| Тип действия |
строка |
Тип действия, активировав событие. |
| AdditionalFields |
по строкам |
Дополнительные сведения о сущности или событии. |
| AppGuardContainerId |
строка |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize |
real |
Размер записи в байтах |
| DeviceId |
строка |
Уникальный идентификатор устройства в службе. |
| DeviceName |
строка |
Полное доменное имя устройства. |
| FileName |
строка |
Имя файла, к которому было применено записанное действие. |
| FileOriginIP |
строка |
IP-адрес, из которого был скачан файл. |
| FileOriginReferrerUrl |
строка |
URL-адрес веб-страницы, которая ссылается на скачанный файл. |
| FileOriginUrl |
строка |
URL-адрес, из которого был скачан файл. |
| FileSize |
длинный |
Размер файла в байтах. |
| FolderPath |
строка |
Папка, содержащая файл, к которому применено записанное действие. |
| InitProcessAccountDomain |
строка |
Домен учетной записи, выполняющей процесс, отвечающий за событие. |
| InitProcessAccountName |
строка |
Имя пользователя учетной записи, которая выполнила процесс, отвечающий за событие. |
| InitProcessAccountObjectId |
строка |
Идентификатор объекта Azure AD учетной записи пользователя, выполняющей процесс, отвечающий за событие. |
| InitProcessAccountSid |
строка |
Идентификатор безопасности учетной записи, выполняющей процесс, отвечающий за событие. |
| InitProcessAccountUpn |
строка |
Имя субъекта-пользователя (UPN) учетной записи, выполняющей процесс, отвечающий за событие. |
| InitProcessCommandLine |
строка |
Командная строка, используемая для запуска процесса, инициирующего событие. |
| InitProcessCreationTime |
datetime |
Дата и время запуска процесса, инициированного событием. |
| InitProcessFileName |
строка |
Имя процесса, инициируемого событием. |
| InitProcessFileSize |
длинный |
Размер в байтах процесса (файла изображения), инициированного событием. |
| InitProcessFolderPath |
строка |
Папка, содержащая процесс (файл изображения), инициируемый событием. |
| InitProcessId |
длинный |
Идентификатор процесса (PID) процесса, инициирующего событие. |
| InitProcessIntegrityLevel |
строка |
Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, таких как если бы они были запущены из скачивания в Интернете. Эти уровни целостности влияют на разрешения для ресурсов. |
| InitProcessMD5 |
строка |
Хэш MD5 процесса (файла изображения), инициированного событием. |
| InitProcessParentCreationTime |
datetime |
Дата и время начала родительского процесса, ответственного за событие. |
| InitProcessParentFileName |
строка |
Имя родительского процесса, который породил процесс, отвечающий за событие. |
| InitProcessParentId |
длинный |
Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
| InitProcessSHA1 |
строка |
Хэш SHA-1 процесса (файла изображения), инициированного событием. |
| InitProcessSHA256 |
строка |
Хэш SHA-256 процесса (файла изображения), инициированного событием. Обычно это поле не заполняется. При наличии используйте столбец SHA1. |
| InitProcessTokenElevation |
строка |
Тип токена, указывающий на наличие или отсутствие прав пользователя контроль доступа (UAC), примененного к процессу, инициируемого событием. |
| InitProcessVersionInfoCompanyName |
строка |
Имя компании из сведений о версии процесса (файла образа), ответственного за событие. |
| InitProcessVersionInfoFileDescription |
строка |
Описание из сведений о версии процесса (файла изображения), ответственного за событие. |
| InitProcessVersionInfoInternalFileName |
строка |
Имя внутреннего файла из сведений о версии процесса (файла образа), ответственного за событие. |
| InitProcessVersionInfoOriginalFileName |
строка |
Исходное имя файла из сведений о версии процесса (файла образа), ответственного за событие. |
| InitProcessVersionInfoProductName |
строка |
Имя продукта из сведений о версии процесса (файла изображения), ответственного за событие. |
| InitProcessVersionInfoProductVersion |
строка |
Версия продукта из сведений о версии процесса (файла образа), ответственного за событие. |
| IsAzureInfoProtectionApplied |
bool |
Указывает, шифруется ли файл Azure Information Protection. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| MachineGroup |
строка |
Группа компьютеров. Эта группа используется с помощью управления доступом на основе ролей для определения доступа к компьютеру. |
| MD5 |
строка |
Хэш MD5 файла, к которому было применено записанное действие. |
| PreviousFileName |
строка |
Исходное имя файла, переименованного в результате действия. |
| PreviousFolderPath |
строка |
Исходная папка, содержащая файл перед применением записанного действия. |
| ReportId |
длинный |
Идентификатор события на основе повторяющегося счетчика. Чтобы определить уникальные события, этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| RequestAccountDomain |
строка |
Домен учетной записи, используемой для удаленного запуска действия. |
| RequestAccountName |
строка |
Имя учетной записи, используемой для удаленного запуска действия. |
| RequestAccountSid |
строка |
Идентификатор безопасности учетной записи, используемой для удаленного запуска действия. |
| RequestProtocol |
строка |
Сетевой протокол, если применимо, используется для запуска действия: Unknown, Local, SMB или NFS. |
| RequestSourceIP |
строка |
IPv4 или IPv6-адрес удаленного устройства, инициирующего действие. |
| RequestSourcePort |
INT |
Исходный порт на удаленном устройстве, инициируемом действием. |
| SensitivityLabel |
строка |
Метка, применяемая к электронной почте, файлу или другому содержимому, чтобы классифицировать его для защиты информации. |
| КонфиденциальностьSubLabel |
строка |
Вложенная метка, применяемая к электронной почте, файлу или другому содержимому, чтобы классифицировать его для защиты информации; вложенные метки конфиденциальности группируются под метками конфиденциальности, но обрабатываются независимо. |
| SHA1 |
строка |
Хэш SHA-1 файла, к которому было применено записанное действие. |
| SHA256 |
строка |
SHA-256 файла, к которому применено записанное действие. |
| ShareName |
строка |
Имя общей папки, содержащей файл. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время записи события агентом MDE в конечной точке. |
| Тип |
строка |
Имя таблицы. |