| AccountDomain |
Zeichenfolge |
Domäne des Kontos. |
| AccountName |
Zeichenfolge |
Benutzername des Kontos. |
| AccountObjectId |
Zeichenfolge |
Eindeutiger Bezeichner für das Konto in Azure AD. |
| AccountSid |
Zeichenfolge |
Sicherheits-ID (SID) des Kontos. |
| AccountUpn |
Zeichenfolge |
Benutzerprinzipalname (UPN) des Kontos. |
| ActionType |
Zeichenfolge |
Typ der Aktivität, die das Ereignis ausgelöst hat. |
| AdditionalFields |
dynamisch |
Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId |
Zeichenfolge |
Bezeichner für den virtualisierten Container, der von Application Guard verwendet wird, um Browseraktivitäten zu isolieren. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| CreatedProcessSessionId |
long |
Windows-Sitzungs-ID des erstellten Prozesses. |
| DeviceId |
Zeichenfolge |
Eindeutiger Bezeichner für das Gerät im Dienst. |
| DeviceName |
Zeichenfolge |
Vollqualifizierter Domänenname (FQDN) des Geräts. |
| FileName |
Zeichenfolge |
Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| FileSize |
long |
Die Länge der Datei in Bytes. |
| FolderPath |
Zeichenfolge |
Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| InitiatingProcessAccountDomain |
Zeichenfolge |
Domäne des Kontos, das den für das Ereignis zuständigen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountName |
Zeichenfolge |
Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountObjectId |
Zeichenfolge |
Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountSid |
Zeichenfolge |
Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountUpn |
Zeichenfolge |
Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessCommandLine |
Zeichenfolge |
Befehlszeile zum Ausführen des Prozesses, der das Ereignis initiiert hat. |
| Initiieren vonProcessCreationTime |
datetime |
Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| InitiatingProcessFileName |
Zeichenfolge |
Name des Prozesses, der das Ereignis initiiert hat. |
| Initiieren vonProcessFileSize |
long |
Die Größe der Datei (Bytes), die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessFolderPath |
Zeichenfolge |
Ordner mit dem Prozess (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessId |
long |
Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
| Initiieren vonProcessIntegrityLevel |
Zeichenfolge |
Integritätsebene des Prozesses, der das Ereignis initiiert hat. Windows weist Prozessen Auf der Grundlage bestimmter Merkmale Integritätsstufen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen wirken sich auf Berechtigungen für Ressourcen aus. |
| InitiatingProcessLogonId |
long |
Bezeichner für eine Anmeldesitzung des Prozesses, der das Ereignis initiiert hat. Dieser Bezeichner ist nur auf demselben Computer zwischen Neustarts eindeutig. |
| InitiatingProcessMD5 |
Zeichenfolge |
MD5-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| Initiieren vonProcessParentCreationTime |
datetime |
Datum und Uhrzeit, zu dem das übergeordnete Element des Prozesses, der für das Ereignis verantwortlich ist, gestartet wurde. |
| InitiatingProcessParentFileName |
Zeichenfolge |
Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess durchsucht hat. |
| Initiieren vonProcessParentId |
long |
Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess durchsucht hat. |
| InitiatingProcessRemoteSessionDeviceName |
Zeichenfolge |
Gerätename des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| Initiieren vonProcessRemoteSessionIP |
Zeichenfolge |
IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| Initiieren vonProcessSessionId |
long |
Windows-Sitzungs-ID des initiierenden Prozesses. |
| Initiieren vonProcessSHA1 |
Zeichenfolge |
SHA-1-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessSHA256 |
Zeichenfolge |
SHA-256-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. In einigen Fällen wird diese Spalte möglicherweise nicht aufgefüllt . Verwenden Sie stattdessen die Spalte "InitiatingProcessSHA1". |
| InitiatingProcessSignatureStatus |
Zeichenfolge |
Informationen zum Signaturstatus des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessSignerType |
Zeichenfolge |
Typ des Datei signierers des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| Initiieren vonProcessTokenElevation |
Zeichenfolge |
Tokentyp, der angibt, dass die Rechteerweiterung der Benutzerzugriffssteuerung (User Access Control, UAC) auf den Prozess angewendet wird, der das Ereignis initiiert hat. |
| InitiatingProcessVersionInfoCompanyName |
Zeichenfolge |
Der Firmenname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoFileDescription |
Zeichenfolge |
Die Beschreibung in Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich sind. |
| InitiatingProcessVersionInfoInternalFileName |
Zeichenfolge |
Der interne Dateiname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoOriginalFileName |
Zeichenfolge |
Der ursprüngliche Dateiname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoProductName |
Zeichenfolge |
Der Produktname in Versionsinformationen (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoProductVersion |
Zeichenfolge |
Die Produktversion in Versionsinformationen (Bilddatei), die für das Ereignis verantwortlich ist. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsInitiatingProcessRemoteSession |
bool |
Gibt an, ob der Initiierenvorgang unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
| IsProcessRemoteSession |
bool |
Gibt an, ob der erstellte Prozess unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
| LogonId |
long |
Bezeichner für eine Anmeldesitzung. Dieser Bezeichner ist nur auf demselben Computer zwischen Neustarts eindeutig. |
| MachineGroup |
Zeichenfolge |
Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| MD5 |
Zeichenfolge |
MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| ProcessCommandLine |
Zeichenfolge |
Befehlszeile zum Erstellen des neuen Prozesses. |
| ProcessCreationTime |
datetime |
Datum und Uhrzeit der Erstellung des Prozesses. |
| ProcessId |
long |
Prozess-ID (PID) des neu erstellten Prozesses. |
| ProcessIntegrityLevel |
Zeichenfolge |
Integritätsebene des neu erstellten Prozesses. Windows weist Prozessen Integritätsebenen basierend auf bestimmten Merkmalen zu, z. B. wenn sie aus einem heruntergeladenen Internet gestartet wurden. Diese Integritätsstufen wirken sich auf Berechtigungen für Ressourcen aus. |
| ProcessRemoteSessionDeviceName |
Zeichenfolge |
Gerätename des Remotegeräts, von dem die RDP-Sitzung des erstellten Prozesses initiiert wurde. |
| ProcessRemoteSessionIP |
Zeichenfolge |
IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des erstellten Prozesses initiiert wurde. |
| ProcessTokenElevation |
Zeichenfolge |
Tokentyp, der angibt, dass die Rechteerweiterung der Benutzerzugriffssteuerung (User Access Control, UAC) auf den neu erstellten Prozess angewendet wird oder nicht vorhanden ist. |
| ProcessVersionInfoCompanyName |
Zeichenfolge |
Firmenname aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoFileDescription |
Zeichenfolge |
Beschreibung aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoInternalFileName |
Zeichenfolge |
Interner Dateiname aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoOriginalFileName |
Zeichenfolge |
Der ursprüngliche Dateiname aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoProductName |
Zeichenfolge |
Produktname aus den Versionsinformationen des neu erstellten Prozesses. |
| ProcessVersionInfoProductVersion |
Zeichenfolge |
Produktversion aus den Versionsinformationen des neu erstellten Prozesses. |
| ReportId |
long |
Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| SHA1 |
Zeichenfolge |
SHA-1-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SHA256 |
Zeichenfolge |
SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses durch den MDE-Agent auf dem Endpunkt. |
| type |
Zeichenfolge |
Der Name der Tabelle. |