| ActingProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus agissant. |
| ActingProcessGuid |
string |
Identificateur unique (GUID) généré du processus en cours d’action. |
| ActingProcessId |
string |
ID de processus (PID) du processus agissant. |
| ActingProcessName |
string |
Nom du processus agissant. |
| ActorOriginalUserType |
string |
Type d’utilisateur d’acteur d’origine fourni par l’appareil de création de rapports. |
| ActorScope |
string |
L’étendue, par exemple l’abonné Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorScopeId |
string |
L’ID d’étendue, par exemple l’ID d’annuaire Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorSessionId |
string |
ID unique de la session de connexion de l’Intervenant. |
| ActorUserAadId |
string |
ID Azure Active Directory de l’acteur. |
| ActorUserId |
string |
Représentation unique, alphanumérique et lisible par l’ordinateur de l’acteur. |
| ActorUserIdType |
string |
Type de l’ID stocké dans le champ ActorUserId. |
| ActorUsername |
string |
Nom d’utilisateur de l’intervenant, en incluant les informations de domaine le cas échéant. |
| ActorUsernameType |
string |
Spécifie le type du nom d’utilisateur stocké dans le champ ActorUsername. |
| ActorUserSid |
string |
ID utilisateur Windows (SID) de l’acteur. |
| ActorUserType |
string |
Type d’acteur. |
| AdditionalFields |
dynamic |
Informations supplémentaires, représentées à l’aide de paires clé/valeur fournies par la source qui ne sont pas mappées à ASim. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| DvcAction |
string |
Action effectuée sur la session web. |
| DvcDescription |
string |
Obtient le texte descriptif associé à l’appareil. |
| DvcDomain |
string |
Domaine de l’appareil signalant l’événement. |
| DvcDomainType |
string |
Type de DvcDomain. Les valeurs valides incluent « Windows » et « FQDN ». |
| DvcFQDN |
string |
Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname |
string |
Nom d’hôte de l’appareil signalant l’événement. |
| DvcId |
string |
ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType |
string |
Type de DvcId. |
| DvcInterface |
string |
Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcIpAddr |
string |
Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr |
string |
L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOriginalAction |
string |
Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs |
string |
Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOsVersion |
string |
La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcScope |
string |
Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope mappe à un nom d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId |
string |
ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone |
string |
Le réseau sur lequel l'événement s'est produit ou qui a signalé l'événement, selon le schéma. |
| EventCount |
int |
Cette valeur est utilisée quand la source prend en charge l’agrégation, et un seul enregistrement peut représenter plusieurs événements. |
| EventEndTime |
DATETIME |
Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventMessage |
string |
Message général ou description. |
| EventOriginalResultDetails |
string |
Détails des résultats d’origine fournis par la source. Cette valeur est utilisée pour dériver des EventResultDetails, qui ne doivent avoir qu’une seule des valeurs documentées pour chaque schéma. |
| EventOriginalSeverity |
string |
La gravité d’origine, telle que fournie par l’appareil de reporting. Cette valeur est utilisée pour dériver EventSeverity. |
| EventOriginalSubType |
string |
Sous-type ou ID d’événement d’origine, s’il est fourni par la source. Par exemple, ce champ sera utilisé pour stocker le type d’ouverture de session Windows d’origine. Cette valeur est utilisée pour dériver EventSubType, lequel ne doit avoir qu’une seule des valeurs documentées pour chaque schéma. |
| EventOriginalType |
string |
Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid |
string |
ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| EventOwner |
string |
Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct |
string |
Produit générant l’événement. |
| EventProductVersion |
string |
Version du produit générant l’événement. |
| EventReportUrl |
string |
URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| EventResult |
string |
Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| EventResultDetails |
string |
Code d’état HTTP. |
| EventSchema |
string |
Schéma dans lequel l’événement est normalisé. Chaque schéma documente son nom de schéma. |
| EventSchemaVersion |
string |
Version du schéma. |
| EventSeverity |
string |
La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| EventStartTime |
DATETIME |
Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventSubType |
string |
Description supplémentaire du type, le cas échéant. |
| EventType |
string |
Opération signalée par l’enregistrement. |
| EventVendor |
string |
Fournisseur du produit générant l’événement. |
| HashType |
string |
Type de hachage stocké dans le champ d’alias de hachage. |
| HttpUserAgent |
string |
Lorsque l’opération est lancée à l’aide de HTTP ou HTTPS, l’en-tête de l’agent utilisateur HTTP. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| NetworkApplicationProtocol |
string |
Lorsque l’opération est lancée par un système distant, le protocole de couche application utilisé par la connexion ou la session. |
| _ResourceId |
string |
Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| RuleName |
string |
Nom ou ID de la règle associée aux résultats de l’inspection. |
| RuleNumber |
int |
Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| SrcDescription |
string |
Obtient le texte descriptif associé à l’appareil. |
| SrcDeviceType |
string |
Type de l’appareil source. |
| SrcDomain |
string |
Domaine de l’appareil source. |
| SrcDomainType |
string |
Type de SrcDomain. |
| SrcDvcId |
string |
ID de l’appareil source. |
| SrcDvcIdType |
string |
Type de SrcDvcId. |
| SrcDvcScope |
string |
Étendue de la plateforme cloud à laquelle appartient l’appareil source. |
| SrcDvcScopeId |
string |
ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. |
| SrcFileCreationTime |
DATETIME |
Heure à laquelle le fichier source a été créé. |
| SrcFileDirectory |
string |
Dossier ou emplacement du fichier source. |
| SrcFileExtension |
string |
Extension du fichier source. |
| SrcFileMD5 |
string |
Hachage MD5 du fichier source. |
| SrcFileMimeType |
string |
Type MIME ou Media du fichier source. |
| SrcFileName |
string |
Nom du fichier source, sans chemin ou emplacement, mais avec une extension, le cas échéant. |
| SrcFilePath |
string |
Chemin complet et normalisé du fichier source, notamment le dossier ou l’emplacement, le nom de fichier et l’extension. |
| SrcFilePathType |
string |
Type de SrcFilePath. |
| SrcFileSHA1 |
string |
Hachage SHA-1 du fichier source. |
| SrcFileSHA256 |
string |
Hachage SHA-256 du fichier source. |
| SrcFileSHA512 |
string |
Hachage SHA-512 du fichier source. |
| SrcFileSize |
long |
Taille du fichier source en octets. |
| SrcFQDN |
string |
Nom d’hôte de l’appareil source, y compris les informations de domaine, le cas échéant. |
| SrcGeoCity |
string |
Ville associée à l’adresse IP source. |
| SrcGeoCountry |
string |
Pays associé à l’adresse IP source. |
| SrcGeoLatitude |
real |
Latitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoLongitude |
real |
Longitude de la coordonnée géographique associée à l’adresse IP source. |
| SrcGeoRegion |
string |
Région au sein d’un pays associé à l’adresse IP source. |
| SrcHostname |
string |
Nom d’hôte de l’appareil source, à l’exception des informations de domaine. Si aucun nom de périphérique n’est disponible, stockez l’adresse IP pertinente dans ce champ. |
| SrcIpAddr |
string |
Quand l’opération est lancée par un système distant, il s’agit de l’adresse IP de ce système. |
| SrcMacAddr |
string |
Adresse MAC de l’appareil source. |
| SrcOriginalRiskLevel |
string |
Niveau de risque associé à la source. Comme indiqué par l’appareil de création de rapports ou enrichi. |
| SrcPortNumber |
int |
Lorsque l’opération est lancée par un système distant, numéro du port à partir duquel la connexion a été établie. |
| SrcRiskLevel |
int |
Niveau de risque associé à la source. |
| _SubscriptionId |
string |
Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TargetAppId |
string |
L'identifiant de l'application de destination, tel que signalé par le dispositif de reporting. |
| TargetAppName |
string |
Nom de l’application de destination. |
| TargetAppType |
string |
Type de l’application de destination. |
| TargetFileCreationTime |
DATETIME |
Heure à laquelle le fichier cible a été créé. |
| TargetFileDirectory |
string |
Dossier ou emplacement du fichier cible. |
| TargetFileExtension |
string |
Extension du fichier cible. |
| TargetFileMD5 |
string |
Hachage MD5 du fichier cible. |
| TargetFileMimeType |
string |
Type Mime ou Média du fichier cible. |
| TargetFileName |
string |
Nom du fichier cible, sans chemin ou emplacement, mais avec une extension, le cas échéant. |
| TargetFilePath |
string |
Chemin complet et normalisé du fichier cible, notamment le dossier ou l’emplacement, le nom de fichier et l’extension. |
| TargetFilePathType |
string |
Type de TargetFilePath. |
| TargetFileSHA1 |
string |
Hachage SHA-1 du fichier cible. |
| TargetFileSHA256 |
string |
Hachage SHA-256 du fichier cible. |
| TargetFileSHA512 |
string |
Hachage SHA-512 du fichier source. |
| TargetFileSize |
long |
Taille du fichier cible en octets. |
| TargetOriginalAppType |
string |
Type d’application cible tel qu’il est signalé par l’appareil de création de rapports. |
| TargetUrl |
string |
Quand l’opération est lancée avec HTTP ou HTTPS, l’URL utilisée. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| ThreatCategory |
string |
Catégorie de la menace ou du programme malveillant identifié dans l’activité de fichier. |
| ThreatConfidence |
int |
Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField |
string |
Champ pour lequel une menace a été identifiée. La valeur est SrcFilePath ou DstFilePath. |
| ThreatFilePath |
string |
Chemin d’accès au fichier pour lequel une menace a été identifiée. Le champ ThreatField contient le nom du champ que ThreatIpAddr représente. |
| ThreatFirstReportedTime |
DATETIME |
Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatId |
string |
ID de la menace ou du programme malveillant identifié dans l’activité de fichier. |
| ThreatIsActive |
bool |
True ID de la menace identifiée qui est considérée comme une menace active. |
| ThreatLastReportedTime |
DATETIME |
La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatName |
string |
Le nom de la menace ou du programme malveillant identifié dans l’activité de fichier. |
| ThreatOriginalConfidence |
string |
Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel |
string |
Niveau de risque signalé par le périphérique de reporting. |
| ThreatRiskLevel |
int |
Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. |
| TimeGenerated |
DATETIME |
Horodatage reflétant l’heure dans laquelle l’événement a été généré. |
| Type |
string |
Le nom de la table |