| AccountDomain |
строка |
Домен учетной записи. |
| AccountName |
строка |
Имя пользователя учетной записи. |
| AccountSid |
строка |
Идентификатор безопасности учетной записи. |
| Тип действия |
строка |
Тип действия, активировав событие. |
| AdditionalFields |
по строкам |
Дополнительные сведения о сущности или событии. |
| AppGuardContainerId |
строка |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize |
real |
Размер записи в байтах |
| CreatedProcessSessionId |
длинный |
Идентификатор сеанса Windows созданного процесса. |
| DeviceId |
строка |
Уникальный идентификатор устройства в службе. |
| DeviceName |
строка |
Полное доменное имя устройства. |
| FileName |
строка |
Домен учетной записи. |
| FileOriginIP |
строка |
IP-адрес, из которого был скачан файл. |
| FileOriginUrl |
строка |
URL-адрес, из которого был скачан файл. |
| FileSize |
длинный |
Размер файла в байтах. |
| FolderPath |
строка |
Домен учетной записи. |
| ИнициированиеProcessAccountDomain |
строка |
Домен учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountName |
строка |
Имя пользователя учетной записи, которая выполнила процесс, отвечающий за событие. |
| ИнициированиеProcessAccountObjectId |
строка |
Идентификатор объекта Azure AD учетной записи пользователя, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountSid |
строка |
Идентификатор безопасности учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountUpn |
строка |
Имя субъекта-пользователя (UPN) учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessCommandLine |
строка |
Командная строка, используемая для запуска процесса, инициирующего событие. |
| ИнициированиеProcessCreationTime |
datetime |
Дата и время запуска процесса, инициированного событием. |
| ИнициированиеProcessFileName |
строка |
Имя процесса, инициируемого событием. |
| ИнициированиеProcessFileSize |
длинный |
Размер в байтах файла, выполняющего процесс, отвечающий за событие. |
| ИнициированиеProcessFolderPath |
строка |
Папка, содержащая процесс (файл изображения), инициируемый событием. |
| ИнициированиеProcessId |
длинный |
Идентификатор процесса (PID) процесса, инициирующего событие. |
| ИнициированиеProcessLogonId |
длинный |
Идентификатор сеанса входа в процесс, инициируемый событием. Этот идентификатор уникален на одном компьютере только между перезапусками. |
| ИнициированиеProcessMD5 |
строка |
Хэш MD5 процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessParentCreationTime |
datetime |
Дата и время начала родительского процесса, ответственного за событие. |
| ИнициированиеProcessParentFileName |
строка |
Имя родительского процесса, который породил процесс, отвечающий за событие. |
| ИнициированиеProcessParentId |
длинный |
Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
| ИнициированиеProcessRemoteSessionDeviceName |
строка |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ИнициированиеProcessRemoteSessionIP |
строка |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ИнициированиеProcessSessionId |
длинный |
Идентификатор сеанса Windows для процесса инициации. |
| ИнициированиеProcessSHA1 |
строка |
Хэш SHA-1 процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessSHA256 |
строка |
Хэш SHA-256 процесса (файла изображения), инициированного событием. Обычно это поле не заполняется. При наличии используйте столбец SHA1. |
| ИнициированиеProcessVersionInfoCompanyName |
строка |
Имя компании из сведений о версии процесса (файла образа), ответственного за событие. |
| ИнициированиеProcessVersionInfoFileDescription |
строка |
Описание из сведений о версии процесса (файла изображения), ответственного за событие. |
| ИнициированиеProcessVersionInfoInternalFileName |
строка |
Имя внутреннего файла из сведений о версии процесса (файла образа), ответственного за событие. |
| ИнициированиеProcessVersionInfoOriginalFileName |
строка |
Исходное имя файла из сведений о версии процесса (файла образа), ответственного за событие. |
| ИнициированиеProcessVersionInfoProductName |
строка |
Имя продукта из сведений о версии процесса (файла изображения), ответственного за событие. |
| ИнициированиеProcessVersionInfoProductVersion |
строка |
Версия продукта из сведений о версии процесса (файла образа), ответственного за событие. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| IsInitiatingProcessRemoteSession |
bool |
Указывает, был ли запущен процесс инициирования в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| IsProcessRemoteSession |
bool |
Указывает, был ли созданный процесс запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| LocalIP |
строка |
IP-адрес, назначенный локальному компьютеру, используемому во время обмена данными. |
| LocalPort |
INT |
TCP-порт на локальном компьютере, используемом во время обмена данными. |
| Входной идентификатор |
длинный |
Идентификатор сеанса входа. Этот идентификатор уникален на одном компьютере только между перезапусками. |
| MachineGroup |
строка |
Группа компьютеров. Эта группа используется с помощью управления доступом на основе ролей для определения доступа к компьютеру. |
| MD5 |
строка |
Хэш MD5 файла, к которому было применено записанное действие. |
| ProcessCommandLine |
строка |
Командная строка, используемая для создания нового процесса. |
| ProcessCreationTime |
datetime |
Дата и время создания процесса. |
| ProcessId |
длинный |
Идентификатор процесса (PID) созданного процесса. |
| ProcessRemoteSessionDeviceName |
строка |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP созданного процесса. |
| ProcessRemoteSessionIP |
строка |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP созданного процесса. |
| ProcessTokenElevation |
строка |
Тип токена, указывающий на наличие или отсутствие прав пользователя контроль доступа (UAC), примененного к созданному процессу. |
| RegistryKey |
строка |
Раздел реестра, к которому применено записанное действие. |
| RegistryValueData |
строка |
Данные значения реестра, к которому применено записанное действие. |
| RegistryValueName |
строка |
Имя значения реестра, к которому применено записанное действие. |
| RemoteDeviceName |
строка |
Имя устройства, выполняющего удаленную операцию на затронутом компьютере. В зависимости от сообщаемого события это имя может быть полным доменным именем (FQDN), именем NetBIOS или именем узла без сведений о домене. |
| RemoteIP |
строка |
IP-адрес, к которому подключено подключение. |
| RemotePort |
INT |
TCP-порт на удаленном устройстве, к которому подключено подключение. |
| RemoteUrl |
строка |
URL-адрес или полное доменное имя (FQDN), к которому подключено подключение. |
| ReportId |
длинный |
Идентификатор события на основе повторяющегося счетчика. Чтобы определить уникальные события, этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| SHA1 |
строка |
Хэш SHA-1 файла, к которому было применено записанное действие. |
| SHA256 |
строка |
SHA-256 файла, к которому применено записанное действие. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время записи события агентом MDE в конечной точке. |
| Тип |
строка |
Имя таблицы. |