| ActingAppId |
string |
ID de l’application effectuant l’autorisation pour le compte de l’intervenant, y compris un processus, un navigateur ou un service. |
| ActingAppName |
string |
Nom de l’application effectuant l’autorisation pour le compte de l’intervenant, y compris un processus, un navigateur ou un service. |
| ActingAppType |
string |
Type de l’application agissante. |
| ActingOriginalAppType |
string |
Type d’application agissant comme indiqué par l’appareil de création de rapports. |
| ActorOriginalUserType |
string |
Type d’utilisateur signalé par le dispositif de reporting. |
| ActorScope |
string |
L’étendue, par exemple l’abonné Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorScopeId |
string |
ID d’étendue, tel que l’ID de locataire Azure AD, dans lequel ActorUserId et ActorUsername sont définis. |
| ActorSessionId |
string |
ID unique de la session de connexion de l’intervenant. |
| ActorUserId |
string |
Représentation unique, alphanumérique et lisible par l’ordinateur de l’acteur. |
| ActorUserIdType |
string |
Type de l’ID stocké dans le champ ActorUserId. |
| ActorUsername |
string |
Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’il est disponible. |
| ActorUsernameType |
string |
Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. |
| ActorUserType |
string |
Type de l’intervenant. |
| AdditionalFields |
dynamic |
Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| DvcAction |
string |
Pour les systèmes de sécurité de création de rapports, l’action effectuée par le système. |
| DvcDescription |
string |
Obtient le texte descriptif associé à l’appareil. |
| DvcDomain |
string |
Domaine de l’appareil signalant l’événement. |
| DvcDomainType |
string |
Type de DvcDomain. |
| DvcFQDN |
string |
Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname |
string |
Nom d’hôte de l’appareil signalant l’événement. |
| DvcId |
string |
ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType |
string |
Type de DvcId. |
| DvcInterface |
string |
Interface réseau sur laquelle les données ont été capturées. |
| DvcIpAddr |
string |
Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr |
string |
L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOriginalAction |
string |
Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs |
string |
Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOsVersion |
string |
La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcScope |
string |
Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId |
string |
ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone |
string |
Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| EventCount |
int |
Nombre d’événements décrits par l’enregistrement. |
| EventEndTime |
DATETIME |
Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventMessage |
string |
Message général ou description. |
| EventOriginalResultDetails |
string |
Détails des résultats d’origine fournis par la source. |
| EventOriginalSeverity |
string |
La gravité d’origine, telle que fournie par l’appareil de reporting. |
| EventOriginalSubType |
string |
Sous-type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalType |
string |
Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid |
string |
ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| EventOwner |
string |
Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct |
string |
Produit générant l’événement. |
| EventProductVersion |
string |
Version du produit générant l’événement. |
| EventReportUrl |
string |
URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| EventResult |
string |
Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| EventResultDetails |
string |
Détails associés au résultat de l’événement. Ce champ est généralement rempli lorsque le résultat est un échec. |
| EventSchemaVersion |
string |
Version du schéma. |
| EventSeverity |
string |
La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| EventStartTime |
DATETIME |
Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventSubType |
string |
Type de connexion, par exemple System, Interactive, RemoteInteractive, Service, RemoteService, Remote Ou AssumeRole. |
| EventType |
string |
Décrit l’opération signalée par l’enregistrement |
| EventVendor |
string |
Fournisseur du produit générant l’événement. |
| HttpUserAgent |
string |
Quand l’authentification est effectuée via HTTP ou HTTPS, la valeur de ce champ est l’en-tête HTTP user_agent fourni par l’application agissante lors de l’exécution de l’authentification. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| LogonMethod |
string |
Méthode utilisée pour effectuer l’authentification. |
| LogonProtocol |
string |
Protocole utilisé pour effectuer l’authentification. |
| _ResourceId |
string |
Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| RuleName |
string |
Nom ou ID de la règle associée aux résultats d’inspection. |
| RuleNumber |
int |
Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SrcDescription |
string |
Texte descriptif associé à l’appareil source. |
| SrcDeviceType |
string |
Type de l’appareil source. |
| SrcDomain |
string |
Domaine de l’appareil source. |
| SrcDomainType |
string |
Type de SrcDomain. |
| SrcDvcId |
string |
ID de l’appareil source. |
| SrcDvcIdType |
string |
Type de SrcDvcId. |
| SrcDvcOs |
string |
Système d’exploitation de l’appareil source. |
| SrcDvcScope |
string |
L’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcSubscription correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcDvcScopeId |
string |
ID d’étendue de la plateforme cloud auquel appartient l’appareil source. SrcDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| SrcFQDN |
string |
Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. |
| SrcGeoCity |
string |
Ville associée à l’adresse IP source. |
| SrcGeoCountry |
string |
Pays associé à l’adresse IP source. |
| SrcGeoLatitude |
real |
Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude |
real |
Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion |
string |
Région au sein d’un pays associé à l’adresse IP source. |
| SrcHostname |
string |
Nom d’hôte de l’appareil source, à l’exception des informations de domaine. |
| SrcIpAddr |
string |
Adresse IP de l’appareil source. |
| SrcIsp |
string |
Fournisseur de services Internet (ISP) utilisé par l’appareil source pour se connecter à Internet. |
| SrcOriginalRiskLevel |
string |
Niveau de risque associé à la source identifiée comme indiqué par l’appareil de création de rapports. |
| SrcPortNumber |
int |
Port IP d’où provient la connexion. |
| SrcRiskLevel |
int |
Niveau de risque associé à la source identifiée. |
| _SubscriptionId |
string |
Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TargetAppId |
string |
ID de l’application pour laquelle l’autorisation est requise, souvent affectée par l’appareil de création de rapports. |
| TargetAppName |
string |
Nom de l’application pour laquelle l’autorisation est requise, y compris un service, une URL ou une application SaaS. |
| TargetAppType |
string |
Type de l’application effectuant l’autorisation pour le compte de l’intervenant. |
| TargetDescription |
string |
Texte descriptif associé à l’appareil cible. |
| TargetDeviceType |
string |
Type de l’appareil cible. |
| TargetDomain |
string |
Domaine de l’appareil cible. |
| TargetDomainType |
string |
Type de TargetDomain. |
| TargetDvcId |
string |
ID de l’appareil cible. |
| TargetDvcIdType |
string |
Type de TargetDvcId. |
| TargetDvcOs |
string |
Système d’exploitation de l’appareil cible. |
| TargetDvcScope |
string |
L’étendue de la plateforme cloud à laquelle appartient l’appareil cible. TargetDvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| TargetDvcScopeId |
string |
ID d’étendue de la plateforme cloud auquel appartient l’appareil cible. TargetDvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| TargetFQDN |
string |
Nom d’hôte de l’appareil cible, y compris les informations de domaine, le cas échéant. |
| TargetGeoCity |
string |
Ville associée à l’adresse IP cible. |
| TargetGeoCountry |
string |
Pays associé à l’adresse IP cible. |
| TargetGeoLatitude |
real |
Latitude de la coordonnée géographique associée à l’adresse IP cible. |
| TargetGeoLongitude |
real |
Longitude de la coordonnée géographique associée à l’adresse IP cible. |
| TargetGeoRegion |
string |
Région dans un pays qui est associée à l’adresse IP cible. |
| TargetHostname |
string |
Nom d’hôte de l’appareil cible, à l’exception des informations de domaine. |
| TargetIpAddr |
string |
Adresse IP de l’appareil cible. |
| TargetOriginalAppType |
string |
Type d’application cible tel qu’il est signalé par l’appareil de création de rapports. |
| TargetOriginalRiskLevel |
string |
Niveau de risque associé à la cible, comme indiqué par l’appareil de rapport. |
| TargetOriginalUserType |
string |
Type d’utilisateur signalé par le dispositif de reporting. |
| TargetPortNumber |
int |
Port de l’appareil cible. |
| TargetRiskLevel |
int |
Niveau de risque associé à la cible. |
| TargetSessionId |
string |
ID unique de la session de connexion de l’acteur cible. |
| TargetUrl |
string |
URL associée à l’application cible. |
| TargetUserId |
string |
Représentation unique, alphanumérique et lisible par l’ordinateur de l’acteur. |
| TargetUserIdType |
string |
Type de l’ID stocké dans le champ TargetUserId. |
| TargetUsername |
string |
Nom d’utilisateur de l’acteur cible, y compris les informations de domaine lorsqu’il est disponible. |
| TargetUsernameType |
string |
Type du nom d’utilisateur de l’acteur cible spécifié dans le champ TargetUsername |
| TargetUserScope |
string |
Étendue, par exemple l’abonné Azure AD, dans laquelle DstUserId et DstUsername sont définis. |
| TargetUserScopeId |
string |
ID d’étendue, tel que l’ID de locataire Azure AD, dans lequel TargetUserId et TargetUsername sont définis. |
| TargetUserType |
string |
Type de l’acteur cible. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| ThreatCategory |
string |
Catégorie des menaces ou programmes malveillants identifiés dans l’activité d’audit. |
| ThreatConfidence |
int |
Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField |
string |
Champ pour lequel une menace a été identifiée. |
| ThreatFirstReportedTime |
DATETIME |
Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatId |
string |
ID de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatIpAddr |
string |
Adresse IP pour laquelle une menace a été identifiée. |
| ThreatIsActive |
bool |
True si la menace identifiée est considérée comme une menace active. |
| ThreatLastReportedTime |
DATETIME |
La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatName |
string |
Nom de la menace ou du programme malveillant identifié dans l’activité d’audit. |
| ThreatOriginalConfidence |
string |
Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel |
string |
Niveau de risque signalé par le périphérique de reporting. |
| ThreatRiskLevel |
int |
Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. |
| TimeGenerated |
DATETIME |
Horodatage (UTC) reflétant l’heure dans laquelle l’événement a été généré. |
| Type |
string |
Le nom de la table |