DeviceRegistryEvents

Область применения:

  • Microsoft Defender XDR
  • Microsoft Defender для конечной точки

Таблица DeviceRegistryEvents в схеме расширенной охоты содержит сведения о создании и изменении записей реестра. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
DeviceId string Уникальный идентификатор устройства в службе
DeviceName string Полное доменное имя (FQDN) устройства
ActionType string Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале .
RegistryKey string Раздел реестра, к которому было применено записанное действие
RegistryValueType string Тип данных, например двоичный или строковый, значения реестра, к которому было применено записанное действие.
RegistryValueName string Имя значения реестра, к которому было применено записанное действие
RegistryValueData string Данные значения реестра, к которому было применено записанное действие
PreviousRegistryKey string Исходный раздел реестра значения реестра до его изменения
PreviousRegistryValueName string Исходное имя значения реестра до его изменения
PreviousRegistryValueData string Исходные данные значения реестра до его изменения
InitiatingProcessAccountDomain string Домен учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountName string Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя пользователя Entra ID учетной записи, которая выполнила процесс, ответственный за событие.
InitiatingProcessAccountSid string Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие
InitiatingProcessAccountUpn string Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие; Если устройство зарегистрировано в Microsoft Entra ID, вместо него может отображаться имя участника-пользователя Entra ID для учетной записи, которая выполнила процесс, отвечающий за событие.
InitiatingProcessAccountObjectId string Microsoft Entra идентификатор объекта учетной записи пользователя, запустившего процесс, отвечающий за событие
InitiatingProcessSHA1 string SHA-1 процесса (файла изображения), который инициировал событие
InitiatingProcessSHA256 string SHA-256 процесса (файла изображения), который инициировал событие. Это поле обычно не заполняется. Используйте столбец SHA1, если он доступен.
InitiatingProcessMD5 string Хэш MD5 процесса (файла образа), который инициировал событие
InitiatingProcessFileName string Имя файла процесса, который инициировал событие; Если он недоступен, вместо него может отображаться имя процесса, который инициировал событие.
InitiatingProcessFileSize long Размер файла, в который был запущен процесс, ответственный за событие
InitiatingProcessVersionInfoCompanyName string Название компании из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoProductName string Название продукта из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoProductVersion string Версия продукта из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoInternalFileName string Внутреннее имя файла из сведений о версии процесса (файла образа), ответственного за событие
InitiatingProcessVersionInfoOriginalFileName string Исходное имя файла из сведений о версии процесса (файл изображения), ответственного за событие
InitiatingProcessVersionInfoFileDescription string Описание из сведений о версии процесса (файла изображения), ответственного за событие
InitiatingProcessId long Идентификатор процесса (PID) процесса, который инициировал событие
InitiatingProcessCommandLine string Командная строка, используемая для запуска процесса, который инициировал событие
InitiatingProcessCreationTime datetime Дата и время запуска процесса, инициирующего событие
InitiatingProcessFolderPath string Папка, содержащая процесс (файл изображения), который инициировал событие
InitiatingProcessParentId long Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие
InitiatingProcessParentFileName string Имя родительского процесса, который породил процесс, отвечающий за событие
InitiatingProcessParentCreationTime datetime Дата и время запуска родительского элемента процесса, ответственного за событие
InitiatingProcessIntegrityLevel string Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов.
InitiatingProcessTokenElevation string Тип маркера, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к процессу, который инициировал событие
ReportId long Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp.
AppGuardContainerId string Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера
InitiatingProcessSessionId long Идентификатор сеанса Windows для инициации процесса
IsInitiatingProcessRemoteSession bool Указывает, был ли процесс инициации запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false).
InitiatingProcessRemoteSessionDeviceName string Имя устройства удаленного устройства, с которого был инициирован сеанс RDP процесса инициации
InitiatingProcessRemoteSessionIP string IP-адрес удаленного устройства, с которого был инициирован сеанс RDP процесса инициации

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.