ActingProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania działającego procesu. |
ActingProcessCreationTime |
datetime |
Data i godzina rozpoczęcia działającego procesu. |
ActingProcessFileCompany |
string |
Firma, która utworzyła działający plik obrazu procesu. |
ActingProcessFileDescription |
string |
Opis osadzony w informacjach o wersji pliku obrazu procesu działania. |
ActingProcessFileInternalName |
string |
Wewnętrzna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. |
ActingProcessFilename |
string |
Nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. |
ActingProcessFileOriginalName |
string |
Oryginalna nazwa pliku produktu z informacji o wersji działającego pliku obrazu procesu. |
ActingProcessFileProduct |
string |
Nazwa produktu z informacji o wersji w pliku obrazu procesu działającego. |
ActingProcessFileSize |
długi |
Rozmiar pliku w bajtach, w których uruchomiono działający proces. |
ActingProcessFileVersion |
string |
Wersja produktu z informacji o wersji działającego pliku obrazu procesu. |
ActingProcessGuid |
string |
Identyfikator GUID działającego procesu. |
ActingProcessId |
string |
Identyfikator procesu działającego. |
ActingProcessIMPHASH |
string |
Skrót importu wszystkich bibliotek DLL używanych przez proces działania. |
ActingProcessInjectedAddress |
string |
Adres pamięci, w którym jest przechowywany odpowiedzialny proces działający. |
ActingProcessIntegrityLevel |
string |
Poziom integralności dla działającego procesu. |
ActingProcessIsHidden |
bool |
Wskazanie, czy proces działający jest w trybie ukrytym. |
ActingProcessMD5 |
string |
Skrót MD5 pliku obrazu procesu działającego. |
ActingProcessName |
string |
Nazwa działającego procesu. |
ActingProcessSHA1 |
string |
Skrót SHA-1 pliku obrazu procesu działającego. |
ActingProcessSHA256 |
string |
Skrót SHA-256 pliku obrazu procesu działającego. |
ActingProcessSHA512 |
string |
Skrót SHA-512 pliku obrazu procesu działającego. |
ActingProcessTokenElevation |
string |
Token wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) stosowane do działającego procesu. |
ActorOriginalUserType |
string |
Typ użytkownika zgłoszony przez urządzenie raportowania. |
AktorZakres |
string |
Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername. |
AktorScopeId |
string |
Identyfikator zakresu, taki jak identyfikator dzierżawy usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername. |
ActorsSessionId |
string |
Unikatowy identyfikator sesji logowania aktora. |
AktorUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. |
AktorUserIdType |
string |
Typ identyfikatora przechowywanego w polu ActorUserId. |
AktorUsername |
string |
Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. |
AktorUsernameType |
string |
Typ nazwy użytkownika aktora określony w polu ActionUsername |
AktorUserType |
string |
Typ aktora. |
Dodatkowe pola |
dynamiczna |
Dodatkowe informacje reprezentowane przy użyciu par klucz i wartość dostarczone przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
DvcAction |
string |
W przypadku systemów zabezpieczeń raportowania akcja podjęta przez system. |
DvcDescription |
string |
Tekst opisowy skojarzony z urządzeniem. |
DvcDomain |
string |
Domena urządzenia zgłasza zdarzenie. |
DvcDomainType |
string |
Typ DvcDomain. Możliwe wartości to "Windows" i "FQDN". |
DvcFQDN |
string |
Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcHostname |
string |
Nazwa hosta urządzenia zgłasza zdarzenie. |
DvcId |
string |
Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcIdType |
string |
Typ DvcId. |
DvcInterface |
string |
Interfejs sieciowy, na którym zostały przechwycone dane. |
DvcIpAddr |
string |
Adres IP urządzenia zgłasza zdarzenie. |
DvcMacAddr |
string |
Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOriginalAction |
string |
Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
DvcOs |
string |
System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcOsVersion |
string |
Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje identyfikator subskrypcji na platformę Azure i na identyfikator konta na platformie AWS. |
DvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
DvcZone |
string |
Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
EventCount |
int |
Liczba zdarzeń opisanych przez rekord. |
EventEndTime |
datetime |
Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventMessage |
string |
Ogólny komunikat lub opis. |
EventOriginalResultDetails |
string |
Oryginalne szczegóły wyniku dostarczone przez źródło. |
EventOriginalSeverity |
string |
Oryginalna ważność podana przez urządzenie raportowania. |
EventOriginalSubType |
string |
Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło. |
EventOriginalType |
string |
Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło. |
EventOriginalUid |
string |
Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło. |
Właściciel zdarzenia |
string |
Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
EventProduct |
string |
Produkt generujący zdarzenie. |
EventProductVersion |
string |
Wersja produktu generująca zdarzenie. |
EventReportUrl |
string |
Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
EventResult |
string |
Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
EventResultDetails |
string |
Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult. |
EventSchemaVersion |
string |
Wersja schematu. |
EventSeverity |
string |
Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
EventStartTime |
datetime |
Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventSubType |
string |
Opisuje podział operacji zgłoszonej w polu EventType. |
EventType |
string |
Opisuje operację zgłoszoną przez rekord |
EventVendor |
string |
Dostawca produktu generującego zdarzenie. |
_IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
ParentProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu nadrzędnego. |
ParentProcessFileCompany |
string |
Firma, która utworzyła plik obrazu procesu nadrzędnego. |
ParentProcessFileDescription |
string |
Opis z informacji o wersji pliku obrazu procesu nadrzędnego. |
ParentProcessFileProduct |
string |
Nazwa produktu z informacji o wersji w pliku obrazu procesu nadrzędnego. |
ParentProcessFileVersion |
string |
Wersja produktu z informacji o wersji pliku obrazu procesu nadrzędnego. |
ParentProcessGuid |
string |
Identyfikator GUID procesu nadrzędnego. |
ParentProcessId |
string |
Identyfikator procesu nadrzędnego. |
ParentProcessIMPHASH |
string |
Skrót importu wszystkich bibliotek DLL używanych przez proces nadrzędny. |
ParentProcessInjectedAddress |
string |
Adres pamięci, w którym jest przechowywany odpowiedzialny proces nadrzędny. |
ParentProcessIntegrityLevel |
string |
Poziom integralności dla procesu nadrzędnego. |
ParentProcessIsHidden |
bool |
Wskazanie, czy proces nadrzędny jest w trybie ukrytym. |
ParentProcessMD5 |
string |
Skrót MD5 pliku obrazu procesu nadrzędnego. |
ParentProcessName |
string |
Nazwa procesu nadrzędnego. |
ParentProcessSHA1 |
string |
Skrót SHA-1 pliku obrazu procesu nadrzędnego. |
ParentProcessSHA256 |
string |
Skrót SHA-256 pliku obrazu procesu nadrzędnego. |
ParentProcessSHA512 |
string |
Skrót SHA-512 pliku obrazu procesu nadrzędnego. |
ParentProcessTokenElevation |
string |
Token wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu nadrzędnego. |
_ResourceId |
string |
Unikatowy identyfikator zasobu skojarzonego z rekordem |
RuleName |
string |
Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
RuleNumber |
int |
Liczba reguł skojarzonych z wynikami inspekcji. |
SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
_SubscriptionId |
string |
Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TargetOriginalUserType |
string |
Typ użytkownika zgłoszony przez urządzenie raportowania. |
TargetProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania procesu docelowego. |
TargetProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu docelowego. |
TargetProcessCurrentDirectory |
string |
Bieżący katalog, w którym jest wykonywany proces docelowy. |
TargetProcessFileCompany |
string |
Firma, która utworzyła docelowy plik obrazu procesu. |
TargetProcessFileDescription |
string |
Opis z informacji o wersji pliku obrazu procesu docelowego. |
TargetProcessFileInternalName |
string |
Wewnętrzna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
TargetProcessFilename |
string |
Nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
TargetProcessFileOriginalName |
string |
Oryginalna nazwa pliku produktu z informacji o wersji pliku obrazu procesu docelowego. |
TargetProcessFileProduct |
string |
Nazwa produktu z informacji o wersji w pliku obrazu procesu docelowego. |
TargetProcessFileSize |
długi |
Rozmiar pliku w bajtach, w których uruchomiono proces odpowiedzialny za zdarzenie. |
TargetProcessFileVersion |
string |
Wersja produktu z informacji o wersji pliku obrazu procesu docelowego. |
TargetProcessGuid |
string |
Identyfikator GUID procesu docelowego. |
TargetProcessId |
string |
Identyfikator procesu docelowego. |
TargetProcessIMPHASH |
string |
Skrót importu wszystkich bibliotek DLL używanych przez proces docelowy. |
TargetProcessInjectedAddress |
string |
Adres pamięci, w którym jest przechowywany odpowiedzialny proces docelowy. |
TargetProcessIntegrityLevel |
string |
Poziom integralności dla procesu docelowego. |
TargetProcessIsHidden |
bool |
Wskazanie, czy proces docelowy jest w trybie ukrytym. |
TargetProcessMD5 |
string |
Skrót MD5 pliku obrazu procesu docelowego. |
TargetProcessName |
string |
Nazwa procesu docelowego. |
TargetProcessSHA1 |
string |
Skrót SHA-1 pliku obrazu procesu docelowego. |
TargetProcessSHA256 |
string |
Skrót SHA-256 pliku obrazu procesu docelowego. |
TargetProcessSHA512 |
string |
Skrót SHA-512 pliku obrazu procesu docelowego. |
TargetProcessStatusCode |
string |
Kod zakończenia zwrócony przez proces docelowy po zakończeniu. |
TargetProcessTokenElevation |
string |
Token wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu docelowego. |
TargetScope |
string |
Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano identyfikator TargetUserId i TargetUsername. |
TargetScopeId |
string |
Identyfikator zakresu, taki jak identyfikator dzierżawy usługi Azure AD, w którym zdefiniowano identyfikator TargetUserId i TargetUsername. |
TargetUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. |
TargetUserIdType |
string |
Typ identyfikatora przechowywanego w polu TargetUserId. |
TargetUsername |
string |
Nazwa użytkownika aktora docelowego, w tym informacje o domenie, gdy są dostępne. |
TargetUsernameType |
string |
Typ nazwy użytkownika aktora docelowego określony w polu TargetUsername |
TargetUserSessionGuid |
string |
Unikatowy identyfikator GUID sesji logowania aktora docelowego. |
TargetUserSessionId |
string |
Unikatowy identyfikator sesji logowania aktora docelowego. |
TargetUserType |
string |
Typ aktora docelowego. |
TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory |
string |
Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatConfidence |
int |
Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField |
string |
Pole, dla którego zidentyfikowano zagrożenie. |
ThreatFirstReportedTime |
datetime |
Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatId |
string |
Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatIsActive |
bool |
Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie. |
ThreatLastReportedTime |
datetime |
Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName |
string |
Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu. |
ThreatOriginalConfidence |
string |
Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
ThreatOriginalRiskLevel |
string |
Poziom ryzyka zgłoszony przez urządzenie raportowania. |
ThreatRiskLevel |
int |
Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
TimeGenerated |
datetime |
Znacznik czasu (UTC) odzwierciedla czas wygenerowania zdarzenia. |
Typ |
string |
Nazwa tabeli |