DeviceRegistryEvents
高级搜寻架构中的表包含有关创建和修改注册表项的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
此高级搜寻表由Microsoft Defender for Endpoint中的记录填充。 如果组织尚未在 Microsoft Defender XDR 中部署服务,则使用该表的查询将不起作用或返回任何结果。 有关如何在 Defender XDR 中部署 Defender for Endpoint 的详细信息,请阅读部署受支持的服务。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
ActionType |
string |
触发事件的活动类型。 有关详细信息,请参阅 门户内架构参考 。 |
RegistryKey |
string |
记录的作应用于的注册表项 |
RegistryValueType |
string |
记录作应用到的注册表值的数据类型(如二进制或字符串) |
RegistryValueName |
string |
记录的作应用于的注册表值的名称 |
RegistryValueData |
string |
记录的作应用于的注册表值的数据 |
PreviousRegistryKey |
string |
修改注册表值之前的原始注册表项 |
PreviousRegistryValueName |
string |
修改注册表值之前的原始名称 |
PreviousRegistryValueData |
string |
修改注册表值之前的原始数据 |
InitiatingProcessAccountDomain |
string |
运行负责事件的进程的帐户的域 |
InitiatingProcessAccountName |
string |
运行负责事件的进程的帐户的用户名;如果设备在 Microsoft Entra ID 中注册,则可能改为显示运行负责事件的进程的帐户的Entra ID用户名 |
InitiatingProcessAccountSid |
string |
安全标识符 (SID) 运行负责事件的进程的帐户 |
InitiatingProcessAccountUpn |
string |
用户主体名称 (负责事件的运行进程的帐户的 UPN) ;如果设备在 Microsoft Entra ID 中注册,则可能改为显示运行负责事件的进程的帐户的 UPN Entra ID |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra运行负责事件的进程的用户帐户的对象 ID |
InitiatingProcessSHA1 |
string |
启动事件的进程的 SHA-1 (映像文件) |
InitiatingProcessSHA256 |
string |
进程的 SHA-256 (启动事件的映像文件) 。 通常不会填充此字段 — 可用时使用 SHA1 列。 |
InitiatingProcessMD5 |
string |
发起事件的进程 (映像文件) 的 MD5 哈希 |
InitiatingProcessFileName |
string |
启动事件的进程文件的名称;如果不可用,则可能会改为显示启动事件的进程的名称 |
InitiatingProcessFileSize |
long |
运行负责事件的进程的文件的大小 |
InitiatingProcessVersionInfoCompanyName |
string |
进程版本信息中的公司名称 (映像文件) 负责事件 |
InitiatingProcessVersionInfoProductName |
string |
进程版本信息中的产品名称 (图像文件) 负责事件 |
InitiatingProcessVersionInfoProductVersion |
string |
来自进程版本信息的产品版本 (映像文件) 负责事件 |
InitiatingProcessVersionInfoInternalFileName |
string |
进程版本信息中的内部文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoOriginalFileName |
string |
进程版本信息中的原始文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoFileDescription |
string |
来自进程版本信息的说明 (负责事件的映像文件) |
InitiatingProcessId |
long |
进程 ID (启动事件的进程的 PID) |
InitiatingProcessCommandLine |
string |
用于运行启动事件的进程的命令行 |
InitiatingProcessCreationTime |
datetime |
启动事件的进程的日期和时间 |
InitiatingProcessFolderPath |
string |
包含发起事件的进程 (图像文件) 的文件夹 |
InitiatingProcessParentId |
long |
进程 ID (PID) 生成负责事件的进程的父进程 |
InitiatingProcessParentFileName |
string |
生成负责事件的进程的父进程的名称 |
InitiatingProcessParentCreationTime |
datetime |
负责事件的进程的父级的启动日期和时间 |
InitiatingProcessIntegrityLevel |
string |
启动事件的进程的完整性级别。 Windows 根据某些特征(例如,是否从 Internet 下载启动)为进程分配完整性级别。 这些完整性级别会影响对资源的权限。 |
InitiatingProcessTokenElevation |
string |
指示是否存在用户访问控制 (UAC 的令牌类型,) 特权提升应用于发起事件的进程 |
ReportId |
long |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
AppGuardContainerId |
string |
应用程序防护用于隔离浏览器活动的虚拟化容器的标识符 |
InitiatingProcessSessionId |
long |
启动进程的 Windows 会话 ID |
IsInitiatingProcessRemoteSession |
bool |
指示启动进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
从中启动发起进程的 RDP 会话的远程设备的设备名称 |
InitiatingProcessRemoteSessionIP |
string |
从中启动发起进程的 RDP 会话的远程设备的 IP 地址 |
ProcessUniqueId |
string |
进程的唯一标识符;这等于 Windows 设备中的进程启动密钥 |
InitiatingProcessUniqueId |
string |
启动进程的唯一标识符;这等于 Windows 设备中的进程启动密钥 |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。