| ActingProcessCommandLine |
строка |
Командная строка, используемая для запуска действующего процесса. |
| ActingProcessGuid |
строка |
Созданный уникальный идентификатор (GUID) действующего процесса. |
| ActingProcessId |
строка |
Идентификатор (PID) действующего процесса. |
| ActingProcessName |
строка |
Имя действующего процесса. |
| ActorOriginalUserType |
строка |
Исходный тип пользователя субъекта, предоставленный устройством отчетов. |
| ActorScope |
строка |
Область, например клиент Azure AD, в которой определены ActorUserId и ActorUsername. |
| ActorScopeId |
строка |
Идентификатор области, например идентификатор каталога Azure AD, в котором определены ActorUserId и ActorUsername. |
| ActorSessionId |
строка |
Уникальный идентификатор сеанса входа субъекта. |
| ActorUserAadId |
строка |
Идентификатор субъекта Azure Active Directory. |
| ActorUserId |
строка |
Машинное чтение, буквенно-цифровое, уникальное представление субъекта. |
| ActorUserIdType |
строка |
Тип идентификатора, который хранится в поле ActorUserId. |
| ActorUsername |
строка |
Имя пользователя субъекта, включая сведения о домене, если они доступны. |
| ActorUsernameType |
строка |
Определяет тип имени пользователя, которое хранится в поле ActorUsername. |
| ActorUserSid |
строка |
Идентификатор пользователя Windows (SID) субъекта. |
| ActorUserType |
строка |
Тип субъекта. |
| AdditionalFields |
по строкам |
Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставляемых источником, который не сопоставляется с ASim. |
| _BilledSize |
real |
Размер записи в байтах |
| DvcAction |
строка |
Действия, выполненные в веб-сеансе. |
| DvcDescription |
строка |
Текст описания, связанный с устройством. |
| DvcDomain |
строка |
Домен устройства, сообщающего о событии. |
| DvcDomainType |
строка |
Тип DvcDomain. Допустимые значения включают "Windows" и "полное доменное имя". |
| DvcFQDN |
строка |
Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcHostname |
строка |
Имя узла устройства, сообщающее о событии. |
| DvcId |
строка |
Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType |
строка |
Тип DvcId. |
| DvcInterface |
строка |
Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcIpAddr |
строка |
IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr |
строка |
MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. |
| DvcOriginalAction |
строка |
Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs |
строка |
Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcOsVersion |
строка |
Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcScope |
строка |
Область облачной платформы, к которой принадлежит устройство. DvcScope сопоставляет имя подписки в Azure и идентификатор учетной записи в AWS. |
| DvcScopeId |
строка |
Идентификатор области облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone |
строка |
Сеть, в которой произошло событие или которая сообщила о событии, в зависимости от схемы. |
| EventCount |
INT |
Обычно это значение используется для источников, которые поддерживают агрегирование, то есть когда одна запись может сопоставляться с несколькими событиями. |
| EventEndTime |
datetime |
Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage |
строка |
Общее сообщение или описание. |
| EventOriginalResultDetails |
строка |
Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalSeverity |
строка |
Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventOriginalSubType |
строка |
Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле будет использоваться для хранения исходного типа события входа Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalType |
строка |
Исходный идентификатор или тип события, если он указан источником. |
| EventOriginalUid |
строка |
Уникальный идентификатор исходной записи, если он указан источником. |
| EventOwner |
строка |
Владелец события, который обычно является отделом или дочерней компанией, в которой она была создана. |
| EventProduct |
строка |
Продукт, создающий событие. |
| EventProductVersion |
строка |
Версия продукта, создающего событие. |
| EventReportUrl |
строка |
URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| EventResult |
строка |
Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (Not Applicable). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| EventResultDetails |
строка |
Код состояния HTTP. |
| EventSchema |
строка |
Схема, в которую было нормализовано событие. Каждая схема документирует имя схемы. |
| EventSchemaVersion |
строка |
Номер версии схемы. |
| EventSeverity |
строка |
Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий". |
| EventStartTime |
datetime |
Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType |
строка |
Дополнительное описание типа события, если применимо. |
| EventType |
строка |
Операция, сообщаемая записью. |
| EventVendor |
строка |
Поставщик продукта, создающего событие. |
| HashType |
строка |
Тип хэша, хранящегося в поле "Хэш-псевдоним". |
| HttpUserAgent |
строка |
Когда операция инициируется с помощью ПРОТОКОЛА HTTP или HTTPS, заголовок агента пользователя HTTP. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| NetworkApplicationProtocol |
строка |
Когда операция инициируется удаленной системой, протокол уровня приложений, используемый подключением или сеансом. |
| _ResourceId |
строка |
Уникальный идентификатор ресурса, с которым связана запись. |
| RuleName |
строка |
Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber |
INT |
Число правил, связанных с результатами проверки. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcDescription |
строка |
Текст описания, связанный с устройством. |
| SrcDeviceType |
строка |
Тип исходного устройства. |
| SrcDomain |
строка |
Домен исходного устройства. |
| SrcDomainType |
строка |
Тип SrcDomain. |
| SrcDvcId |
строка |
Идентификатор исходного устройства. |
| SrcDvcIdType |
строка |
Тип SrcDvcId. |
| SrcDvcScope |
строка |
Область облачной платформы, к которой принадлежит устройство. |
| SrcDvcScopeId |
строка |
Идентификатор области облачной платформы, к которому принадлежит устройство. |
| SrcFileCreationTime |
datetime |
Время, когда был создан исходный файл. |
| SrcFileDirectory |
строка |
Папка или расположение исходного файла. |
| SrcFileExtension |
строка |
Расширение исходного файла. |
| SrcFileMD5 |
строка |
Хэш MD5 исходного файла. |
| SrcFileMimeType |
строка |
MIME или мультимедийный тип исходного файла. |
| SrcFileName |
строка |
Имя исходного файла без пути или папки, но с расширением, если оно необходимо. |
| SrcFilePath |
строка |
Полный нормализованный путь к исходному файлу, включая папку или расположение, имя файла и расширение. |
| SrcFilePathType |
строка |
Тип SrcFilePath. |
| SrcFileSHA1 |
строка |
Хэш SHA-1 исходного файла. |
| SrcFileSHA256 |
строка |
Хэш SHA-256 исходного файла. |
| SrcFileSHA512 |
строка |
Хэш SHA-512 исходного файла. |
| SrcFileSize |
длинный |
Размер исходного файла в байтах. |
| SrcFQDN |
строка |
Имя узла исходного устройства, включая сведения о домене, если они доступны. |
| SrcGeoCity |
строка |
Город, связанный с исходным IP-адресом. |
| SrcGeoCountry |
строка |
Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude |
real |
Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude |
real |
Географическая долгота, связанная с исходным IP-адресом. |
| SrcGeoRegion |
строка |
Регион в стране, связанный с исходным IP-адресом. |
| SrcHostname |
строка |
Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, сохраните в этом поле соответствующий IP-адрес. |
| SrcIpAddr |
строка |
Если операция инициируется удаленной системой, это IP-адрес данной системы. |
| SrcMacAddr |
строка |
MAC-адрес исходного устройства. |
| SrcOriginalRiskLevel |
строка |
Связанный с источником уровень риска. Как сообщается на устройстве отчетов или обогащено. |
| SrcPortNumber |
INT |
Когда операция инициируется удаленной системой, номер порта, из которого был инициирован подключение. |
| SrcRiskLevel |
INT |
Связанный с источником уровень риска. |
| _SubscriptionId |
строка |
Уникальный идентификатор подписки, с которой связана запись |
| TargetAppId |
строка |
Идентификатор приложения назначения, который сообщается устройством отчетов. |
| TargetAppName |
строка |
Введите имя приложения назначения. |
| TargetAppType |
строка |
Тип приложения назначения. |
| TargetFileCreationTime |
datetime |
Время, когда был создан целевой файл. |
| TargetFileDirectory |
строка |
Папка или расположение целевого файла. |
| TargetFileExtension |
строка |
Расширение целевого файла. |
| TargetFileMD5 |
строка |
Хэш MD5 целевого файла. |
| TargetFileMimeType |
строка |
Тип Mime или Media целевого файла. |
| TargetFileName |
строка |
Имя целевого файла без пути или папки, но с расширением, если оно необходимо. |
| TargetFilePath |
строка |
Полный нормализованный путь к целевому файлу, включая папку или расположение, имя файла и расширение. |
| TargetFilePathType |
строка |
Тип TargetFilePath. |
| TargetFileSHA1 |
строка |
Хэш SHA-1 целевого файла. |
| TargetFileSHA256 |
строка |
Хэш SHA-256 целевого файла. |
| TargetFileSHA512 |
строка |
Хэш SHA-512 исходного файла. |
| TargetFileSize |
длинный |
Размер целевого файла в байтах. |
| TargetOriginalAppType |
строка |
Тип целевого приложения, сообщаемый устройством отчетов. |
| TargetUrl |
строка |
Когда операция инициируется по протоколу HTTP или HTTPS, используется URL. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| ThreatCategory |
строка |
Категория угроз или вредоносных программ, определенных в действии файла. |
| ThreatConfidence |
INT |
Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField |
строка |
Поле, для которого была обнаружена угроза. Это значение — SrcFilePath или DstFilePath. |
| ThreatFilePath |
строка |
Путь к файлу, для которого обнаружена угроза. Поле ThreatField содержит имя поля ThreatFilePath. |
| ThreatFirstReportedTime |
datetime |
Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId |
строка |
Идентификатор угрозы или вредоносных программ, определенных в действии файла. |
| ThreatIsActive |
bool |
Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime |
datetime |
Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName |
строка |
Имя угрозы или вредоносных программ, определенных в действии файла. |
| ThreatOriginalConfidence |
строка |
Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel |
строка |
Уровень риска, сообщаемый устройством отчетов. |
| ThreatRiskLevel |
INT |
Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. |
| TimeGenerated |
datetime |
Метка времени, отражающая время создания события. |
| Тип |
строка |
Имя таблицы. |