| AccountDomain |
string |
Domaine du compte. |
| AccountName |
string |
Nom d’utilisateur du compte. |
| AccountObjectId |
string |
Identificateur unique du compte dans Azure Active Directory. |
| AccountSid |
string |
Identificateur de sécurité (SID) du compte. |
| AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte. |
| AdditionalFields |
dynamic |
Informations supplémentaires sur l’événement au format de tableau JSON. |
| AlertId |
string |
Identificateur unique de l’alerte. |
| Application |
string |
Application qui a effectué l’action enregistrée. |
| ApplicationId |
int |
Identificateur unique de l’application. |
| AttackTechniques |
string |
Techniques MITRE ATT&CK associées à l’activité qui a déclenché l’alerte. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| Catégories |
string |
Liste des catégories auxquelles les informations appartiennent, au format de tableau JSON. |
| DetectionSource |
string |
Technologie ou capteur de détection qui a identifié le composant ou l’activité notables. |
| DeviceId |
string |
Identificateur unique de l’appareil dans le service. |
| DeviceName |
string |
Nom de domaine complet (FQDN) de l’ordinateur. |
| EmailSubject |
string |
Objet de l’e-mail. |
| EntityType |
string |
Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur. |
| EvidenceDirection |
string |
Indique si l’entité est la source ou la destination d’une connexion réseau. |
| EvidenceRole |
string |
Comment l’entité est impliquée dans une alerte, indiquant si elle est affectée ou est simplement liée. |
| FileName |
string |
Nom du fichier auquel l’action enregistrée a été appliquée. |
| FileSize |
long |
Taille du fichier en octets. |
| FolderPath |
string |
Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| LocalIP |
string |
Adresse IP affectée à l’appareil local utilisé pendant la communication. |
| NetworkMessageId |
string |
Identificateur unique de l’e-mail généré par Office 365. |
| OAuthApplicationId |
string |
Identificateur unique de l’application OAuth tierce. |
| ProcessCommandLine |
string |
Ligne de commande utilisée pour créer le nouveau processus. |
| RegistryKey |
string |
Clé de Registre à laquelle l’action enregistrée a été appliquée. |
| RegistryValueData |
string |
Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
| RegistryValueName |
string |
Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
| RemoteIP |
string |
Adresse IP à laquelle il était connecté. |
| RemoteUrl |
string |
URL ou nom de domaine complet (FQDN) connecté. |
| ServiceSource |
string |
Produit ou service qui a fourni les informations d’alerte. |
| SHA1 |
string |
SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 |
string |
SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli et n’utilise généralement pas la colonne SHA1 lorsqu’il est disponible. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| ThreatFamily |
string |
Famille de programmes malveillants dont le fichier ou le processus suspect ou malveillant a été classé sous. |
| TimeGenerated |
DATETIME |
Date et heure (UTC) de la génération de l’enregistrement. |
| Titre |
string |
Titre de l’alerte. |
| Type |
string |
Le nom de la table |