSessionIP tekenreeks IP-adres van het externe apparaat van waaruit de RDP-sessie van het initiërende proces is gestart.
InitiatingProcessSessionId long Windows-sessie-id van het initiërende proces.
InitiatingProcessSHA1 tekenreeks SHA-1-hash van het initiërende proces (afbeeldingsbestand).
InitiatingProcessSHA256 tekenreeks SHA-256-hash van het initiërende proces (afbeeldingsbestand). In sommige gevallen is deze kolom mogelijk niet ingevuld. Gebruik in plaats daarvan de kolom InitiatingProcessSHA1.
InitiatingProcessTokenElevation tekenreeks Tokentype dat de aanwezigheid of afwezigheid van UAC-bevoegdheden (User Access Control) aangeeft die is toegepast op het initiërende proces.
InitiatingProcessVersionInfoCompanyName tekenreeks De bedrijfsnaam in versiegegevens (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis.
InitiatingProcessVersionInfoFileDescription tekenreeks De beschrijving in versie-informatie (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis.
InitiatingProcessVersionInfoInternalFileName tekenreeks De interne bestandsnaam in versie-informatie (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis.
InitiatingProcessVersionInfoOriginalFileName tekenreeks De oorspronkelijke bestandsnaam in versiegegevens (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis.
InitiatingProcessVersionInfoProductName tekenreeks De productnaam in versiegegevens (afbeeldingsbestand) die verantwoordelijk is voor de gebeurtenis.
InitiatingProcessVersionInfoProductVersion tekenreeks De productversie in versiegegevens (installatiekopieënbestand) die verantwoordelijk is voor de gebeurtenis.
_IsBillable tekenreeks Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable wordt false opgenomen, worden er geen kosten in rekening gebracht voor uw Azure-account
IsInitiatingProcessRemoteSession bool Geeft aan of het initiërende proces is uitgevoerd onder een RDP-sessie (Remote Desktop Protocol) of lokaal (onwaar).
MachineGroup tekenreeks Machinegroep van de machine. Deze groep wordt gebruikt door op rollen gebaseerd toegangsbeheer om de toegang tot de computer te bepalen.
PreviousRegistryKey tekenreeks Oorspronkelijke registersleutel voordat deze werd gewijzigd.
PreviousRegistryValueData tekenreeks Oorspronkelijke gegevens van de registerwaarde voordat deze zijn gewijzigd.
PreviousRegistryValueName tekenreeks Oorspronkelijke naam van de registerwaarde voordat deze werd gewijzigd.
RegistryKey tekenreeks Registersleutel waarop de vastgelegde actie is toegepast.
RegistryValueData tekenreeks Gegevens van de registerwaarde waarop de vastgelegde actie is toegepast.
RegistryValueName tekenreeks De naam van de registerwaarde waarop de vastgelegde actie is toegepast.
RegistryValueType tekenreeks Gegevenstype, zoals binair of tekenreeks, van de registerwaarde waarop de vastgelegde actie is toegepast.
ReportId long Gebeurtenis-id op basis van een herhalend item. Als u unieke gebeurtenissen wilt identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen ComputerName en EventTime.
SourceSystem tekenreeks Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinding maken of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics
TenantId tekenreeks De Log Analytics-werkruimte-id
TimeGenerated datetime De datum en tijd waarop de gebeurtenis is vastgelegd door de MDE-agent op het eindpunt.
Type tekenreeks De naam van de tabel