ActingAppId |
string |
Identificador de la aplicación que se autoriza en nombre del actor, incluido un proceso, un explorador o un servicio. |
ActingAppName |
string |
Nombre de la aplicación que se autoriza en nombre del actor, incluido un proceso, un explorador o un servicio. |
ActingAppType |
string |
Tipo de la aplicación que actúa. |
ActingOriginalAppType |
string |
Tipo de aplicación que actúa según lo notificado por el dispositivo de informes. |
ActorOriginalUserType |
string |
Tipo de usuario indicado por el dispositivo de informes. |
ActorScope |
string |
Ámbito, como el inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
ActorScopeId |
string |
El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
ActorSessionId |
string |
Identificador único de la sesión de inicio de sesión del actor. |
ActorUserId |
string |
Representación única, alfanumérica y legible por máquina del actor. |
ActorUserIdType |
string |
Tipo del identificador almacenado en el campo ActorUserId. |
ActorUsername |
string |
Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. |
ActorUsernameType |
string |
Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. |
ActorUserType |
string |
Tipo del actor. |
AdditionalFields |
dinámico |
Información adicional, representada mediante pares clave-valor proporcionados por el origen que no se asignan a ASim. |
_BilledSize |
real |
Tamaño del registro en bytes |
DvcAction |
string |
En el caso de los sistemas de seguridad de informes, la acción realizada por el sistema. |
DvcDescription |
string |
Texto descriptivo asociado al dispositivo. |
DvcDomain |
string |
Dominio del dispositivo que informa del evento. |
DvcDomainType |
string |
Tipo de DvcDomain. |
DvcFQDN |
string |
Nombre de host del dispositivo en el que se produjo el evento o que informó del evento. |
DvcHostname |
string |
Nombre de host del dispositivo que informa del evento. |
DvcId |
string |
Identificador único del dispositivo en el que se produjo el evento o que informó del evento. |
DvcIdType |
string |
Tipo de DvcId. |
DvcInterface |
string |
Interfaz de red en la que se capturaron los datos. |
DvcIpAddr |
string |
Dirección IP del dispositivo que informa del evento. |
DvcMacAddr |
string |
La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. |
DvcOriginalAction |
string |
El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
DvcOs |
string |
El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. |
DvcOsVersion |
string |
La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. |
DvcScope |
string |
Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
DvcScopeId |
string |
Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
DvcZone |
string |
Red en la que se produjo el evento o que informó del evento. |
EventCount |
int |
Número de eventos descritos por el registro. |
EventEndTime |
datetime |
Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
EventMessage |
string |
Mensaje o descripción general. |
EventOriginalResultDetails |
string |
Detalles del resultado original proporcionados por el origen. |
EventOriginalSeverity |
string |
La gravedad del original, como se especifica en el dispositivo de informes. |
EventOriginalSubType |
string |
El subtipo o identificador del evento original, si lo proporciona el origen. |
EventOriginalType |
string |
Tipo o Id. del evento original, si lo proporciona el origen. |
EventOriginalUid |
string |
Id. único del registro original, si lo proporciona el origen. |
EventOwner |
string |
Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó. |
EventProduct |
string |
Producto que genera el evento. |
EventProductVersion |
string |
Versión del producto que genera el evento. |
EventReportUrl |
string |
Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
EventResult |
string |
Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails. |
EventResultDetails |
string |
Detalles asociados al resultado del evento. Este campo se rellena normalmente cuando el resultado es un error. |
EventSchemaVersion |
string |
Versión del esquema. |
EventSeverity |
string |
La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto. |
EventStartTime |
datetime |
Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
EventSubType |
string |
El tipo de inicio de sesión, por ejemplo System, Interactive, RemoteInteractive, Service, RemoteService, Remote o AssumeRole. |
EventType |
string |
Describe la operación notificada por el registro. |
EventVendor |
string |
Proveedor del producto que genera el evento. |
HttpUserAgent |
string |
Cuando se realiza la autenticación a través de HTTP o HTTPS, el valor de este campo es el encabezado HTTP user_agent proporcionado por la aplicación que actúa al realizar la autenticación. |
_IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
LogonMethod |
string |
Método utilizado para realizar la autenticación. |
LogonProtocol |
string |
Protocolo utilizado para realizar la autenticación. |
_ResourceId |
string |
Identificador único del recurso al que está asociado el registro. |
RuleName |
string |
Nombre o identificador de la regla asociada a los resultados de la inspección. |
RuleNumber |
int |
Número de la regla asociado a los resultados de la inspección. |
SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
SrcDescription |
string |
Texto descriptivo asociado al dispositivo de origen. |
SrcDeviceType |
string |
Tipo del dispositivo de origen. |
SrcDomain |
string |
Dominio del dispositivo de origen. |
SrcDomainType |
string |
Tipo de SrcDomain. |
SrcDvcId |
string |
Identificador del dispositivo de origen. |
SrcDvcIdType |
string |
Tipo de SrcDvcId. |
SrcDvcOs |
string |
Sistema operativo del dispositivo de origen. |
SrcDvcScope |
string |
Ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. SrcDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
SrcDvcScopeId |
string |
El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. SrcDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
SrcFQDN |
string |
Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. |
SrcGeoCity |
string |
Ciudad asociada con la dirección IP de origen. |
SrcGeoCountry |
string |
País asociado con la dirección IP de origen. |
SrcGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de origen. |
SrcGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de origen. |
SrcGeoRegion |
string |
Región de un país asociado con la dirección IP de origen. |
SrcHostname |
string |
Nombre de host del dispositivo de origen, excepto la información de dominio. |
SrcIpAddr |
string |
Dirección IP del dispositivo de origen. |
SrcIsp |
string |
Proveedor de servicios de Internet (ISP) usado por el dispositivo de origen para conectarse a Internet. |
SrcOriginalRiskLevel |
string |
El nivel de riesgo asociado con el origen identificado tal como lo notifica el dispositivo de informes. |
SrcPortNumber |
int |
Puerto IP desde el que se originó la conexión. |
SrcRiskLevel |
int |
Nivel de riesgo asociado al origen identificado. |
_SubscriptionId |
string |
Identificador único de la suscripción a la que está asociado el registro. |
TargetAppId |
string |
Identificador de la aplicación a la que se requiere la autorización, a menudo asignado por el dispositivo de informes. |
TargetAppName |
string |
Nombre de la aplicación para la que se requiere la autorización, incluido un servicio, una dirección URL o una aplicación SaaS. |
TargetAppType |
string |
Tipo de la aplicación que se autoriza en nombre del actor. |
TargetDescription |
string |
Texto descriptivo asociado al dispositivo de destino. |
TargetDeviceType |
string |
Tipo del dispositivo de destino. |
TargetDomain |
string |
Dominio del dispositivo de destino. |
TargetDomainType |
string |
Tipo de TargetDomain. |
TargetDvcId |
string |
Identificador del dispositivo de destino. |
TargetDvcIdType |
string |
Tipo de TargetDvcId. |
TargetDvcOs |
string |
Sistema operativo del dispositivo de destino. |
TargetDvcScope |
string |
Ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. TargetDvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
TargetDvcScopeId |
string |
El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. TargetDvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
TargetFQDN |
string |
Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible. |
TargetGeoCity |
string |
Ciudad asociada con la dirección IP de destino. |
TargetGeoCountry |
string |
País asociado con la dirección IP de destino. |
TargetGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de destino. |
TargetGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de destino. |
TargetGeoRegion |
string |
Región de un país asociado con la dirección IP de destino. |
TargetHostname |
string |
Nombre de host del dispositivo de destino, excepto la información de dominio. |
TargetIpAddr |
string |
Dirección IP del dispositivo de destino. |
TargetOriginalAppType |
string |
Tipo de aplicación de destino notificado por el dispositivo de informes. |
TargetOriginalRiskLevel |
string |
El nivel de riesgo asociado al destino, tal como lo notifica el dispositivo que informa. |
TargetOriginalUserType |
string |
Tipo de usuario indicado por el dispositivo de informes. |
TargetPortNumber |
int |
Puerto del dispositivo de destino. |
TargetRiskLevel |
int |
Nivel de riesgo asociado con el destino. |
TargetSessionId |
string |
Identificador único de la sesión de inicio de sesión del actor de destino. |
TargetUrl |
string |
Dirección URL asociada a la aplicación de destino. |
TargetUserId |
string |
Representación única, alfanumérica y legible por máquina del actor. |
TargetUserIdType |
string |
Tipo de identificador almacenado en el campo TargetUserId. |
TargetUsername |
string |
Nombre de usuario del actor de destino, incluida la información de dominio cuando esté disponible. |
TargetUsernameType |
string |
Tipo del nombre de usuario del actor de destino especificado en el campo TargetUsername |
TargetUserScope |
string |
Ámbito, como el inquilino de Azure AD, en el que se definen TargetUserId y TargetUsername. |
TargetUserScopeId |
string |
El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen TargetUserId y TargetUsername. |
TargetUserType |
string |
Tipo del actor de destino. |
TenantId |
string |
Id. del área de trabajo de Log Analytics |
ThreatCategory |
string |
Categoría de la amenaza o malware identificado en la actividad de auditoría. |
ThreatConfidence |
int |
Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
ThreatField |
string |
Campo para el que se identificó una amenaza. |
ThreatFirstReportedTime |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
ThreatId |
string |
Identificador de la amenaza o del malware identificados en la actividad de auditoría. |
ThreatIpAddr |
string |
Dirección IP para la que se identificó una amenaza. |
ThreatIsActive |
bool |
True si la amenaza identificada se considera una amenaza activa. |
ThreatLastReportedTime |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
ThreatName |
string |
Nombre de la amenaza o del malware identificados en la actividad de auditoría. |
ThreatOriginalConfidence |
string |
El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
ThreatOriginalRiskLevel |
string |
Nivel de riesgo indicado por el dispositivo de informes. |
ThreatRiskLevel |
int |
Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. |
TimeGenerated |
datetime |
Marca de tiempo (UTC) que refleja la hora en la que se generó el evento. |
Tipo |
string |
Nombre de la tabla. |