| ActionType |
string |
Tipo de actividad que desencadenó el evento. |
| AdditionalFields |
dinámico |
Información adicional sobre la entidad o el evento. |
| AppGuardContainerId |
string |
Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| DeviceId |
string |
Identificador único del dispositivo en el servicio. |
| DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo. |
| InitiatingProcessAccountDomain |
string |
Dominio de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessAccountName |
string |
Nombre de usuario de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessAccountObjectId |
string |
Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso de inicio. |
| InitiatingProcessAccountSid |
string |
Identificador de seguridad (SID) de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessAccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso de inicio. |
| InitiatingProcessCommandLine |
string |
Línea de comandos usada para ejecutar el proceso de inicio. |
| InitiatingProcessCreationTime |
datetime |
Fecha y hora en que se inició el proceso que inició el evento. |
| InitiatingProcessFileName |
string |
Nombre del proceso inicial. |
| InitiatingProcessFileSize |
long |
Tamaño del archivo (bytes) que ejecutó el proceso responsable del evento. |
| InitiatingProcessFolderPath |
string |
Carpeta que contiene el proceso de inicio (archivo de imagen). |
| InitiatingProcessId |
long |
Id. de proceso (PID) del proceso iniciado. |
| InitiatingProcessIntegrityLevel |
string |
Nivel de integridad del proceso inicial. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos. |
| IniciandoProcessMD5 |
string |
Hash MD5 del proceso de inicio (archivo de imagen). |
| InitiatingProcessParentCreationTime |
datetime |
Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
| InitiatingProcessParentFileName |
string |
Nombre del proceso primario que generó el proceso inicial. |
| IniciandoProcessParentId |
long |
Id. de proceso (PID) del proceso primario que generó el proceso de inicio. |
| InitiatingProcessRemoteSessionDeviceName |
string |
Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciador. |
| InitiatingProcessRemoteSessionIP |
string |
Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciado. |
| InitiatingProcessSessionId |
long |
Identificador de sesión de Windows del proceso de inicio. |
| IniciandoProcessSHA1 |
string |
Hash SHA-1 del proceso de inicio (archivo de imagen). |
| IniciandoProcessSHA256 |
string |
Hash SHA-256 del proceso de inicio (archivo de imagen). En algunos casos, es posible que esta columna no se rellene; use la columna InitiatingProcessSHA1 en su lugar. |
| IniciandoProcessTokenElevation |
string |
Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso de inicio. |
| InitiatingProcessVersionInfoCompanyName |
string |
El nombre de la empresa en la información de versión (archivo de imagen) responsable del evento. |
| IniciandoProcessVersionInfoFileDescription |
string |
Descripción de la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoInternalFileName |
string |
Nombre de archivo interno en la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoOriginalFileName |
string |
Nombre de archivo original en la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductName |
string |
Nombre del producto en la información de versión (archivo de imagen) responsable del evento. |
| IniciandoProcessVersionInfoProductVersion |
string |
La versión del producto en la información de la versión (archivo de imagen) responsable del evento. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| IsInitiatingProcessRemoteSession |
bool |
Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false). |
| LocalIP |
string |
Dirección IP asignada al equipo local usado durante la comunicación. |
| LocalIPType |
string |
Tipo de dirección IP, por ejemplo Public, Private, Reserved, Loopback, Teredo, FourToSixMapping y Broadcast. |
| LocalPort |
int |
Puerto TCP en el equipo local usado durante la comunicación. |
| MachineGroup |
string |
Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
| Protocolo |
string |
Protocolo IP usado, ya sea TCP o UDP. |
| RemoteIP |
string |
Dirección IP a la que se estaba conectando. |
| RemoteIPType |
string |
Tipo de dirección IP, por ejemplo Public, Private, Reserved, Loopback, Teredo, FourToSixMapping y Broadcast. |
| RemotePort |
int |
Puerto TCP en el dispositivo remoto al que se estaba conectando. |
| RemoteUrl |
string |
Dirección URL o nombre de dominio completo (FQDN) al que se estaba conectando. |
| ReportId |
long |
Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
| SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| TimeGenerated |
datetime |
Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
| Tipo |
string |
Nombre de la tabla. |