| AccountDomain |
string |
Dominio de la cuenta. |
| AccountName |
string |
Nombre de usuario de la cuenta. |
| AccountObjectId |
string |
Identificador único de la cuenta en Azure Active Directory. |
| AccountSid |
string |
Identificador de seguridad (SID) de la cuenta. |
| AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta. |
| AdditionalFields |
dinámico |
Información adicional sobre el evento en formato de matriz JSON. |
| AlertId |
string |
Identificador único de la alerta. |
| Application |
string |
Aplicación que realizó la acción grabada. |
| ApplicationId |
int |
Identificador único de la aplicación. |
| AttackTechniques |
string |
Técnicas de MITRE ATT&CK asociadas a la actividad que desencadenó la alerta. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| Categorías |
string |
Lista de categorías a las que pertenece la información, en formato de matriz JSON. |
| DetectionSource |
string |
Tecnología de detección o sensor que identificó el componente o actividad notables. |
| DeviceId |
string |
Identificador único del dispositivo en el servicio. |
| DeviceName |
string |
Nombre de dominio completo (FQDN) de la máquina. |
| EmailSubject |
string |
Asunto del correo electrónico. |
| EntityType |
string |
Tipo de objeto, como un archivo, un proceso, un dispositivo o un usuario. |
| EvidenceDirection |
string |
Indica si la entidad es el origen o el destino de una conexión de red. |
| EvidenceRole |
string |
Cómo participa la entidad en una alerta, lo que indica si se ve afectado o simplemente está relacionado. |
| FileName |
string |
Nombre del archivo al que se aplicó la acción grabada. |
| FileSize |
long |
Tamaño del archivo en bytes. |
| FolderPath |
string |
Carpeta que contiene el archivo al que se aplicó la acción grabada. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable la ingesta no se false factura a su cuenta de Azure |
| LocalIP |
string |
Dirección IP asignada al dispositivo local que se usa durante la comunicación. |
| NetworkMessageId |
string |
Identificador único del correo electrónico, generado por Office 365. |
| OAuthApplicationId |
string |
Identificador único de la aplicación OAuth de terceros. |
| ProcessCommandLine |
string |
Línea de comandos usada para crear el nuevo proceso. |
| RegistryKey |
string |
Clave del Registro a la que se aplicó la acción grabada. |
| RegistryValueData |
string |
Datos del valor del Registro al que se aplicó la acción registrada. |
| RegistryValueName |
string |
Nombre del valor del Registro al que se aplicó la acción grabada. |
| RemoteIP |
string |
Dirección IP a la que se estaba conectando. |
| RemoteUrl |
string |
Dirección URL o nombre de dominio completo (FQDN) al que se estaba conectando. |
| ServiceSource |
string |
Producto o servicio que proporcionó la información de alerta. |
| SHA1 |
string |
SHA-1 del archivo al que se aplicó la acción grabada. |
| SHA256 |
string |
SHA-256 del archivo al que se aplicó la acción grabada. Normalmente, este campo no se rellena con la columna SHA1 cuando está disponible. |
| SourceSystem |
string |
Tipo de agente por el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Diagnósticos de Azure |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| ThreatFamily |
string |
Familia de malware en la que se ha clasificado el archivo o proceso sospechoso o malintencionado. |
| TimeGenerated |
datetime |
Fecha y hora (UTC) cuando se generó el registro. |
| Título |
string |
Título de la alerta. |
| Tipo |
string |
Nombre de la tabla. |