| ActionType |
string |
Tipo di attività che ha attivato l'evento. |
| Campi aggiuntivi |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId |
string |
Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize |
real |
Dimensioni del record in byte |
| DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio. |
| DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo. |
| FileName |
string |
Nome del file a cui è stata applicata l'azione registrata. |
| FileOriginIP |
string |
Indirizzo IP da cui è stato scaricato il file. |
| FileOriginReferrerUrl |
string |
URL della pagina Web che collega al file scaricato. |
| FileOriginUrl |
string |
URL da cui è stato scaricato il file. |
| FileSize |
long |
Dimensioni del file, in byte. |
| FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata. |
| InitProcessAccountDomain |
string |
Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| InitProcessAccountName |
string |
Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| InitProcessAccountObjectId |
string |
ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| InitProcessAccountSid |
string |
ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| InitProcessAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
| InitProcessCommandLine |
string |
Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| InitProcessCreationTime |
datetime |
Data e ora dell'avvio del processo che ha avviato l'evento. |
| InitProcessFileName |
string |
Nome del processo che ha avviato l'evento. |
| InitProcessFileSize |
long |
Dimensioni in byte del processo (file di immagine) che ha avviato l'evento. |
| InitProcessFolderPath |
string |
Cartella contenente il processo (file di immagine) che ha avviato l'evento. |
| InitProcessId |
long |
ID processo (PID) del processo che ha avviato l'evento. |
| InitProcessIntegrityLevel |
string |
Livello di integrità del processo che ha avviato l'evento. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| InitProcessMD5 |
string |
Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| InitProcessParentCreationTime |
datetime |
Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| InitProcessParentFileName |
string |
Nome del processo padre che ha generato il processo responsabile dell'evento. |
| InitProcessParentId |
long |
ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
| InitProcessSHA1 |
string |
Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| InitProcessSHA256 |
string |
Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. Questo campo in genere non viene popolato. Usare la colonna SHA1, se disponibile. |
| InitProcessTokenElevation |
string |
Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo che ha avviato l'evento. |
| InitProcessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoFileDescription |
string |
Descrizione delle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoProductName |
string |
Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| InitProcessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| IsAzureInfoProtectionApplied |
bool |
Indica se il file è crittografato da Azure Information Protection. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| MachineGroup |
string |
Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| MD5 |
string |
Hash MD5 del file a cui è stata applicata l'azione registrata. |
| PreviousFileName |
string |
Nome originale del file rinominato in seguito all'azione. |
| PreviousFolderPath |
string |
Cartella originale contenente il file prima dell'applicazione dell'azione registrata. |
| ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere utilizzata insieme alle colonne ComputerName e EventTime. |
| RequestAccountDomain |
string |
Dominio dell'account usato per avviare in remoto l'attività. |
| RequestAccountName |
string |
Nome utente dell'account usato per avviare in remoto l'attività. |
| RequestAccountSid |
string |
Identificatore di sicurezza (SID) dell'account usato per avviare in remoto l'attività. |
| RequestProtocol |
string |
Protocollo di rete, se applicabile, usato per avviare l'attività: Sconosciuto, Locale, SMB o NFS. |
| RequestSourceIP |
string |
Indirizzo IPv4 o IPv6 del dispositivo remoto che ha avviato l'attività. |
| RequestSourcePort |
int |
Porta di origine nel dispositivo remoto che ha avviato l'attività. |
| SensitivityLabel |
string |
Etichetta applicata a un messaggio di posta elettronica, a un file o a un altro contenuto per classificarla per la protezione delle informazioni. |
| SensitivitySubLabel |
string |
Etichetta secondaria applicata a un messaggio di posta elettronica, a un file o ad altro contenuto per classificarla per la protezione delle informazioni; le etichette secondarie di riservatezza sono raggruppate sotto etichette di riservatezza, ma vengono trattate in modo indipendente. |
| SHA1 |
string |
Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. |
| ShareName |
string |
Nome della cartella condivisa contenente il file. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId |
string |
L'ID dell'area di lavoro Log Analytics |
| TimeGenerated |
datetime |
Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Type |
string |
Nome della tabella |