| ActionType |
string |
Tipo de atividade que desencadeou o evento. |
| AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegador. |
| _BilledSize |
real |
O tamanho do registro em bytes |
| DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço. |
| DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo. |
| IniciandoProcessAccountDomain |
string |
Domínio da conta que executou o processo de inicialização. |
| IniciandoNomedaContaDeProcesso |
string |
Nome de usuário da conta que executou o processo de inicialização. |
| IniciandoProcessAccountObjectId |
string |
ID de objeto do Azure AD da conta de usuário que executou o processo de inicialização. |
| IniciandoProcessAccountSid |
string |
SID (Identificador de Segurança) da conta que executou o processo de inicialização. |
| IniciandoProcessAccountUpn |
string |
Nome UPN da conta que executou o processo de inicialização. |
| Linha de comando de processo inicial |
string |
Linha de comando usada para executar o processo de iniciação. |
| IniciandoProcessoCriaçãoTempo |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado. |
| IniciandoNome_do_Arquivo_do_Processo |
string |
Nome do processo inicial. |
| IniciandoProcessFileSize |
longo |
O tamanho do arquivo (bytes) que executou o processo responsável pelo evento. |
| IniciandoProcessoPastaPath |
string |
Pasta que contém o processo inicial (arquivo de imagem). |
| IniciandoProcessId |
longo |
ID do processo (PID) do processo inicial. |
| IniciandoProcessIntegrityLevel |
string |
Nível de integridade do processo inicial. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles tivessem sido iniciados a partir de um download da Internet. Esses níveis de integridade influenciam as permissões para recursos. |
| IniciandoProcessoMD5 |
string |
Hash MD5 do processo de inicialização (arquivo de imagem). |
| IniciandoProcessoParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado. |
| IniciandoProcessParentFileName |
string |
Nome do processo pai que gerou o processo inicial. |
| IniciandoProcessParentId |
longo |
ID do processo (PID) do processo pai que gerou o processo inicial. |
| IniciandoProcessoRemotoSessãoNome_doDispositivo |
string |
Nome do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada. |
| IniciandoProcessoRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada. |
| IniciandoProcessSessionId |
longo |
ID da sessão do Windows do processo inicial. |
| IniciandoProcessoSHA1 |
string |
Hash SHA-1 do processo inicial (arquivo de imagem). |
| IniciandoProcessoSHA256 |
string |
Hash SHA-256 do processo inicial (arquivo de imagem). Em alguns casos, essa coluna pode não ser preenchida – use a coluna InitiatingProcessSHA1. |
| IniciandoProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência de elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo inicial. |
| IniciandoProcessVersionInfoCompanyName |
string |
O nome da empresa nas informações da versão (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoFileDescription |
string |
A descrição nas informações da versão (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoInternalFileName |
string |
O nome do arquivo interno nas informações de versão (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoOriginalFileName |
string |
O nome do arquivo original nas informações da versão (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoProductName |
string |
O nome do produto nas informações da versão (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoProductVersion |
string |
A versão do produto nas informações da versão (arquivo de imagem) responsável pelo evento. |
| _IsBillable |
string |
Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| IsInitiatingProcessRemoteSession |
bool |
Indica se o processo inicial foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false). |
| Grupo de máquinas |
string |
Grupo de máquinas da máquina. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao computador. |
| AnteriorChave do Registro |
string |
Chave de registro original antes de ser modificada. |
| AnteriorRegistryValueData |
string |
Dados originais do valor do Registro antes de serem modificados. |
| AnteriorNome_do_Registro_do_Registro |
string |
Nome original do valor do Registro antes de ser modificado. |
| RegistryKey |
string |
Chave do Registro à qual a ação gravada foi aplicada. |
| RegistryValueData |
string |
Dados do valor do Registro ao qual a ação registrada foi aplicada. |
| Nome_do_Registro_Valor_da_Registro |
string |
Nome do valor do Registro ao qual a ação registrada foi aplicada. |
| RegistryValueType |
string |
Tipo de dados, como binário ou cadeia de caracteres, do valor do Registro ao qual a ação registrada foi aplicada. |
| ReportId |
longo |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, essa coluna deve ser usada em conjunto com as colunas ComputerName e EventTime. |
| SourceSystem |
string |
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
| TenantId |
string |
A ID do workspace do Log Analytics |
| TimeGenerated |
datetime |
Data e hora em que o evento foi registrado pelo agente MDE no ponto de extremidade. |
| Type |
string |
O nome da tabela |