| ActingProcessCommandLine |
string |
Línea de comandos utilizada para ejecutar el proceso de acción. |
| ActingProcessGuid |
string |
Identificador único (GUID) generado del proceso de acción. |
| ActingProcessId |
string |
Identificador de proceso (PID) del proceso de acción. |
| ActingProcessName |
string |
Nombre del proceso de acción. |
| ActorOriginalUserType |
string |
El tipo de usuario de actor original proporcionado por el dispositivo de informes. |
| ActorScope |
string |
Ámbito, como el inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| ActorScopeId |
string |
Identificador del ámbito, como el identificador de directorio de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| ActorSessionId |
string |
Identificador único de la sesión de inicio de sesión de Actor. |
| ActorUserAadId |
string |
Identificador de Azure Active Directory del actor. |
| ActorUserId |
string |
Representación única, alfanumérica y legible por máquina del actor. |
| ActorUserIdType |
string |
Tipo del identificador almacenado en el campo ActorUserId. |
| ActorUsername |
string |
Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. |
| ActorUsernameType |
string |
Especifica el tipo de nombre de usuario almacenado en el campo ActorUsername. |
| ActorUserSid |
string |
Identificador de usuario (SID) de Windows del actor. |
| ActorUserType |
string |
Tipo de actor. |
| AdditionalFields |
dinámico |
Información adicional, representada mediante pares clave-valor proporcionados por el origen que no se asignan a ASim. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| DvcAction |
string |
Acción realizada en la sesión web. |
| DvcDescription |
string |
Texto descriptivo asociado al dispositivo. |
| DvcDomain |
string |
Dominio del dispositivo que informa del evento. |
| DvcDomainType |
string |
Tipo de DvcDomain. Los valores válidos incluyen "Windows" y "FQDN". |
| DvcFQDN |
string |
Nombre de host del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcHostname |
string |
Nombre de host del dispositivo que informa del evento. |
| DvcId |
string |
Identificador único del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcIdType |
string |
Tipo de DvcId. |
| DvcInterface |
string |
El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| DvcIpAddr |
string |
Dirección IP del dispositivo que informa del evento. |
| DvcMacAddr |
string |
La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOriginalAction |
string |
El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| DvcOs |
string |
El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOsVersion |
string |
La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcScope |
string |
Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un nombre de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcScopeId |
string |
Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcZone |
string |
La red en la que se produjo el evento o en la que se informó del evento, según el esquema. |
| EventCount |
int |
Este valor se usa cuando el origen admite agregación y un único registro puede representar varios eventos. |
| EventEndTime |
datetime |
Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventMessage |
string |
Mensaje o descripción general. |
| EventOriginalResultDetails |
string |
Detalles del resultado original proporcionados por el origen. Este valor se usa para derivar EventResultDetails, que solo debe tener uno de los valores documentados para cada esquema. |
| EventOriginalSeverity |
string |
La gravedad del original, como se especifica en el dispositivo de informes. Este valor se usa para derivar EventSeverity. |
| EventOriginalSubType |
string |
El subtipo o identificador del evento original, si lo proporciona el origen. Por ejemplo, este campo se usará para almacenar el tipo de inicio de sesión de Windows original. Este valor se usa para derivar EventSubType, que solo debe tener uno de los valores documentados para cada esquema. |
| EventOriginalType |
string |
Tipo o Id. del evento original, si lo proporciona el origen. |
| EventOriginalUid |
string |
Id. único del registro original, si lo proporciona el origen. |
| EventOwner |
string |
Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó. |
| EventProduct |
string |
Producto que genera el evento. |
| EventProductVersion |
string |
Versión del producto que genera el evento. |
| EventReportUrl |
string |
Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
| EventResult |
string |
Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails. |
| EventResultDetails |
string |
El código de estado HTTP. |
| EventSchema |
string |
Esquema para el que se normaliza el evento. Cada esquema documenta su nombre de esquema. |
| EventSchemaVersion |
string |
Versión del esquema. |
| EventSeverity |
string |
La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto. |
| EventStartTime |
datetime |
Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventSubType |
string |
Descripción adicional del tipo de evento, si procede. |
| EventType |
string |
Operación notificada por el registro. |
| EventVendor |
string |
Proveedor del producto que genera el evento. |
| HashType |
string |
Tipo de hash almacenado en el campo Alias hash. |
| HttpUserAgent |
string |
Cuando se inicia la operación mediante HTTP o HTTPS, el encabezado del agente de usuario HTTP. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| NetworkApplicationProtocol |
string |
Cuando un sistema remoto inicia la operación, el protocolo de capa de aplicación utilizado por la conexión o la sesión. |
| _ResourceId |
string |
Identificador único del recurso al que está asociado el registro. |
| RuleName |
string |
Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber |
int |
Número de la regla asociado a los resultados de la inspección. |
| SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SrcDescription |
string |
Texto descriptivo asociado al dispositivo. |
| SrcDeviceType |
string |
Tipo del dispositivo de origen. |
| SrcDomain |
string |
Dominio del dispositivo de origen. |
| SrcDomainType |
string |
Tipo de SrcDomain. |
| SrcDvcId |
string |
Identificador del dispositivo de origen. |
| SrcDvcIdType |
string |
Tipo de SrcDvcId. |
| SrcDvcScope |
string |
Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. |
| SrcDvcScopeId |
string |
Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. |
| SrcFileCreationTime |
datetime |
Hora a la que se creó el archivo de origen. |
| SrcFileDirectory |
string |
Carpeta o ubicación del archivo de origen. |
| SrcFileExtension |
string |
Extensión del archivo de origen. |
| SrcFileMD5 |
string |
Hash MD5 del archivo de origen. |
| SrcFileMimeType |
string |
Tipo Mime o tipo de elemento multimedia del archivo de origen. |
| SrcFileName |
string |
Nombre del archivo de origen, sin una ruta de acceso o una ubicación, pero con una extensión si procede. |
| SrcFilePath |
string |
Ruta de acceso completa y normalizada del archivo de origen, incluida la carpeta o ubicación, el nombre de archivo y la extensión. |
| SrcFilePathType |
string |
Tipo del campo SrcFilePath. |
| SrcFileSHA1 |
string |
Hash SHA-1 del archivo de origen. |
| SrcFileSHA256 |
string |
Hash SHA-256 del archivo de origen. |
| SrcFileSHA512 |
string |
Hash SHA-512 del archivo de origen. |
| SrcFileSize |
long |
Tamaño del archivo de origen en bytes. |
| SrcFQDN |
string |
Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. |
| SrcGeoCity |
string |
Ciudad asociada con la dirección IP de origen. |
| SrcGeoCountry |
string |
País asociado con la dirección IP de origen. |
| SrcGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoRegion |
string |
Región de un país asociado con la dirección IP de origen. |
| SrcHostname |
string |
Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, almacene la dirección IP correspondiente en este campo. |
| SrcIpAddr |
string |
Cuando un sistema remoto inicia la operación, representa la dirección IP de este sistema. |
| SrcMacAddr |
string |
Dirección MAC del dispositivo de origen. |
| SrcOriginalRiskLevel |
string |
Nivel de riesgo asociado con el origen. Según lo notificado por el dispositivo de informes o enriquecido. |
| SrcPortNumber |
int |
Cuando un sistema remoto inicia la operación, el número de puerto desde el que se inició la conexión. |
| SrcRiskLevel |
int |
Nivel de riesgo asociado con el origen. |
| _SubscriptionId |
string |
Identificador único de la suscripción a la que está asociado el registro. |
| TargetAppId |
string |
Identificador de la aplicación de destino, como se indica en el dispositivo de informes. |
| TargetAppName |
string |
Nombre de la aplicación de destino. |
| TargetAppType |
string |
Tipo de la aplicación de destino. |
| TargetFileCreationTime |
datetime |
Hora en la que se creó el archivo de origen. |
| TargetFileDirectory |
string |
Carpeta o ubicación del archivo de destino. |
| TargetFileExtension |
string |
Extensión del archivo de destino. |
| TargetFileMD5 |
string |
Hash MD5 del archivo de destino. |
| TargetFileMimeType |
string |
Tipo Mime o Media del archivo de destino. |
| TargetFileName |
string |
Nombre del archivo de destino, sin una ruta de acceso o una ubicación, pero con una extensión si procede. |
| TargetFilePath |
string |
Ruta de acceso completa y normalizada del archivo de destino, incluida la carpeta o ubicación, el nombre de archivo y la extensión. |
| TargetFilePathType |
string |
Tipo del campo TargetFilePath. |
| TargetFileSHA1 |
string |
Hash SHA-1 del archivo de destino. |
| TargetFileSHA256 |
string |
Hash SHA-256 del archivo de destino. |
| TargetFileSHA512 |
string |
Hash SHA-512 del archivo de origen. |
| TargetFileSize |
long |
Tamaño del archivo de destino en bytes. |
| TargetOriginalAppType |
string |
Tipo de aplicación de destino notificado por el dispositivo de informes. |
| TargetUrl |
string |
Cuando la operación se inicia mediante HTTP o HTTPS, se usa la dirección URL. |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| ThreatCategory |
string |
Categoría de la amenaza o del malware identificados en la actividad del archivo. |
| ThreatConfidence |
int |
Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatField |
string |
Campo para el que se identificó una amenaza. El valor es SrcFilePath o DstFilePath. |
| ThreatFilePath |
string |
Ruta de acceso del archivo para el que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatFilePath que representa. |
| ThreatFirstReportedTime |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatId |
string |
Identificador de la amenaza o del malware identificados en la actividad del archivo. |
| ThreatIsActive |
bool |
True ID: la amenaza identificada se considera una amenaza activa. |
| ThreatLastReportedTime |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatName |
string |
Nombre de la amenaza o del malware identificados en la actividad del archivo. |
| ThreatOriginalConfidence |
string |
El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalRiskLevel |
string |
Nivel de riesgo indicado por el dispositivo de informes. |
| ThreatRiskLevel |
int |
Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. |
| TimeGenerated |
datetime |
Marca de tiempo que refleja la hora en la que se generó el evento. |
| Tipo |
string |
Nombre de la tabla. |