Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Tabla de eventos del registro de dispositivos de Microsoft Defender para puntos de conexión (MDE). Esta tabla contiene la creación y modificación de entradas del Registro en el punto de conexión e información sobre los procesos que inician dichos eventos.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | Sí |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| Tipo de Acción | cuerda / cadena | Tipo de actividad que desencadenó el evento. |
| AppGuardContainerId | cuerda / cadena | Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| IdDelDispositivo | cuerda / cadena | Identificador único del dispositivo en el servicio. |
| Nombre del Dispositivo | cuerda / cadena | Nombre de dominio completo (FQDN) del dispositivo. |
| InitiatingProcessAccountDomain | cuerda / cadena | Dominio de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessAccountName | cuerda / cadena | Nombre de usuario de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessAccountObjectId | cuerda / cadena | Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso de inicio. |
| InitiatingProcessAccountSid | cuerda / cadena | Identificador de seguridad (SID) de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessAccountUpn | cuerda / cadena | Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessCommandLine | cuerda / cadena | Línea de comandos usada para ejecutar el proceso de inicio. |
| InitiatingProcessCreationTime | fecha y hora | Fecha y hora en que se inició el proceso que inició el evento. |
| InitiatingProcessFileName | cuerda / cadena | Nombre del proceso inicial. |
| InitiatingProcessFileSize | largo | Tamaño del archivo (bytes) que ejecutó el proceso responsable del evento. |
| InitiatingProcessFolderPath | cuerda / cadena | Carpeta que contiene el proceso de inicio (archivo de imagen). |
| InitiatingProcessId | largo | Id. de proceso (PID) del proceso iniciado. |
| InitiatingProcessIntegrityLevel | cuerda / cadena | Nivel de integridad del proceso inicial. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos. |
| InitiatingProcessMD5 | cuerda / cadena | Hash MD5 del proceso de inicio (archivo de imagen). |
| InitiatingProcessParentCreationTime | fecha y hora | Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
| InitiatingProcessParentFileName | cuerda / cadena | Nombre del proceso primario que generó el proceso inicial. |
| InitiatingProcessParentId | largo | Id. de proceso (PID) del proceso primario que generó el proceso de inicio. |
| InitiatingProcessRemoteSessionDeviceName | cuerda / cadena | Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciador. |
| InitiatingProcessRemoteSessionIP | cuerda / cadena | Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciado. |
| InitiatingProcessSessionId | largo | Identificador de sesión de Windows del proceso de inicio. |
| Iniciando el Proceso SHA1 | cuerda / cadena | Hash SHA-1 del proceso de inicio (archivo de imagen). |
| Iniciando Proceso SHA256 | cuerda / cadena | Hash SHA-256 del proceso de inicio (archivo de imagen). En algunos casos, es posible que esta columna no se rellene; use la columna InitiatingProcessSHA1 en su lugar. |
| InitiatingProcessTokenElevation | cuerda / cadena | Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso de inicio. |
| InitiatingProcessUniqueId | cuerda / cadena | Identificador único del proceso inicial; esto es igual a la clave de inicio del proceso en dispositivos Windows. |
| InitiatingProcessVersionInfoCompanyName | cuerda / cadena | Nombre de empresa de la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoFileDescription | cuerda / cadena | Descripción de la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoInternalFileName | cuerda / cadena | Nombre de archivo interno de la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoOriginalFileName | cuerda / cadena | Nombre de archivo original de la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductName | cuerda / cadena | Nombre de producto de la información de versión (archivo de imagen) responsable del evento. |
| IniciandoProcessVersionInfoProductVersion | cuerda / cadena | Versión de producto de la información de versión (archivo de imagen) responsable del evento. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable es false, la ingestión no se facturará a su cuenta de Azure. |
| IsInitiatingProcessRemoteSession | booleano | Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false). |
| Grupo de máquinas | cuerda / cadena | Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
| PreviousRegistryKey | cuerda / cadena | Clave del Registro original antes de modificarla. |
| PreviousRegistryValueData | cuerda / cadena | Datos originales del valor del Registro antes de modificarse. |
| PreviousRegistryValueName | cuerda / cadena | Nombre original del valor del Registro antes de modificarlo. |
| Clave de Registro | cuerda / cadena | Clave del Registro a la que se aplicó la acción grabada. |
| RegistryValueData | cuerda / cadena | Datos del valor del Registro al que se aplicó la acción registrada. |
| RegistryValueName | cuerda / cadena | Nombre del valor del Registro al que se aplicó la acción grabada. |
| TipoDeValorDelRegistro | cuerda / cadena | Tipo de datos, como binario o cadena, del valor del Registro al que se aplicó la acción grabada. |
| ReportId | largo | Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| IdentificadorDeInquilino | cuerda / cadena | ID del espacio de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
| Tipo | cuerda / cadena | Nombre de la tabla. |