AccountDomain |
string |
Domaine du compte. |
AccountName |
string |
Nom d’utilisateur du compte. |
AccountSid |
string |
Identificateur de sécurité (SID) du compte. |
ActionType |
string |
Type d’activité qui a déclenché l’événement. |
AdditionalFields |
dynamic |
Informations supplémentaires sur l’entité ou l’événement. |
AppGuardContainerId |
string |
Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur. |
_BilledSize |
real |
Taille de l’enregistrement en octets |
CreatedProcessSessionId |
long |
ID de session Windows du processus créé. |
DeviceId |
string |
Identificateur unique de l’appareil dans le service. |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil. |
FileName |
string |
Domaine du compte. |
FileOriginIP |
string |
Adresse IP à partir de laquelle le fichier a été téléchargé. |
FileOriginUrl |
string |
URL à partir de laquelle le fichier a été téléchargé. |
FileSize |
long |
Taille du fichier en octets. |
FolderPath |
string |
Domaine du compte. |
Lancement deProcessAccountDomain |
string |
Domaine du compte qui a exécuté le processus responsable de l’événement. |
Lancement deProcessAccountName |
string |
Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
Lancement deProcessAccountObjectId |
string |
ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
Lancement deProcessAccountSid |
string |
Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
Lancement deProcessAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. |
Lancement deProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement. |
Lancement deProcessCreationTime |
DATETIME |
Date et heure de démarrage du processus qui a lancé l’événement. |
Lancement deProcessFileName |
string |
Nom du processus qui a lancé l’événement. |
Lancement deProcessFileSize |
long |
Taille en octets du fichier qui a exécuté le processus responsable de l’événement. |
Lancement deProcessFolderPath |
string |
Dossier contenant le processus (fichier image) qui a lancé l’événement. |
Lancement deProcessId |
long |
ID de processus (PID) du processus qui a lancé l’événement. |
Lancement deProcessLogonId |
long |
Identificateur d’une session d’ouverture de session du processus qui a lancé l’événement. Cet identificateur est unique sur la même machine uniquement entre les redémarrages. |
Lancement deProcessMD5 |
string |
Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
Lancement deProcessParentCreationTime |
DATETIME |
Date et heure de démarrage du parent du processus responsable de l’événement. |
Lancement deProcessParentFileName |
string |
Nom du processus parent qui a généré le processus responsable de l’événement. |
Lancement deProcessParentId |
long |
ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
Lancement deProcessRemoteSessionDeviceName |
string |
Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
Lancement deProcessRemoteSessionIP |
string |
Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
Lancement deProcessSessionId |
long |
ID de session Windows du processus de lancement. |
Lancement deProcessSHA1 |
string |
Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
Lancement deProcessSHA256 |
string |
Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 quand elle est disponible. |
Lancement deProcessVersionInfoCompanyName |
string |
Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement. |
Lancement deProcessVersionInfoFileDescription |
string |
Description des informations de version du processus (fichier image) responsable de l’événement. |
Lancement deProcessVersionInfoInternalFileName |
string |
Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement. |
Lancement deProcessVersionInfoOriginalFileName |
string |
Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement. |
Lancement deProcessVersionInfoProductName |
string |
Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
Lancement deProcessVersionInfoProductVersion |
string |
Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
_IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false , l’ingestion n’est pas facturée sur votre compte Azure. |
IsInitiatingProcessRemoteSession |
bool |
Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
IsProcessRemoteSession |
bool |
Indique si le processus créé a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
LocalIP |
string |
Adresse IP affectée à l’ordinateur local utilisé pendant la communication. |
LocalPort |
int |
Port TCP sur l’ordinateur local utilisé pendant la communication. |
LogonId |
long |
Identificateur d’une session d’ouverture de session. Cet identificateur est unique sur la même machine uniquement entre les redémarrages. |
MachineGroup |
string |
Groupe d’ordinateurs de l’ordinateur. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
MD5 |
string |
Hachage MD5 du fichier auquel l’action enregistrée a été appliquée. |
ProcessCommandLine |
string |
Ligne de commande utilisée pour créer le nouveau processus. |
ProcessCreationTime |
DATETIME |
Date et heure de création du processus. |
ProcessId |
long |
ID de processus (PID) du processus nouvellement créé. |
ProcessRemoteSessionDeviceName |
string |
Nom de l’appareil distant à partir duquel la session RDP du processus créé a été lancée. |
ProcessRemoteSessionIP |
string |
Adresse IP de l’appareil distant à partir duquel la session RDP du processus créé a été lancée. |
ProcessTokenElevation |
string |
Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus nouvellement créé. |
RegistryKey |
string |
Clé de Registre à laquelle l’action enregistrée a été appliquée. |
RegistryValueData |
string |
Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
RegistryValueName |
string |
Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
RemoteDeviceName |
string |
Nom de l’appareil qui a effectué une opération distante sur l’ordinateur concerné. Selon l’événement signalé, ce nom peut être un nom de domaine complet (FQDN), un nom NetBIOS ou un nom d’hôte sans informations de domaine. |
RemoteIP |
string |
Adresse IP à laquelle il était connecté. |
RemotePort |
int |
Port TCP sur l’appareil distant auquel il était connecté. |
RemoteUrl |
string |
URL ou nom de domaine complet (FQDN) connecté. |
ReportId |
long |
Identificateur d’événement basé sur un compteur répétitif. Pour identifier des événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
SHA1 |
string |
Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
SHA256 |
string |
SHA-256 du fichier auquel l’action enregistrée a été appliquée. |
SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
TenantId |
string |
ID de l’espace de travail Log Analytics |
TimeGenerated |
DATETIME |
Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
Type |
string |
Le nom de la table |