| AccountDomain |
string |
Dominio dell'account. |
| AccountName |
string |
Nome utente dell'account. |
| AccountObjectId |
string |
Identificatore univoco per l'account in Azure Active Directory. |
| AccountSid |
string |
ID di sicurezza (SID) dell'account. |
| AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account. |
| Campi aggiuntivi |
dynamic |
Altre informazioni sull'evento in formato matrice JSON. |
| AlertId |
string |
Identificatore univoco per l'avviso. |
| Applicazione |
string |
Applicazione che ha eseguito l'azione registrata. |
| ApplicationId |
int |
Identificatore univoco per l'applicazione. |
| AttackTechniques |
string |
Tecniche MITRE ATT&CK associate all'attività che ha attivato l'avviso. |
| _BilledSize |
real |
Dimensioni del record in byte |
| Categorie |
string |
Elenco di categorie a cui appartengono le informazioni, in formato matrice JSON. |
| DetectionSource |
string |
Tecnologia di rilevamento o sensore che ha identificato il componente o l'attività rilevanti. |
| DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio. |
| DeviceName |
string |
Nome di dominio completo (FQDN) del computer. |
| EmailSubject |
string |
Oggetto del messaggio di posta elettronica. |
| EntityType |
string |
Tipo di oggetto, ad esempio un file, un processo, un dispositivo o un utente. |
| EvidenceDirection |
string |
Indica se l'entità è l'origine o la destinazione di una connessione di rete. |
| EvidenceRole |
string |
In che modo l'entità è coinvolta in un avviso, che indica se è interessata o è semplicemente correlata. |
| FileName |
string |
Nome del file a cui è stata applicata l'azione registrata. |
| FileSize |
long |
Dimensioni del file, in byte. |
| FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| LocalIP |
string |
Indirizzo IP assegnato al dispositivo locale usato durante la comunicazione. |
| NetworkMessageId |
string |
Identificatore univoco per la posta elettronica, generato da Office 365. |
| OAuthApplicationId |
string |
Identificatore univoco dell'applicazione OAuth di terze parti. |
| ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo. |
| RegistryKey |
string |
Chiave del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueData |
string |
Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueName |
string |
Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RemoteIP |
string |
Indirizzo IP a cui è stata stabilita la connessione. |
| RemoteUrl |
string |
URL o nome di dominio completo (FQDN) a cui è stata stabilita la connessione. |
| ServiceSource |
string |
Prodotto o servizio che ha fornito le informazioni sull'avviso. |
| SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. Questo campo non viene in genere popolato e usa la colonna SHA1, se disponibile. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId |
string |
L'ID dell'area di lavoro Log Analytics |
| ThreatFamily |
string |
Famiglia di malware con cui il file o il processo sospetto o dannoso è stato classificato. |
| TimeGenerated |
datetime |
Data e ora (UTC) in cui è stato generato il record. |
| Title |
string |
Titolo dell'avviso. |
| Type |
string |
Nome della tabella |