Type de ressource registryKeyState
Espace de noms: microsoft.graph
Contient des informations sur les modifications de clé de Registre liées à l’alerte et le processus qui a modifié les clés de Registre.
Propriétés
| Propriété | Type | Description |
|---|---|---|
| ruche | registryHive | Une ruche du Registre Windows :
unknown, currentConfig, currentUser, localMachineSam, localMachineSecurity, localMachineSoftware, localMachineSystem et usersDefault. |
| clé | Chaîne | Clé de Registre actuelle (c’est-à-dire modifiée) (exclut HIVE). |
| oldKey | Chaîne | Clé de Registre précédente (c’est-à-dire avant modification) (exclut HIVE). |
| oldValueData | Chaîne | Données de valeur de clé de Registre précédentes (c’est-à-dire avant modification) (contenu). |
| oldValueName | Chaîne | Nom de la valeur de clé de Registre précédent (c’est-à-dire avant modification). |
| opération | registryOperation | Opération qui a modifié le nom et/ou la valeur de la clé de Registre. Les valeurs possibles sont les suivantes : unknown, create, modify, delete. |
| processId | Int32 | ID de processus (PID) du processus qui a modifié la clé de Registre (les détails du processus s’affichent dans la collection « processus » de l’alerte). |
| valueData | Chaîne | Données de valeur de clé de Registre actuelles (c’est-à-dire modifiées) (contenu). |
| valueName | Chaîne | Nom de la valeur de clé de Registre actuel (c’est-à-dire modifié) |
| valueType | registryValueType |
Type de valeur de clé de Registre
unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian et sz. |
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"hive": "@odata.type: microsoft.graph.registryHive",
"key": "String",
"oldKey": "String",
"oldValueData": "String",
"oldValueName": "String",
"operation": "@odata.type: microsoft.graph.registryOperation",
"processId": 1024,
"valueData": "String",
"valueName": "String",
"valueType": "@odata.type: microsoft.graph.registryValueType"
}