| ActingProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus agissant. |
| ActingProcessCreationTime |
DATETIME |
Date et heure du début du processus agissant. |
| ActingProcessFileCompany |
string |
Société qui a créé le fichier d’image de processus agissant. |
| ActingProcessFileDescription |
string |
Description incorporée dans les informations de version du fichier image du processus agissant. |
| ActingProcessFileInternalName |
string |
Nom de fichier interne de produit issu des informations de version dans le fichier image du processus agissant. |
| ActingProcessFilename |
string |
Nom du fichier produit à partir des informations de version du fichier image de processus agissant. |
| ActingProcessFileOriginalName |
string |
Nom de fichier d’origine de produit issu des informations de version dans le fichier image du processus agissant. |
| ActingProcessFileProduct |
string |
Nom de produit issu des informations de version dans le fichier image du processus agissant. |
| ActingProcessFileSize |
long |
Taille du fichier en octets qui a exécuté le processus d’action. |
| ActingProcessFileVersion |
string |
Version de produit issue des informations de version dans le fichier image du processus agissant. |
| ActingProcessGuid |
string |
GUID du processus d’action. |
| ActingProcessId |
string |
ID de processus du processus d’action. |
| ActingProcessIMPHASH |
string |
Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus agissant. |
| ActingProcessInjectedAddress |
string |
Adresse mémoire dans laquelle le processus agissant responsable est stocké. |
| ActingProcessIntegrityLevel |
string |
Niveau d’intégrité pour le processus d’action. |
| ActingProcessIsHidden |
bool |
Indique si le processus agissant est en mode masqué. |
| ActingProcessMD5 |
string |
Hachage MD5 du fichier image du processus agissant. |
| ActingProcessName |
string |
Nom du processus agissant. |
| ActingProcessSHA1 |
string |
Hachage SHA-1 du fichier image du processus agissant. |
| ActingProcessSHA256 |
string |
Hachage SHA-256 du fichier image du processus agissant. |
| ActingProcessSHA512 |
string |
Hachage SHA-512 du fichier image du processus agissant. |
| ActingProcessTokenElevation |
string |
Jeton indiquant la présence ou l’absence de l’élévation des privilèges de l’utilisateur Access Control (UAC) appliquée au processus agissant. |
| ActorOriginalUserType |
string |
Type d’utilisateur signalé par le dispositif de reporting. |
| ActorScope |
string |
L’étendue, par exemple l’abonné Azure AD, dans laquelle ActorUserId et ActorUsername sont définis. |
| ActorScopeId |
string |
ID d’étendue, tel que l’ID de locataire Azure AD, dans lequel ActorUserId et ActorUsername sont définis. |
| ActorSessionId |
string |
ID unique de la session de connexion de l’intervenant. |
| ActorUserId |
string |
Représentation unique, alphanumérique et lisible par l’ordinateur de l’acteur. |
| ActorUserIdType |
string |
Type de l’ID stocké dans le champ ActorUserId. |
| ActorUsername |
string |
Nom d’utilisateur de l’acteur, y compris les informations de domaine lorsqu’il est disponible. |
| ActorUsernameType |
string |
Type du nom d’utilisateur de l’acteur spécifié dans le champ ActionUsername |
| ActorUserType |
string |
Type de l’intervenant. |
| AdditionalFields |
dynamic |
Informations supplémentaires, représentées à l’aide de paires clé et valeur fournies par la source qui ne correspondent pas à ASim. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| DvcAction |
string |
Pour les systèmes de sécurité de création de rapports, l’action effectuée par le système. |
| DvcDescription |
string |
Obtient le texte descriptif associé à l’appareil. |
| DvcDomain |
string |
Domaine de l’appareil signalant l’événement. |
| DvcDomainType |
string |
Type de DvcDomain. Les valeurs possibles incluent « Windows » et « FQDN ». |
| DvcFQDN |
string |
Nom d’hôte de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcHostname |
string |
Nom d’hôte de l’appareil signalant l’événement. |
| DvcId |
string |
ID unique de l’appareil sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| DvcIdType |
string |
Type de DvcId. |
| DvcInterface |
string |
Interface réseau sur laquelle les données ont été capturées. |
| DvcIpAddr |
string |
Adresse IP de l’appareil signalant l’événement. |
| DvcMacAddr |
string |
L'adresse MAC du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOriginalAction |
string |
Le DvcAction d’origine, tel que fourni par l’appareil de reporting. |
| DvcOs |
string |
Le système d’exploitation exécuté sur le dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcOsVersion |
string |
La version du système d’exploitation du dispositif sur lequel l'événement s'est produit ou qui a signalé l'événement. |
| DvcScope |
string |
Étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScope correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcScopeId |
string |
ID de l’étendue de la plateforme cloud à laquelle appartient l’appareil source. DvcScopeId correspond à un ID d’abonnement sur Azure et à un ID de compte sur AWS. |
| DvcZone |
string |
Réseau sur lequel l’événement s’est produit ou qui a signalé l’événement. |
| EventCount |
int |
Nombre d’événements décrits par l’enregistrement. |
| EventEndTime |
DATETIME |
Heure de fin de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le dernier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventMessage |
string |
Message général ou description. |
| EventOriginalResultDetails |
string |
Détails des résultats d’origine fournis par la source. |
| EventOriginalSeverity |
string |
La gravité d’origine, telle que fournie par l’appareil de reporting. |
| EventOriginalSubType |
string |
Sous-type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalType |
string |
Type ou ID d’événement d’origine, s’il est fourni par la source. |
| EventOriginalUid |
string |
ID unique de l’enregistrement d’origine, s’il est fourni par la source. |
| EventOwner |
string |
Le propriétaire de l’événement, qui est généralement le service ou la filiale dans lequel il a été généré. |
| EventProduct |
string |
Produit générant l’événement. |
| EventProductVersion |
string |
Version du produit générant l’événement. |
| EventReportUrl |
string |
URL fournie dans l’événement pour une ressource qui apporte plus d’informations sur l’événement. |
| EventResult |
string |
Résultat de l’événement, représenté par l’une des valeurs suivantes : Réussite, Partial, Failure, NA (Non applicable). La valeur peut ne pas être fournie directement par les sources, auquel cas elle est dérivée d’autres champs d’événement, par exemple le champ EventResultDetails. |
| EventResultDetails |
string |
Raison ou détails du résultat rapporté dans le champ EventResult. |
| EventSchemaVersion |
string |
Version du schéma. |
| EventSeverity |
string |
La gravité de l’événement. Les valeurs valides sont les suivantes : Informational, Low, Medium ou High. |
| EventStartTime |
DATETIME |
Heure de début de l’événement. Si la source prend en charge l’agrégation et que l’enregistrement représente plusieurs événements, il s’agit de l’heure à laquelle le premier événement a été généré. S’il n’est pas fourni par l’enregistrement source, ce champ est un alias du champ TimeGenerated. |
| EventSubType |
string |
Décrit une subdivision de l’opération rapportée dans le champ EventType. |
| EventType |
string |
Décrit l’opération signalée par l’enregistrement |
| EventVendor |
string |
Fournisseur du produit générant l’événement. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| ParentProcessCreationTime |
DATETIME |
Date et heure du début du processus parent. |
| ParentProcessFileCompany |
string |
Société qui a créé le fichier image du processus parent. |
| ParentProcessFileDescription |
string |
Description des informations de version du fichier image du processus parent. |
| ParentProcessFileProduct |
string |
Nom du produit à partir des informations de version dans le fichier image du processus parent. |
| ParentProcessFileVersion |
string |
Version du produit à partir des informations de version du fichier image du processus parent. |
| ParentProcessGuid |
string |
GUID du processus parent. |
| ParentProcessId |
string |
ID de processus du processus parent. |
| ParentProcessIMPHASH |
string |
Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus parent. |
| ParentProcessInjectedAddress |
string |
Adresse mémoire dans laquelle le processus parent responsable est stocké. |
| ParentProcessIntegrityLevel |
string |
Niveau d’intégrité pour le processus parent. |
| ParentProcessIsHidden |
bool |
Indique si le processus parent est en mode masqué. |
| ParentProcessMD5 |
string |
Hachage MD5 du fichier image du processus parent. |
| ParentProcessName |
string |
Nom du processus parent. |
| ParentProcessSHA1 |
string |
Hachage SHA-1 du fichier image du processus parent. |
| ParentProcessSHA256 |
string |
Hachage SHA-256 du fichier image du processus parent. |
| ParentProcessSHA512 |
string |
Hachage SHA-512 du fichier image du processus parent. |
| ParentProcessTokenElevation |
string |
Jeton indiquant la présence ou l’absence de l’élévation des privilèges de l’utilisateur Access Control (UAC) appliquée au processus parent. |
| _ResourceId |
string |
Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| RuleName |
string |
Nom ou ID de la règle associée aux résultats de l’inspection. |
| RuleNumber |
int |
Numéro de la règle associée aux résultats de l’inspection. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| _SubscriptionId |
string |
Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| TargetOriginalUserType |
string |
Type d’utilisateur signalé par le dispositif de reporting. |
| TargetProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus cible. |
| TargetProcessCreationTime |
DATETIME |
Date et heure de démarrage du processus cible. |
| TargetProcessCurrentDirectory |
string |
Répertoire actif dans lequel le processus cible est exécuté. |
| TargetProcessFileCompany |
string |
Société qui a créé le fichier image du processus cible. |
| TargetProcessFileDescription |
string |
Description des informations de version du fichier image du processus cible. |
| TargetProcessFileInternalName |
string |
Nom du fichier interne du produit à partir des informations de version du fichier image du processus cible. |
| TargetProcessFilename |
string |
Nom du fichier produit à partir des informations de version du fichier image du processus cible. |
| TargetProcessFileOriginalName |
string |
Nom du fichier d’origine du produit à partir des informations de version du fichier image du processus cible. |
| TargetProcessFileProduct |
string |
Nom du produit à partir des informations de version dans le fichier image du processus cible. |
| TargetProcessFileSize |
long |
Taille du fichier en octets qui a exécuté le processus responsable de l’événement. |
| TargetProcessFileVersion |
string |
Version de produit issue des informations de version dans le fichier image du processus cible. |
| TargetProcessGuid |
string |
GUID du processus cible. |
| TargetProcessId |
string |
ID de processus du processus cible. |
| TargetProcessIMPHASH |
string |
Le hachage d’importation de toutes les dll de bibliothèque utilisées par le processus cible. |
| TargetProcessInjectedAddress |
string |
Adresse mémoire dans laquelle le processus cible responsable est stocké. |
| TargetProcessIntegrityLevel |
string |
Niveau d’intégrité pour le processus cible. |
| TargetProcessIsHidden |
bool |
Indique si le processus cible est en mode masqué. |
| TargetProcessMD5 |
string |
Hachage MD5 du fichier image du processus cible. |
| TargetProcessName |
string |
Nom du processus cible. |
| TargetProcessSHA1 |
string |
Hachage SHA-1 du fichier image du processus cible. |
| TargetProcessSHA256 |
string |
Hachage SHA-256 du fichier image du processus cible. |
| TargetProcessSHA512 |
string |
Hachage SHA-512 du fichier image du processus cible. |
| TargetProcessStatusCode |
string |
Code de sortie retourné par le processus cible en cas d’arrêt. |
| TargetProcessTokenElevation |
string |
Jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus cible. |
| TargetScope |
string |
Étendue, par exemple l’abonné Azure AD, dans laquelle DstUserId et DstUsername sont définis. |
| TargetScopeId |
string |
ID d’étendue, tel que l’ID de locataire Azure AD, dans lequel TargetUserId et TargetUsername sont définis. |
| TargetUserId |
string |
Représentation unique, alphanumérique et lisible par l’ordinateur de l’acteur. |
| TargetUserIdType |
string |
Type de l’ID stocké dans le champ TargetUserId. |
| TargetUsername |
string |
Nom d’utilisateur de l’acteur cible, y compris les informations de domaine lorsqu’il est disponible. |
| TargetUsernameType |
string |
Type du nom d’utilisateur de l’acteur cible spécifié dans le champ TargetUsername |
| TargetUserSessionGuid |
string |
Guid unique de la session de connexion de l’acteur cible. |
| TargetUserSessionId |
string |
ID unique de la session de connexion de l’acteur cible. |
| TargetUserType |
string |
Type de l’acteur cible. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| ThreatCategory |
string |
Catégorie des menaces ou programmes malveillants identifiés dans l’activité. |
| ThreatConfidence |
int |
Niveau de confiance de la menace identifiée, normalisé à une valeur comprise entre 0 et 100. |
| ThreatField |
string |
Champ pour lequel une menace a été identifiée. |
| ThreatFirstReportedTime |
DATETIME |
Indique la première fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatId |
string |
ID de la menace ou des programmes malveillants identifiés dans l’activité. |
| ThreatIsActive |
bool |
True ID de la menace identifiée qui est considérée comme une menace active. |
| ThreatLastReportedTime |
DATETIME |
La dernière fois que l’adresse IP ou le domaine ont été identifiés comme une menace. |
| ThreatName |
string |
Nom de la menace ou des programmes malveillants identifiés dans l’activité. |
| ThreatOriginalConfidence |
string |
Niveau de confiance d’origine de la menace identifiée, comme indiqué par l’appareil de création de rapports. |
| ThreatOriginalRiskLevel |
string |
Niveau de risque signalé par le périphérique de reporting. |
| ThreatRiskLevel |
int |
Niveau de risque associé à la menace identifiée. Le niveau doit être un nombre compris entre 0 et 100. |
| TimeGenerated |
DATETIME |
Horodatage (UTC) reflétant l’heure dans laquelle l’événement a été généré. |
| Type |
string |
Le nom de la table |