| ActionType |
string |
Type d’activité qui a déclenché l’événement. |
| AdditionalFields |
dynamic |
Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId |
string |
Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| DeviceId |
string |
Identificateur unique de l’appareil dans le service. |
| DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil. |
| FileName |
string |
Nom du fichier auquel l’action enregistrée a été appliquée. |
| FileOriginIP |
string |
Adresse IP à partir de laquelle le fichier a été téléchargé. |
| FileOriginReferrerUrl |
string |
URL de la page web qui lie au fichier téléchargé. |
| FileOriginUrl |
string |
URL à partir de laquelle le fichier a été téléchargé. |
| FileSize |
long |
Taille du fichier en octets. |
| FolderPath |
string |
Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| Lancement deProcessAccountDomain |
string |
Domaine du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountName |
string |
Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountObjectId |
string |
ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountSid |
string |
Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement. |
| Lancement deProcessCreationTime |
DATETIME |
Date et heure de démarrage du processus qui a lancé l’événement. |
| Lancement deProcessFileName |
string |
Nom du processus qui a lancé l’événement. |
| Lancement deProcessFileSize |
long |
Taille en octets du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessFolderPath |
string |
Dossier contenant le processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessId |
long |
ID de processus (PID) du processus qui a lancé l’événement. |
| Lancement deProcessIntegrityLevel |
string |
Niveau d’intégrité du processus qui a lancé l’événement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources. |
| Lancement deProcessMD5 |
string |
Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessParentCreationTime |
DATETIME |
Date et heure de démarrage du parent du processus responsable de l’événement. |
| Lancement deProcessParentFileName |
string |
Nom du processus parent qui a généré le processus responsable de l’événement. |
| Lancement deProcessParentId |
long |
ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
| Lancement deProcessRemoteSessionDeviceName |
string |
Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| Lancement deProcessRemoteSessionIP |
string |
Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| Lancement deProcessSessionId |
long |
ID de session Windows du processus de lancement. |
| Lancement deProcessSHA1 |
string |
Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessSHA256 |
string |
Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 quand elle est disponible. |
| Lancement deProcessTokenElevation |
string |
Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus qui a lancé l’événement. |
| Lancement deProcessVersionInfoCompanyName |
string |
Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement. |
| Lancement deProcessVersionInfoFileDescription |
string |
Description des informations de version du processus (fichier image) responsable de l’événement. |
| Lancement deProcessVersionInfoInternalFileName |
string |
Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement. |
| Lancement deProcessVersionInfoOriginalFileName |
string |
Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement. |
| Lancement deProcessVersionInfoProductName |
string |
Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
| Lancement deProcessVersionInfoProductVersion |
string |
Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement. |
| IsAzureInfoProtectionApplied |
bool |
Indique si le fichier est chiffré par Azure Protection des données. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsInitiatingProcessRemoteSession |
bool |
Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
| MachineGroup |
string |
Groupe d’ordinateurs de l’ordinateur. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
| MD5 |
string |
Hachage MD5 du fichier auquel l’action enregistrée a été appliquée. |
| PreviousFileName |
string |
Nom d’origine du fichier renommé suite à l’action. |
| PreviousFolderPath |
string |
Dossier d’origine contenant le fichier avant l’application de l’action enregistrée. |
| ReportId |
long |
Identificateur d’événement basé sur un compteur répétitif. Pour identifier des événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| RequestAccountDomain |
string |
Domaine du compte utilisé pour lancer l’activité à distance. |
| RequestAccountName |
string |
Nom d’utilisateur du compte utilisé pour lancer l’activité à distance. |
| RequestAccountSid |
string |
Identificateur de sécurité (SID) du compte utilisé pour lancer à distance l’activité. |
| RequestProtocol |
string |
Protocole réseau, le cas échéant, utilisé pour lancer l’activité : Inconnu, Local, SMB ou NFS. |
| RequestSourceIP |
string |
Adresse IPv4 ou IPv6 de l’appareil distant qui a lancé l’activité. |
| RequestSourcePort |
int |
Port source sur l’appareil distant qui a lancé l’activité. |
| SensitivityLabel |
string |
Étiquette appliquée à un e-mail, un fichier ou un autre contenu pour la classer pour la protection des informations. |
| SensitivitySubLabel |
string |
Sous-étiquette appliquée à un e-mail, un fichier ou un autre contenu pour le classifier pour la protection des informations ; Les sous-étiquettes de sensibilité sont regroupées sous des étiquettes de confidentialité, mais elles sont traitées indépendamment. |
| SHA1 |
string |
Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 |
string |
SHA-256 du fichier auquel l’action enregistrée a été appliquée. |
| ShareName |
string |
Nom du dossier partagé contenant le fichier. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| TimeGenerated |
DATETIME |
Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Type |
string |
Le nom de la table |