| AccountDomain |
string |
Domena konta. |
| AccountName |
string |
Nazwa użytkownika konta. |
| AccountObjectId |
string |
Unikatowy identyfikator konta w usłudze Azure Active Directory. |
| AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta. |
| AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta. |
| Dodatkowe pola |
dynamiczna |
Dodatkowe informacje o zdarzeniu w formacie tablicy JSON. |
| Identyfikator alertu |
string |
Unikatowy identyfikator alertu. |
| Aplikacja |
string |
Aplikacja, która wykonała zarejestrowaną akcję. |
| Identyfikator aplikacji |
int |
Unikatowy identyfikator aplikacji. |
| Techniki ataków |
string |
TECHNIKI MITRE ATT&CK skojarzone z działaniem, które wyzwoliło alert. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| Kategorie |
string |
Lista kategorii, do których należą informacje, w formacie tablicy JSON. |
| DetectionSource |
string |
Technologia wykrywania lub czujnik, który zidentyfikował godny uwagi składnik lub działanie. |
| DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia |
string |
W pełni kwalifikowana nazwa domeny (FQDN) maszyny. |
| Adres e-mailpodsubject |
string |
Temat wiadomości e-mail. |
| Typ jednostki |
string |
Typ obiektu, taki jak plik, proces, urządzenie lub użytkownik. |
| EvidenceDirection |
string |
Wskazuje, czy jednostka jest źródłem, czy miejscem docelowym połączenia sieciowego. |
| EvidenceRole |
string |
Sposób, w jaki jednostka jest zaangażowana w alert, wskazując, czy ma to wpływ, czy tylko jest powiązana. |
| FileName |
string |
Nazwa pliku, do którego zastosowano zarejestrowaną akcję. |
| Rozmiar pliku |
długi |
Rozmiar pliku w bajtach. |
| FolderPath |
string |
Folder zawierający plik, do którego zastosowano zarejestrowaną akcję. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| LocalIP |
string |
Adres IP przypisany do urządzenia lokalnego używanego podczas komunikacji. |
| NetworkMessageId |
string |
Unikatowy identyfikator wiadomości e-mail wygenerowany przez usługę Office 365. |
| OAuthApplicationId |
string |
Unikatowy identyfikator aplikacji OAuth innej firmy. |
| ProcessCommandLine |
string |
Wiersz polecenia służący do tworzenia nowego procesu. |
| Klucz rejestru |
string |
Klucz rejestru, do którego zastosowano zarejestrowaną akcję. |
| RegistryValueData |
string |
Dane wartości rejestru, do których zastosowano zarejestrowaną akcję. |
| RegistryValueName |
string |
Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję. |
| RemoteIP |
string |
Adres IP, z który był połączony. |
| RemoteUrl |
string |
Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą była połączona. |
| ServiceSource |
string |
Produkt lub usługa, która dostarczyła informacje o alercie. |
| SHA1 |
string |
SHA-1 pliku, do którego zastosowano zarejestrowaną akcję. |
| SHA256 |
string |
SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełniane— użyj kolumny SHA1, jeśli jest dostępna. |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatFamily |
string |
Rodzina złośliwego oprogramowania, w ramach którego sklasyfikowano podejrzany lub złośliwy plik lub proces. |
| TimeGenerated |
datetime |
Data i godzina (UTC) wygenerowania rekordu. |
| Tytuł |
string |
Tytuł alertu. |
| Typ |
string |
Nazwa tabeli |