| ActionType |
string |
Type d’activité qui a déclenché l’événement. |
| AdditionalFields |
dynamic |
Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId |
string |
Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| DeviceId |
string |
Identificateur unique de l’appareil dans le service. |
| DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil. |
| Lancement deProcessAccountDomain |
string |
Domaine du compte qui a exécuté le processus de lancement. |
| Lancement deProcessAccountName |
string |
Nom d’utilisateur du compte qui a exécuté le processus de lancement. |
| Lancement deProcessAccountObjectId |
string |
ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus de lancement. |
| Lancement deProcessAccountSid |
string |
Identificateur de sécurité (SID) du compte qui a exécuté le processus de lancement. |
| Lancement deProcessAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus de lancement. |
| Lancement deProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus de lancement. |
| Lancement deProcessCreationTime |
DATETIME |
Date et heure de démarrage du processus qui a lancé l’événement. |
| Lancement deProcessFileName |
string |
Nom du processus de lancement. |
| Lancement deProcessFileSize |
long |
Taille du fichier (octets) qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessFolderPath |
string |
Dossier contenant le processus de lancement (fichier image). |
| Lancement deProcessId |
long |
ID de processus (PID) du processus de lancement. |
| Lancement deProcessIntegrityLevel |
string |
Niveau d’intégrité du processus de lancement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources.. |
| Lancement deProcessMD5 |
string |
Hachage MD5 du processus de lancement (fichier image). |
| Lancement deProcessParentCreationTime |
DATETIME |
Date et heure de démarrage du parent du processus responsable de l’événement. |
| Lancement deProcessParentFileName |
string |
Nom du processus parent qui a généré le processus de lancement. |
| Lancement deProcessParentId |
long |
ID de processus (PID) du processus parent qui a généré le processus de lancement. |
| Lancement deProcessRemoteSessionDeviceName |
string |
Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| Lancement deProcessRemoteSessionIP |
string |
Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| Lancement deProcessSessionId |
long |
ID de session Windows du processus de lancement. |
| Lancement deProcessSHA1 |
string |
Hachage SHA-1 du processus de lancement (fichier image). |
| Lancement deProcessSHA256 |
string |
Hachage SHA-256 du processus de lancement (fichier image). Dans certains cas, cette colonne peut ne pas être remplie. Utilisez plutôt la colonne InitiatingProcessSHA1. |
| Lancement deProcessTokenElevation |
string |
Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus de lancement. |
| Lancement deProcessVersionInfoCompanyName |
string |
Nom de la société dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoFileDescription |
string |
Description dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoInternalFileName |
string |
Nom de fichier interne dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoOriginalFileName |
string |
Nom de fichier d’origine dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoProductName |
string |
Nom du produit dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoProductVersion |
string |
Version du produit dans les informations de version (fichier image) responsable de l’événement. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsInitiatingProcessRemoteSession |
bool |
Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
| LocalIP |
string |
Adresse IP affectée à l’ordinateur local utilisé pendant la communication. |
| LocalIPType |
string |
Type d’adresse IP, par exemple Public, Privé, Réservé, Loopback, Teredo, FourToSixMapping et Diffusion. |
| LocalPort |
int |
Port TCP sur l’ordinateur local utilisé pendant la communication. |
| MachineGroup |
string |
Groupe d’ordinateurs de l’ordinateur. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
| Protocol |
string |
Protocole IP utilisé, qu’il s’agisse de TCP ou UDP. |
| RemoteIP |
string |
Adresse IP à laquelle il était connecté. |
| RemoteIPType |
string |
Type d’adresse IP, par exemple Public, Privé, Réservé, Loopback, Teredo, FourToSixMapping et Diffusion. |
| RemotePort |
int |
Port TCP sur l’appareil distant auquel il était connecté. |
| RemoteUrl |
string |
URL ou nom de domaine complet (FQDN) connecté. |
| ReportId |
long |
Identificateur d’événement basé sur un compteur répétitif. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| TimeGenerated |
DATETIME |
Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Type |
string |
Le nom de la table |