ActionType |
string |
Tipo de actividad que desencadenó el evento. |
AdditionalFields |
dinámico |
Información adicional sobre la entidad o el evento. |
AppGuardContainerId |
string |
Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador. |
_BilledSize |
real |
Tamaño del registro en bytes |
DeviceId |
string |
Identificador único del dispositivo en el servicio. |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo. |
FileName |
string |
Nombre del archivo al que se aplicó la acción grabada. |
FileOriginIP |
string |
Dirección IP desde la que se descargó el archivo. |
FileOriginReferrerUrl |
string |
Dirección URL de la página web que se vincula al archivo descargado. |
FileOriginUrl |
string |
Dirección URL desde la que se descargó el archivo. |
FileSize |
long |
Tamaño del archivo en bytes. |
FolderPath |
string |
Carpeta que contiene el archivo al que se aplicó la acción grabada. |
InitProcessAccountDomain |
string |
Dominio de la cuenta que ejecutó el proceso responsable del evento. |
InitProcessAccountName |
string |
Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento. |
InitProcessAccountObjectId |
string |
Identificador de objeto de Azure AD de la cuenta de usuario que ejecutó el proceso responsable del evento. |
InitProcessAccountSid |
string |
Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento. |
InitProcessAccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento. |
InitProcessCommandLine |
string |
Línea de comandos usada para ejecutar el proceso que inició el evento. |
InitProcessCreationTime |
datetime |
Fecha y hora en que se inició el proceso que inició el evento. |
InitProcessFileName |
string |
Nombre del proceso que inició el evento. |
InitProcessFileSize |
long |
Tamaño en bytes del proceso (archivo de imagen) que inició el evento. |
InitProcessFolderPath |
string |
Carpeta que contiene el proceso (archivo de imagen) que inició el evento. |
InitProcessId |
long |
Id. de proceso (PID) del proceso que inició el evento. |
InitProcessIntegrityLevel |
string |
Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de determinadas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos para los recursos. |
InitProcessMD5 |
string |
Hash MD5 del proceso (archivo de imagen) que inició el evento. |
InitProcessParentCreationTime |
datetime |
Fecha y hora en que se inició el elemento primario del proceso responsable del evento. |
InitProcessParentFileName |
string |
Nombre del proceso primario que generó el proceso responsable del evento. |
InitProcessParentId |
long |
Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento. |
InitProcessSHA1 |
string |
Hash SHA-1 del proceso (archivo de imagen) que inició el evento. |
InitProcessSHA256 |
string |
Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible. |
InitProcessTokenElevation |
string |
Tipo de token que indica la presencia o ausencia de elevación de privilegios de Control de acceso de usuario (UAC) aplicada al proceso que inició el evento. |
InitProcessVersionInfoCompanyName |
string |
Nombre de la empresa a partir de la información de versión del proceso (archivo de imagen) responsable del evento. |
InitProcessVersionInfoFileDescription |
string |
Descripción de la información de versión del proceso (archivo de imagen) responsable del evento. |
InitProcessVersionInfoInternalFileName |
string |
Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento. |
InitProcessVersionInfoOriginalFileName |
string |
Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento. |
InitProcessVersionInfoProductName |
string |
Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento. |
InitProcessVersionInfoProductVersion |
string |
Versión del producto de la información de versión del proceso (archivo de imagen) responsable del evento. |
IsAzureInfoProtectionApplied |
bool |
Indica si azure Information Protection cifra el archivo. |
_IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
MachineGroup |
string |
Grupo de máquinas de la máquina. El control de acceso basado en rol usa este grupo para determinar el acceso a la máquina. |
MD5 |
string |
Hash MD5 del archivo al que se aplicó la acción grabada. |
PreviousFileName |
string |
Nombre original del archivo cuyo nombre se cambió como resultado de la acción. |
PreviousFolderPath |
string |
Carpeta original que contiene el archivo antes de aplicar la acción grabada. |
ReportId |
long |
Identificador de evento basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas ComputerName y EventTime. |
RequestAccountDomain |
string |
Dominio de la cuenta usada para iniciar de forma remota la actividad. |
RequestAccountName |
string |
Nombre de usuario de la cuenta usada para iniciar la actividad de forma remota. |
RequestAccountSid |
string |
Identificador de seguridad (SID) de la cuenta usada para iniciar de forma remota la actividad. |
RequestProtocol |
string |
Protocolo de red, si procede, usado para iniciar la actividad: Desconocido, Local, SMB o NFS. |
RequestSourceIP |
string |
Dirección IPv4 o IPv6 del dispositivo remoto que inició la actividad. |
RequestSourcePort |
int |
Puerto de origen en el dispositivo remoto que inició la actividad. |
SensitivityLabel |
string |
Etiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información. |
SensitivitySubLabel |
string |
Subetiqueta aplicada a un correo electrónico, archivo u otro contenido para clasificarlo para la protección de la información; las subetiquetas de sensibilidad se agrupan bajo etiquetas de confidencialidad, pero se tratan de forma independiente. |
SHA1 |
string |
Hash SHA-1 del archivo al que se aplicó la acción grabada. |
SHA256 |
string |
SHA-256 del archivo al que se aplicó la acción grabada. |
ShareName |
string |
Nombre de la carpeta compartida que contiene el archivo. |
SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
TenantId |
string |
Id. del área de trabajo de Log Analytics |
TimeGenerated |
datetime |
Fecha y hora en que el agente de MDE registró el evento en el punto de conexión. |
Tipo |
string |
Nombre de la tabla. |