通过

registryKeyState 资源类型

  • 项目

命名空间:microsoft.graph

包含与警报相关的注册表项更改以及更改注册表项的过程的信息。

属性

属性 类型 说明
蜂房 registryHive Windows 注册表配置单元
  • HKEY_CURRENT_CONFIG
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE\SAM
  • HKEY_LOCAL_MACHINE\Security
  • HKEY_LOCAL_MACHINE\Software
  • HKEY_LOCAL_MACHINE\System
  • HKEY_USERS\.Default。
可取值为:unknowncurrentConfigcurrentUserlocalMachineSamlocalMachineSecuritylocalMachineSoftwarelocalMachineSystemusersDefault
注册表项 String 当前 (即) 注册表项更改 (排除 HIVE) 。
oldKey String 以前的 (即更改前) 注册表项 (排除 HIVE) 。
oldValueData String 以前的 (即) 更改) 注册表项值数据 (之前。
oldValueName String 以前的 (即更改之前) 注册表项值名称。
操作 registryOperation 更改注册表项名称和/或值的操作。 可能的值是:unknowncreatemodifydelete
processId Int32 修改注册表项的进程的进程 ID (PID) , (进程详细信息将显示在警报“进程”集合) 中。
valueData String 当前 (即更改了) 注册表项值数据 (内容) 。
valueName String 当前 (即已更改) 注册表项值名称
valueType registryValueType 注册表项值类型
  • REG_BINARY
  • REG_DWORD
  • REG_DWORD_LITTLE_ENDIAN
  • REG_DWORD_BIG_ENDIAN
  • REG_EXPAND_SZ
  • REG_LINK
  • REG_MULTI_SZ
  • REG_NONE
  • REG_QWORD
  • REG_QWORD_LITTLE_ENDIAN
  • REG_SZ
可取值为:unknownbinarydworddwordLittleEndiandwordBigEndianexpandSzlinkmultiSznoneqwordqwordlittleEndiansz

JSON 表示形式

以下 JSON 表示形式显示了资源类型。

{
  "hive": "@odata.type: microsoft.graph.registryHive",
  "key": "String",
  "oldKey": "String",
  "oldValueData": "String",
  "oldValueName": "String",
  "operation": "@odata.type: microsoft.graph.registryOperation",
  "processId": 1024,
  "valueData": "String",
  "valueName": "String",
  "valueType": "@odata.type: microsoft.graph.registryValueType"
}