ActionType |
Zeichenfolge |
Typ der Aktivität, die das Ereignis ausgelöst hat. |
AdditionalFields |
dynamisch |
Zusätzliche Informationen zur Entität oder zum Ereignis. |
AppGuardContainerId |
Zeichenfolge |
Bezeichner für den virtualisierten Container, der von Application Guard verwendet wird, um Browseraktivitäten zu isolieren. |
_BilledSize |
real |
Die Datensatzgröße in Bytes. |
DeviceId |
Zeichenfolge |
Eindeutiger Bezeichner für das Gerät im Dienst. |
DeviceName |
Zeichenfolge |
Vollqualifizierter Domänenname (FQDN) des Geräts. |
InitiatingProcessAccountDomain |
Zeichenfolge |
Domäne des Kontos, das den initiierenden Prozess ausgeführt hat. |
Initiieren vonProcessAccountName |
Zeichenfolge |
Benutzername des Kontos, das den initiierenden Prozess ausgeführt hat. |
Initiieren vonProcessAccountObjectId |
Zeichenfolge |
Azure AD-Objekt-ID des Benutzerkontos, das den initiierenden Prozess ausgeführt hat. |
Initiieren vonProcessAccountSid |
Zeichenfolge |
Sicherheits-ID (SID) des Kontos, das den initiierenden Prozess ausgeführt hat. |
Initiieren vonProcessAccountUpn |
Zeichenfolge |
Benutzerprinzipalname (UPN) des Kontos, das den initiierenden Prozess ausgeführt hat. |
InitiatingProcessCommandLine |
Zeichenfolge |
Befehlszeile, die zum Ausführen des initiierenden Prozesses verwendet wird. |
Initiieren vonProcessCreationTime |
datetime |
Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
InitiatingProcessFileName |
Zeichenfolge |
Name des initiierenden Prozesses. |
Initiieren vonProcessFileSize |
long |
Größe der Datei (Bytes), die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
InitiatingProcessFolderPath |
Zeichenfolge |
Ordner, der den Initiierenden Prozess (Bilddatei) enthält. |
InitiatingProcessId |
long |
Prozess-ID (PID) des initiierenden Prozesses. |
Initiieren vonProcessIntegrityLevel |
Zeichenfolge |
Integritätsebene des initiierenden Prozesses. Windows weist Prozessen Auf der Grundlage bestimmter Merkmale Integritätsstufen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen wirken sich auf Berechtigungen für Ressourcen aus. |
InitiatingProcessMD5 |
Zeichenfolge |
MD5-Hash des initiierenden Prozesses (Bilddatei). |
Initiieren vonProcessParentCreationTime |
datetime |
Datum und Uhrzeit, zu dem das übergeordnete Element des Prozesses, der für das Ereignis verantwortlich ist, gestartet wurde. |
InitiatingProcessParentFileName |
Zeichenfolge |
Der Name des übergeordneten Prozesses, der den initiierenden Prozess ausgelöst hat. |
Initiieren vonProcessParentId |
long |
Prozess-ID (PID) des übergeordneten Prozesses, der den initiierenden Prozess ausgelöst hat. |
InitiatingProcessRemoteSessionDeviceName |
Zeichenfolge |
Gerätename des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
Initiieren vonProcessRemoteSessionIP |
Zeichenfolge |
IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
Initiieren vonProcessSessionId |
long |
Windows-Sitzungs-ID des initiierenden Prozesses. |
Initiieren vonProcessSHA1 |
Zeichenfolge |
SHA-1-Hash des initiierenden Prozesses (Bilddatei). |
InitiatingProcessSHA256 |
Zeichenfolge |
SHA-256-Hash des initiierenden Prozesses (Bilddatei). In einigen Fällen wird diese Spalte möglicherweise nicht aufgefüllt . Verwenden Sie stattdessen die Spalte "InitiatingProcessSHA1". |
Initiieren vonProcessTokenElevation |
Zeichenfolge |
Tokentyp, der angibt, dass die Rechteerweiterung der Benutzerzugriffskontrolle (User Access Control, UAC) auf den initiierenden Prozess angewendet wird oder nicht vorhanden ist. |
InitiatingProcessVersionInfoCompanyName |
Zeichenfolge |
Der Firmenname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
InitiatingProcessVersionInfoFileDescription |
Zeichenfolge |
Die Beschreibung in Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich sind. |
InitiatingProcessVersionInfoInternalFileName |
Zeichenfolge |
Der interne Dateiname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
InitiatingProcessVersionInfoOriginalFileName |
Zeichenfolge |
Der ursprüngliche Dateiname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
InitiatingProcessVersionInfoProductName |
Zeichenfolge |
Der Produktname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
InitiatingProcessVersionInfoProductVersion |
Zeichenfolge |
Die Produktversion in Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
_IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
IsInitiatingProcessRemoteSession |
bool |
Gibt an, ob der Initiierenvorgang unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
LocalIP |
Zeichenfolge |
IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird. |
LocalIPType |
Zeichenfolge |
Typ der IP-Adresse, z. B. "Öffentlich", "Privat", "Reserviert", "Loopback", "Teredo", "FourToSixMapping" und "Broadcast". |
localPort |
int |
TCP-Port auf dem lokalen Computer, der während der Kommunikation verwendet wird. |
MachineGroup |
Zeichenfolge |
Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
Protokoll |
Zeichenfolge |
Verwendetes IP-Protokoll, unabhängig davon, ob TCP oder UDP. |
RemoteIP |
Zeichenfolge |
IP-Adresse, mit der eine Verbindung hergestellt wurde. |
RemoteIPType |
Zeichenfolge |
Typ der IP-Adresse, z. B. "Öffentlich", "Privat", "Reserviert", "Loopback", "Teredo", "FourToSixMapping" und "Broadcast". |
RemotePort |
int |
TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde. |
RemoteUrl |
Zeichenfolge |
URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde. |
ReportId |
long |
Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
TimeGenerated |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses durch den MDE-Agent auf dem Endpunkt. |
type |
Zeichenfolge |
Der Name der Tabelle. |