| AccountDomain |
string |
Dominio de la cuenta. |
| AccountName |
string |
Nombre de usuario de la cuenta. |
| AccountObjectId |
string |
Identificador único de la cuenta en Azure AD. |
| AccountSid |
string |
Identificador de seguridad (SID) de la cuenta. |
| AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta. |
| ActionType |
string |
Tipo de actividad que desencadenó el evento. |
| AdditionalFields |
dinámico |
Información adicional sobre la entidad o el evento. |
| AppGuardContainerId |
string |
Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| CreatedProcessSessionId |
long |
Identificador de sesión de Windows del proceso creado. |
| DeviceId |
string |
Identificador único del dispositivo en el servicio. |
| DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo. |
| FileName |
string |
Nombre del archivo al que se aplicó la acción grabada. |
| FileSize |
long |
Tamaño del archivo en bytes. |
| FolderPath |
string |
Carpeta que contiene el archivo al que se aplicó la acción grabada. |
| InitiatingProcessAccountDomain |
string |
Dominio de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountName |
string |
Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountObjectId |
string |
Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountSid |
string |
Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessAccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento. |
| InitiatingProcessCommandLine |
string |
Línea de comandos usada para ejecutar el proceso que inició el evento. |
| InitiatingProcessCreationTime |
datetime |
Fecha y hora en que se inició el proceso que inició el evento. |
| InitiatingProcessFileName |
string |
Nombre del proceso que inició el evento. |
| InitiatingProcessFileSize |
long |
Tamaño del archivo (bytes) que ejecutó el proceso responsable del evento. |
| InitiatingProcessFolderPath |
string |
Carpeta que contiene el proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessId |
long |
Id. de proceso (PID) del proceso que inició el evento. |
| InitiatingProcessIntegrityLevel |
string |
Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos. |
| InitiatingProcessLogonId |
long |
Identificador de una sesión de inicio de sesión del proceso que inició el evento. Este identificador es único en la misma máquina solo entre restarts.. |
| IniciandoProcessMD5 |
string |
Hash MD5 del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessParentCreationTime |
datetime |
Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
| InitiatingProcessParentFileName |
string |
Nombre del proceso primario que generó el proceso responsable del evento. |
| IniciandoProcessParentId |
long |
Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento. |
| InitiatingProcessRemoteSessionDeviceName |
string |
Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciador. |
| InitiatingProcessRemoteSessionIP |
string |
Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso iniciado. |
| InitiatingProcessSessionId |
long |
Identificador de sesión de Windows del proceso de inicio. |
| IniciandoProcessSHA1 |
string |
Hash SHA-1 del proceso (archivo de imagen) que inició el evento. |
| IniciandoProcessSHA256 |
string |
Hash SHA-256 del proceso (archivo de imagen) que inició el evento. En algunos casos, es posible que esta columna no se rellene; use la columna InitiatingProcessSHA1 en su lugar. |
| InitiatingProcessSignatureStatus |
string |
Información sobre el estado de firma del proceso (archivo de imagen) que inició el evento. |
| InitiatingProcessSignerType |
string |
Tipo de firmante de archivo del proceso (archivo de imagen) que inició el evento. |
| IniciandoProcessTokenElevation |
string |
Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que inició el evento. |
| InitiatingProcessVersionInfoCompanyName |
string |
El nombre de la empresa en la información de versión (archivo de imagen) responsable del evento. |
| IniciandoProcessVersionInfoFileDescription |
string |
Descripción de la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoInternalFileName |
string |
Nombre de archivo interno en la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoOriginalFileName |
string |
Nombre de archivo original en la información de versión (archivo de imagen) responsable del evento. |
| InitiatingProcessVersionInfoProductName |
string |
Nombre del producto en la información de versión (archivo de imagen) responsable del evento. |
| IniciandoProcessVersionInfoProductVersion |
string |
La versión del producto en la información de la versión (archivo de imagen) responsable del evento. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| IsInitiatingProcessRemoteSession |
bool |
Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false). |
| IsProcessRemoteSession |
bool |
Indica si el proceso creado se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false). |
| LogonId |
long |
Identificador de una sesión de inicio de sesión. Este identificador es único en la misma máquina solo entre reinicios. |
| MachineGroup |
string |
Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
| MD5 |
string |
Hash MD5 del archivo al que se aplicó la acción grabada. |
| ProcessCommandLine |
string |
Línea de comandos usada para crear el nuevo proceso. |
| ProcessCreationTime |
datetime |
Fecha y hora en que se creó el proceso. |
| ProcessId |
long |
Id. de proceso (PID) del proceso recién creado. |
| ProcessIntegrityLevel |
string |
Nivel de integridad del proceso recién creado. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos. |
| ProcessRemoteSessionDeviceName |
string |
Nombre del dispositivo remoto desde el que se inició la sesión RDP del proceso creado. |
| ProcessRemoteSessionIP |
string |
Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso creado. |
| ProcessTokenElevation |
string |
Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso recién creado. |
| ProcessVersionInfoCompanyName |
string |
Nombre de la compañía a partir de la información de versión del proceso recién creado. |
| ProcessVersionInfoFileDescription |
string |
Descripción de la información de versión del proceso recién creado. |
| ProcessVersionInfoInternalFileName |
string |
Nombre de archivo interno de la información de versión del proceso recién creado. |
| ProcessVersionInfoOriginalFileName |
string |
Nombre de archivo original de la información de versión del proceso recién creado. |
| ProcessVersionInfoProductName |
string |
Nombre del producto a partir de la información de versión del proceso recién creado. |
| ProcessVersionInfoProductVersion |
string |
Versión del producto a partir de la información de versión del proceso recién creado. |
| ReportId |
long |
Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
| SHA1 |
string |
Hash SHA-1 del archivo al que se aplicó la acción grabada. |
| SHA256 |
string |
SHA-256 del archivo al que se aplicó la acción grabada. |
| SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| TimeGenerated |
datetime |
Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
| Tipo |
string |
Nombre de la tabla. |