| AccountDomain |
string |
Domaine du compte. |
| AccountName |
string |
Nom d’utilisateur du compte. |
| AccountObjectId |
string |
Identificateur unique du compte dans Azure AD. |
| AccountSid |
string |
Identificateur de sécurité (SID) du compte. |
| AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte. |
| ActionType |
string |
Type d’activité qui a déclenché l’événement. |
| AdditionalFields |
dynamic |
Informations supplémentaires sur l’entité ou l’événement. |
| AppGuardContainerId |
string |
Identificateur du conteneur virtualisé utilisé par Application Guard pour isoler l’activité du navigateur. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| CreatedProcessSessionId |
long |
ID de session Windows du processus créé. |
| DeviceId |
string |
Identificateur unique de l’appareil dans le service. |
| DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil. |
| FileName |
string |
Nom du fichier auquel l’action enregistrée a été appliquée. |
| FileSize |
long |
Taille du fichier en octets. |
| FolderPath |
string |
Dossier contenant le fichier auquel l’action enregistrée a été appliquée. |
| Lancement deProcessAccountDomain |
string |
Domaine du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountName |
string |
Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountObjectId |
string |
ID d’objet Azure AD du compte d’utilisateur qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountSid |
string |
Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement. |
| Lancement deProcessCreationTime |
DATETIME |
Date et heure de démarrage du processus qui a lancé l’événement. |
| Lancement deProcessFileName |
string |
Nom du processus qui a lancé l’événement. |
| Lancement deProcessFileSize |
long |
Taille du fichier (octets) qui a exécuté le processus responsable de l’événement. |
| Lancement deProcessFolderPath |
string |
Dossier contenant le processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessId |
long |
ID de processus (PID) du processus qui a lancé l’événement. |
| Lancement deProcessIntegrityLevel |
string |
Niveau d’intégrité du processus qui a lancé l’événement. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources.. |
| Lancement deProcessLogonId |
long |
Identificateur d’une session d’ouverture de session du processus qui a lancé l’événement. Cet identificateur est unique sur la même machine uniquement entre les redémarrages.. |
| Lancement deProcessMD5 |
string |
Hachage MD5 du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessParentCreationTime |
DATETIME |
Date et heure de démarrage du parent du processus responsable de l’événement. |
| Lancement deProcessParentFileName |
string |
Nom du processus parent qui a généré le processus responsable de l’événement. |
| Lancement deProcessParentId |
long |
ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement. |
| Lancement deProcessRemoteSessionDeviceName |
string |
Nom de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| Lancement deProcessRemoteSessionIP |
string |
Adresse IP de l’appareil distant à partir duquel la session RDP du processus de lancement a été lancée. |
| Lancement deProcessSessionId |
long |
ID de session Windows du processus de lancement. |
| Lancement deProcessSHA1 |
string |
Hachage SHA-1 du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessSHA256 |
string |
Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Dans certains cas, cette colonne peut ne pas être remplie. Utilisez plutôt la colonne InitiatingProcessSHA1. |
| Lancement deProcessSignatureStatus |
string |
Informations sur l’état de signature du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessSignerType |
string |
Type de signataire de fichier du processus (fichier image) qui a lancé l’événement. |
| Lancement deProcessTokenElevation |
string |
Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus qui a lancé l’événement. |
| Lancement deProcessVersionInfoCompanyName |
string |
Nom de la société dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoFileDescription |
string |
Description dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoInternalFileName |
string |
Nom de fichier interne dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoOriginalFileName |
string |
Nom de fichier d’origine dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoProductName |
string |
Nom du produit dans les informations de version (fichier image) responsables de l’événement. |
| Lancement deProcessVersionInfoProductVersion |
string |
Version du produit dans les informations de version (fichier image) responsable de l’événement. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsInitiatingProcessRemoteSession |
bool |
Indique si le processus de lancement a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
| IsProcessRemoteSession |
bool |
Indique si le processus créé a été exécuté sous une session RDP (Remote Desktop Protocol) (true) ou localement (false). |
| LogonId |
long |
Identificateur d’une session d’ouverture de session. Cet identificateur est unique sur la même machine uniquement entre les redémarrages. |
| MachineGroup |
string |
Groupe d’ordinateurs de l’ordinateur. Ce groupe est utilisé par le contrôle d’accès en fonction du rôle pour déterminer l’accès à l’ordinateur. |
| MD5 |
string |
Hachage MD5 du fichier auquel l’action enregistrée a été appliquée. |
| ProcessCommandLine |
string |
Ligne de commande utilisée pour créer le nouveau processus. |
| ProcessCreationTime |
DATETIME |
Date et heure de création du processus. |
| ProcessId |
long |
ID de processus (PID) du processus nouvellement créé. |
| ProcessIntegrityLevel |
string |
Niveau d’intégrité du processus nouvellement créé. Windows affecte des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils ont été lancés à partir d’un téléchargement Internet. Ces niveaux d’intégrité influencent les autorisations sur les ressources.. |
| ProcessRemoteSessionDeviceName |
string |
Nom de l’appareil distant à partir duquel la session RDP du processus créé a été lancée. |
| ProcessRemoteSessionIP |
string |
Adresse IP de l’appareil distant à partir duquel la session RDP du processus créé a été lancée. |
| ProcessTokenElevation |
string |
Type de jeton indiquant la présence ou l’absence d’élévation de privilèges UAC (User Access Control) appliquée au processus nouvellement créé. |
| ProcessVersionInfoCompanyName |
string |
Nom de la société à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoFileDescription |
string |
Description des informations de version du processus nouvellement créé. |
| ProcessVersionInfoInternalFileName |
string |
Nom de fichier interne à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoOriginalFileName |
string |
Nom de fichier d’origine à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoProductName |
string |
Nom du produit à partir des informations de version du processus nouvellement créé. |
| ProcessVersionInfoProductVersion |
string |
Version du produit à partir des informations de version du processus nouvellement créé. |
| ReportId |
long |
Identificateur d’événement basé sur un compteur répétitif. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes ComputerName et EventTime. |
| SHA1 |
string |
Hachage SHA-1 du fichier auquel l’action enregistrée a été appliquée. |
| SHA256 |
string |
SHA-256 du fichier auquel l’action enregistrée a été appliquée. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| TimeGenerated |
DATETIME |
Date et heure d’enregistrement de l’événement par l’agent MDE sur le point de terminaison. |
| Type |
string |
Le nom de la table |