| ActingProcessCommandLine |
string |
Línea de comandos utilizada para ejecutar el proceso de acción. |
| ActingProcessCreationTime |
datetime |
La fecha y hora en que se inició el proceso de acción. |
| ActingProcessFileCompany |
string |
La empresa que creó el archivo de imagen del proceso de acción. |
| ActingProcessFileDescription |
string |
Descripción insertada en la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFileInternalName |
string |
Nombre de archivo interno del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFilename |
string |
Nombre del archivo de producto de la información de versión del archivo de imagen de proceso de acción. |
| ActingProcessFileOriginalName |
string |
Nombre de archivo original del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFileProduct |
string |
Nombre del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessFileSize |
long |
Tamaño del archivo en bytes que ejecutó el proceso de acción. |
| ActingProcessFileVersion |
string |
Versión del producto de la información de la versión del archivo de imagen del proceso de acción. |
| ActingProcessGuid |
string |
GUID del proceso de acción. |
| ActingProcessId |
string |
Identificador de proceso del proceso de acción. |
| ActingProcessIMPHASH |
string |
Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso de acción. |
| ActingProcessInjectedAddress |
string |
Dirección de memoria en la que se almacena el proceso de acción responsable. |
| ActingProcessIntegrityLevel |
string |
Nivel de integridad para el proceso de acción. |
| ActingProcessIsHidden |
bool |
Indicación de si el proceso de acción está en modo oculto. |
| ActingProcessMD5 |
string |
Hash MD5 del archivo de imagen del proceso de acción. |
| ActingProcessName |
string |
Nombre del proceso de acción. |
| ActingProcessSHA1 |
string |
Hash SHA-1 del archivo de imagen del proceso de acción. |
| ActingProcessSHA256 |
string |
Hash SHA-256 del archivo de imagen del proceso de acción. |
| ActingProcessSHA512 |
string |
Hash SHA-512 del archivo de imagen del proceso de acción. |
| ActingProcessTokenElevation |
string |
Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso de acción. |
| ActorOriginalUserType |
string |
Tipo de usuario indicado por el dispositivo de informes. |
| ActorScope |
string |
Ámbito, como el inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| ActorScopeId |
string |
El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen ActorUserId y ActorUsername. |
| ActorSessionId |
string |
Identificador único de la sesión de inicio de sesión del actor. |
| ActorUserId |
string |
Representación única, alfanumérica y legible por máquina del actor. |
| ActorUserIdType |
string |
Tipo del identificador almacenado en el campo ActorUserId. |
| ActorUsername |
string |
Nombre de usuario del actor, incluida la información de dominio cuando esté disponible. |
| ActorUsernameType |
string |
Tipo del nombre de usuario del actor especificado en el campo ActionUsername |
| ActorUserType |
string |
Tipo del actor. |
| AdditionalFields |
dinámico |
Información adicional, representada mediante pares clave y valor proporcionados por el origen que no se asignan a ASim. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| DvcAction |
string |
En el caso de los sistemas de seguridad de informes, la acción realizada por el sistema. |
| DvcDescription |
string |
Texto descriptivo asociado al dispositivo. |
| DvcDomain |
string |
Dominio del dispositivo que informa del evento. |
| DvcDomainType |
string |
Tipo de DvcDomain. Los valores posibles incluyen "Windows" y "FQDN". |
| DvcFQDN |
string |
Nombre de host del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcHostname |
string |
Nombre de host del dispositivo que informa del evento. |
| DvcId |
string |
Identificador único del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcIdType |
string |
Tipo de DvcId. |
| DvcInterface |
string |
Interfaz de red en la que se capturaron los datos. |
| DvcIpAddr |
string |
Dirección IP del dispositivo que informa del evento. |
| DvcMacAddr |
string |
La dirección MAC del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOriginalAction |
string |
El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| DvcOs |
string |
El sistema operativo que se utiliza en el dispositivo en el que se produjo el evento o que informó del evento. |
| DvcOsVersion |
string |
La versión del sistema operativo del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcScope |
string |
Identificador de la suscripción de la plataforma en la nube a la que pertenece el dispositivo. DvcScope se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcScopeId |
string |
Identificador del ámbito de la plataforma en la nube a la que pertenece el dispositivo. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DvcZone |
string |
Red en la que se produjo el evento o que informó del evento. |
| EventCount |
int |
Número de eventos descritos por el registro. |
| EventEndTime |
datetime |
Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventMessage |
string |
Mensaje o descripción general. |
| EventOriginalResultDetails |
string |
Detalles del resultado original proporcionados por el origen. |
| EventOriginalSeverity |
string |
La gravedad del original, como se especifica en el dispositivo de informes. |
| EventOriginalSubType |
string |
El subtipo o identificador del evento original, si lo proporciona el origen. |
| EventOriginalType |
string |
Tipo o Id. del evento original, si lo proporciona el origen. |
| EventOriginalUid |
string |
Id. único del registro original, si lo proporciona el origen. |
| EventOwner |
string |
Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó. |
| EventProduct |
string |
Producto que genera el evento. |
| EventProductVersion |
string |
Versión del producto que genera el evento. |
| EventReportUrl |
string |
Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
| EventResult |
string |
Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails. |
| EventResultDetails |
string |
Motivo o detalles del resultado notificado en el campo EventResult. |
| EventSchemaVersion |
string |
Versión del esquema. |
| EventSeverity |
string |
La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto. |
| EventStartTime |
datetime |
Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventSubType |
string |
Describe una subdivisión de la operación notificada en el campo EventType. |
| EventType |
string |
Describe la operación notificada por el registro. |
| EventVendor |
string |
Proveedor del producto que genera el evento. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| ParentProcessCreationTime |
datetime |
La fecha y hora en que se inició el proceso principal. |
| ParentProcessFileCompany |
string |
Empresa que creó el archivo de imagen de proceso primario. |
| ParentProcessFileDescription |
string |
Descripción de la información de versión del archivo de imagen del proceso primario. |
| ParentProcessFileProduct |
string |
Nombre del producto de la información de versión del archivo de imagen del proceso primario. |
| ParentProcessFileVersion |
string |
Versión del producto a partir de la información de versión del archivo de imagen del proceso primario. |
| ParentProcessGuid |
string |
GUID del proceso primario. |
| ParentProcessId |
string |
Identificador de proceso del proceso primario. |
| ParentProcessIMPHASH |
string |
Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso principal. |
| ParentProcessInjectedAddress |
string |
Dirección de memoria en la que se almacena el proceso principal responsable. |
| ParentProcessIntegrityLevel |
string |
Nivel de integridad para el proceso primario. |
| ParentProcessIsHidden |
bool |
Indicación de si el proceso principal está en modo oculto. |
| ParentProcessMD5 |
string |
Hash MD5 del archivo de imagen del proceso principal. |
| ParentProcessName |
string |
Nombre del proceso principal. |
| ParentProcessSHA1 |
string |
Hash SHA-1 del archivo de imagen del proceso principal. |
| ParentProcessSHA256 |
string |
Hash SHA-256 del archivo de imagen del proceso principal. |
| ParentProcessSHA512 |
string |
Hash SHA-512 del archivo de imagen del proceso principal. |
| ParentProcessTokenElevation |
string |
Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso principal. |
| _ResourceId |
string |
Identificador único del recurso al que está asociado el registro. |
| RuleName |
string |
Nombre o identificador de la regla asociado a los resultados de la inspección. |
| RuleNumber |
int |
Número de la regla asociado a los resultados de la inspección. |
| SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| _SubscriptionId |
string |
Identificador único de la suscripción a la que está asociado el registro. |
| TargetOriginalUserType |
string |
Tipo de usuario indicado por el dispositivo de informes. |
| TargetProcessCommandLine |
string |
Línea de comandos utilizada para ejecutar el proceso de destino. |
| TargetProcessCreationTime |
datetime |
Fecha y hora en que se inició el proceso de destino. |
| TargetProcessCurrentDirectory |
string |
Directorio actual en el que se ejecuta el proceso de destino. |
| TargetProcessFileCompany |
string |
La empresa que creó el archivo de imagen de proceso de destino. |
| TargetProcessFileDescription |
string |
Descripción de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFileInternalName |
string |
Nombre de archivo interno del producto a partir de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFilename |
string |
Nombre del archivo de producto de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFileOriginalName |
string |
Nombre de archivo original del producto a partir de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFileProduct |
string |
Nombre del producto de la información de versión del archivo de imagen del proceso de destino. |
| TargetProcessFileSize |
long |
Tamaño del archivo en bytes que ejecutó el proceso responsable del evento. |
| TargetProcessFileVersion |
string |
Versión del producto de la información de la versión del archivo de imagen del proceso de destino. |
| TargetProcessGuid |
string |
GUID del proceso de destino. |
| TargetProcessId |
string |
Identificador de proceso del proceso de destino. |
| TargetProcessIMPHASH |
string |
Hash de importación de todos los archivos DLL de biblioteca utilizados por el proceso de destino. |
| TargetProcessInjectedAddress |
string |
Dirección de memoria en la que se almacena el proceso de destino responsable. |
| TargetProcessIntegrityLevel |
string |
Nivel de integridad para el proceso de destino. |
| TargetProcessIsHidden |
bool |
Indicación de si el proceso de destino está en modo oculto. |
| TargetProcessMD5 |
string |
Hash MD5 del archivo de imagen del proceso de destino. |
| TargetProcessName |
string |
Nombre del proceso de destino. |
| TargetProcessSHA1 |
string |
Hash SHA-1 del archivo de imagen del proceso de destino. |
| TargetProcessSHA256 |
string |
Hash SHA-256 del archivo de imagen del proceso de destino. |
| TargetProcessSHA512 |
string |
Hash SHA-512 del archivo de imagen del proceso de destino. |
| TargetProcessStatusCode |
string |
El código de salida devuelto por el proceso de destino cuando finaliza. |
| TargetProcessTokenElevation |
string |
Token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso de destino. |
| TargetScope |
string |
Ámbito, como el inquilino de Azure AD, en el que se definen TargetUserId y TargetUsername. |
| TargetScopeId |
string |
El identificador de ámbito, como el identificador de inquilino de Azure AD, en el que se definen TargetUserId y TargetUsername. |
| TargetUserId |
string |
Representación única, alfanumérica y legible por máquina del actor. |
| TargetUserIdType |
string |
Tipo de identificador almacenado en el campo TargetUserId. |
| TargetUsername |
string |
Nombre de usuario del actor de destino, incluida la información de dominio cuando esté disponible. |
| TargetUsernameType |
string |
Tipo del nombre de usuario del actor de destino especificado en el campo TargetUsername |
| TargetUserSessionGuid |
string |
Guid único de la sesión de inicio de sesión del actor de destino. |
| TargetUserSessionId |
string |
Identificador único de la sesión de inicio de sesión del actor de destino. |
| TargetUserType |
string |
Tipo del actor de destino. |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| ThreatCategory |
string |
Categoría de la amenaza o malware identificado en la actividad. |
| ThreatConfidence |
int |
Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatField |
string |
Campo para el que se identificó una amenaza. |
| ThreatFirstReportedTime |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatId |
string |
Identificador de la amenaza o malware identificado en la actividad. |
| ThreatIsActive |
bool |
True ID: la amenaza identificada se considera una amenaza activa. |
| ThreatLastReportedTime |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatName |
string |
Nombre de la amenaza o malware identificado en la actividad. |
| ThreatOriginalConfidence |
string |
El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalRiskLevel |
string |
Nivel de riesgo indicado por el dispositivo de informes. |
| ThreatRiskLevel |
int |
Nivel de riesgo asociado a la amenaza identificada. El nivel debe ser un número entre 0 y 100. |
| TimeGenerated |
datetime |
Marca de tiempo (UTC) que refleja la hora en la que se generó el evento. |
| Tipo |
string |
Nombre de la tabla. |