Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato tabulka se používá pro shromažďování událostí ve formátu Common Event Format, které se nejčastěji odesílají z různých bezpečnostních zařízení, jako je Check Point, Palo Alto a další.
Atributy tabulky
| Atribut | Hodnota |
|---|---|
| Typy prostředků | microsoft.securityinsights/cef, microsoft.compute/virtuální_stroje microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines microsoft.scvmm/virtualmachines microsoft.compute/škálovací sady virtuálních strojů |
| Kategorie | Zabezpečení |
| Řešení | Zabezpečení, Přehledy zabezpečení |
| Základní protokol | Ano |
| Transformace v čase příjmu dat | Ano |
| Ukázkové dotazy | Ano |
Sloupce
| Sloupec | Typ | Popis |
|---|---|---|
| Aktivita | řetězec | Řetězec, který představuje čitelný a srozumitelný popis události. |
| Další rozšíření | řetězec | Zástupné místo pro další pole. Pole se zaznamenávají jako páry klíč-hodnota. |
| aplikační protokol | řetězec | Protokol použitý v aplikaci, například HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS atd. |
| _ÚčtovanáVelikost | skutečný | Velikost záznamu v bajtech |
| SběratelHostName | řetězec | Název hostitele serveru kolektoru, na kterém běží agent. |
| Směr komunikace | řetězec | Veškeré informace o směru zjištěné komunikace. Platné hodnoty: 0 = Příchozí, 1 = Odchozí. |
| Počítač | řetězec | Hostitel ze Syslogu. |
| CílováDNSDoména | řetězec | Část DNS plně kvalifikovaného názvu domény (FQDN). |
| NázevCílovéhoHostitele | řetězec | Cíl, na který událost odkazuje v síti IP. Formát by měl být plně kvalifikovaný název domény přidružený k cílovému uzlu, pokud je uzel dostupný. Příklad: host.domain.com nebo host. |
| Cílová IP adresa | řetězec | Cílová adresa IpV4, na kterou událost odkazuje v síti IP. |
| Cílová MAC adresa | řetězec | Cílová adresa MAC (FQDN). |
| cílová NT doména | řetězec | Název domény Systému Windows cílové adresy. |
| Cílový port | int (integer) | Cílový port. Platné hodnoty: 0 – 65535. |
| Id cílového procesu | int (integer) | ID cílového procesu přidruženého k události. |
| NázevCílovéhoProcesu | řetězec | Název cílového procesu události, například telnetd nebo sshd. |
| NázevSlužbyDestinace | řetězec | Služba, na kterou je událost zacílená. Příklad: sshd. |
| cílová přeložená adresa | řetězec | Identifikuje přeložený cíl, na který odkazuje událost v síti IP, jako IP adresu IPv4. |
| PřeloženýCílovýPort | int (integer) | Port po překladu, například pro bránu firewall: Platné číslo portu: 0 – 65535. |
| ID uživatele cíle | řetězec | Identifikuje cílového uživatele podle ID. Příklad: V unixu je kořenový uživatel obecně přidružený k ID uživatele 0. |
| UživatelskéJménoCíle | řetězec | Identifikuje cílového uživatele podle jména. |
| Uživatelská oprávnění cíle | řetězec | Definuje oprávnění cílového použití. Platné hodnoty: Admninistrator, User, Guest. |
| DeviceAction | řetězec | Akce zmíněná v události. |
| Adresa zařízení | řetězec | Adresa IPv4 zařízení, které událost generuje. |
| ZařízeníVlastníDatum1 | řetězec | Jedno ze dvou polí časového razítka, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| VlastníDatumZařízení1Štítek | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| VlastníDatumZařízení2 | řetězec | Jedno ze dvou polí časového razítka, která jsou k dispozici pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| VlastníDatumZařízení2Štítek | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| VlastníPohybliváČárkaZařízení1 | skutečný | Jedno ze čtyř polí s plovoucí desetinnou, která slouží k mapování polí, jež se nevztahují na žádná jiná v tomto slovníku. |
| ŠtítekProprietárníDesetinnéČísloZařízení1 | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| ZařízeníVlastníFloatingPoint2 | skutečný | Jedno ze čtyř polí s plovoucí desetinnou, která slouží k mapování polí, jež se nevztahují na žádná jiná v tomto slovníku. |
| ŠtítekVlastníDesetinnýBodZařízení2 | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomFloatingPoint3 | skutečný | Jedno ze čtyř polí s plovoucí desetinnou, která slouží k mapování polí, jež se nevztahují na žádná jiná v tomto slovníku. |
| ŠtítekVlastníDesetinnéČíslo3Zařízení | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomFloatingPoint4 | skutečný | Jedno ze čtyř polí s plovoucí desetinnou, která slouží k mapování polí, jež se nevztahují na žádná jiná v tomto slovníku. |
| ŠtítekVlastníDesetinnéČíslo4Zařízení | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| ZařízeníVlastníIPv6Adresa1 | řetězec | Jedno ze čtyř polí adresy IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
| Vlastní adresa IPv6 zařízení 1 Označení | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomIPv6Address2 | řetězec | Jedno ze čtyř polí adresy IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
| ŠtítekVlastníIPv6AdresaZařízení2 | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomIPv6Address3 | řetězec | Jedno ze čtyř polí adresy IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
| ŠtítekVlastníIPv6AdresaZařízení3 | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomIPv6Address4 | řetězec | Jedno ze čtyř polí adresy IPv6 dostupných pro mapování polí, která se nevztahují na žádné jiné pole v tomto slovníku. |
| ŠtítekVlastníIPv6AdresaZařízení4 | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| ZařízeníVlastníČíslo1 | int (integer) | Zanedlouho bude pole zastaralé. Nahradí ho FieldDeviceCustomNumber1. |
| ŠtítekVlastníhoČíslaZařízení1 | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomNumber2 | int (integer) | Zanedlouho bude pole zastaralé. Bude nahrazeno FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Štítek | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomNumber3 | int (integer) | Zanedlouho bude pole zastaralé. Nahradí ho FieldDeviceCustomNumber3. |
| ŠtítekVlastníhoČíslaZařízení3 | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString1 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| DeviceCustomString1Label | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString2 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| DeviceCustomString2Label | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString3 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| DeviceCustomString3Label | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString4 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| DeviceCustomString4Label | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString5 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| DeviceCustomString5Štítek | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceCustomString6 | řetězec | Jeden ze šesti řetězců dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| VlastníTextZařízení6Název | řetězec | Všechna vlastní pole mají odpovídající pole označení. Každé z těchto polí je řetězec a popisuje účel vlastního pole. |
| DeviceDnsDomain | řetězec | Část domény DNS plně kvalifikovaného doménového jména (FQDN). |
| KategorieUdálostiZařízení | řetězec | Představuje kategorii přiřazenou původním zařízením. Zařízení často ke klasifikaci událostí používají vlastní schéma kategorizace. Příklad: /Monitor/Disk/Read. |
| ID třídy události zařízení | řetězec | Řetězec nebo celé číslo, které slouží jako jedinečný identifikátor pro každý typ události. |
| ExterníIDZařízení | řetězec | Název, který jednoznačně identifikuje zařízení, které událost generuje. |
| Zařízení a funkce | řetězec | Zařízení, které událost generuje. Příklad: auth nebo local1. |
| Rozhraní příchozího zařízení | řetězec | Rozhraní, na kterém paket nebo data zadala zařízení. Příklad: ethernet1/2. |
| MAC adresa zařízení | řetězec | Adresa MAC zařízení, které událost generuje. |
| Název zařízení | řetězec | Plně kvalifikovaný název domény přidružený k uzlu zařízení, pokud je uzel k dispozici. Příklad: host.domain.com nebo host. |
| DeviceNtDomain | řetězec | Doména Windows pro adresu zařízení. |
| ZařízeníČelníRozhraní | řetězec | Rozhraní, na kterém paket nebo data opustila zařízení. |
| DevicePayloadId | řetězec | Jedinečný identifikátor nákladu přidruženého k události. |
| ZařízeníProdukt | řetězec | Řetězec, který společně s definicemi produktů a verzí zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
| Časové pásmo zařízení | řetězec | Časové pásmo zařízení, které generuje událost. |
| ZařízeníPřeloženáAdresa | řetězec | Identifikuje přeloženou adresu zařízení, na kterou událost odkazuje, v síti IP. Formát je adresa Ipv4. |
| Dodavatel zařízení | řetězec | Řetězec, který společně s definicemi produktů a verzí zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
| Verze zařízení | řetězec | Řetězec, který společně s definicemi produktů a verzí zařízení jednoznačně identifikuje typ odesílajícího zařízení. |
| Čas ukončení | datetime | Čas, kdy aktivita související s událostí skončila. |
| Počet událostí | int (integer) | Počet přidružený k události, který ukazuje, kolikrát byla zjištěna stejná událost. |
| Výsledek události | řetězec | Zobrazí výsledek, obvykle jako úspěch nebo selhání. |
| Typ události | int (integer) | Typ události. Mezi hodnoty patří: 0: základní událost, 1: agregovaná, 2: událost korelace, 3: událost akce. Poznámka: Tuto událost je možné vynechat pro základní události. |
| ExternalID | int (integer) | Zanedlouho bude pole zastaralé. Bude nahrazeno identifikátorem ExtID. |
| ExtID | řetězec | ID používané původním zařízením (nahradí starší externalID). Tyto hodnoty obvykle mají rostoucí hodnoty, které jsou přidružené k události. |
| VlastníČísloZařízeníPole1 | dlouhý | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádné jiné v tomto slovníku (nahradí starší číslo typu DeviceCustomNumber1). Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| PoleZařízeníVlastníČíslo2 | dlouhý | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku (nahradí starší číslo typu DeviceCustomNumber2). Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| ZakázkovéČísloPoleZařízení3 | dlouhý | Jedno ze tří číselných polí dostupných pro mapování polí, která se nevztahují na žádná jiná pole v tomto slovníku (nahradí starší číslo typu DeviceCustomNumber3). Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. |
| Čas vytvoření souboru | řetězec | Čas vytvoření souboru |
| Hash souboru | řetězec | Hash souboru |
| ID souboru | řetězec | ID přidružené k souboru, například inode. |
| ČasÚpravySouboru | řetězec | Čas poslední změny souboru |
| NázevSouboru | řetězec | Název souboru, bez cesty. |
| Cesta k souboru | řetězec | Úplná cesta k souboru, včetně názvu souboru. Například: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip. |
| FilePermission | řetězec | Oprávnění k souboru. Příklad: 2,1,1. |
| Velikost souboru | int (integer) | Velikost souboru v bajtech |
| Typ souboru | řetězec | Typ souboru, například potrubí, socket atd. |
| FlexDate1 | řetězec | Pole časového razítka, které je k dispozici pro mapování časového razítka, které neplatí pro žádné jiné definované pole časového razítka v tomto slovníku. Používejte všechny flexové položky střídmě a kdykoli je to možné, hledejte konkrétnější předem definovaná pole. Tato pole jsou obvykle vyhrazena pro použití zákazníka a neměla by být nastavena dodavateli, pokud to není nutné. |
| FlexDatum1Název štítku | řetězec | Pole označení je řetězec a popisuje účel flexibilního pole. |
| FlexNumber1 | int (integer) | Číselná pole dostupná pro mapování dat Int, která neplatí pro žádné jiné pole v tomto slovníku. |
| FlexNumber1Label | řetězec | Popisek popisující hodnotu ve FlexNumber1 |
| FlexNumber2 | int (integer) | Číselná pole dostupná pro mapování dat Int, která neplatí pro žádné jiné pole v tomto slovníku. |
| FlexNumber2Label | řetězec | Popisek, který popisuje hodnotu v FlexNumber2 |
| FlexString1 | řetězec | Jedno ze čtyř polí s plovoucí desetinnou, která slouží k mapování polí, jež se nevztahují na žádná jiná v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. Tato pole jsou obvykle vyhrazena pro použití zákazníka a neměla by být nastavena dodavateli, pokud to není nutné. |
| Štítek FlexString1 | řetězec | Pole označení je řetězec a popisuje účel flexibilního pole. |
| FlexString2 | řetězec | Jedno ze čtyř polí s plovoucí desetinnou, která slouží k mapování polí, jež se nevztahují na žádná jiná v tomto slovníku. Pokud je to možné, používejte určitá pole dodaná slovníkem střídmě a hledejte konkrétnější možnosti. Tato pole jsou obvykle vyhrazena pro použití zákazníka a neměla by být nastavena dodavateli, pokud to není nutné. |
| FlexString2Label | řetězec | Pole označení je řetězec a popisuje účel flexibilního pole. |
| Indikátor typu hrozby | řetězec | Typ hrozby škodlivého IP kódu podle našeho informačního kanálu TI. |
| _JeVyúčtovatelné | řetězec | Určuje, jestli je ingestování dat fakturovatelné. Pokud je _IsBillable false, příjem dat se neúčtuje na váš účet Azure. |
| LogSeverity | řetězec | Řetězec nebo celé číslo, které popisuje důležitost události. Platné řetězcové hodnoty: Neznámé, Nízké, Střední, Vysoké, Velmi vysoké platné celočíselné hodnoty jsou: 0–3 = Nízká, 4-6 = Střední, 7-8 = Vysoká, 9-10 = Velmi vysoká. |
| Škodlivá IP | řetězec | Pokud jedna z IP adres ve zprávě byla korelována s aktuálním informačním kanálem TI, který máme, zobrazí se zde. |
| Země škodlivého IP | řetězec | Země škodlivé IP adresy podle geografických informací v době příjmu záznamu. |
| ZlovolnáIPŠířka | skutečný | Zeměpisná šířka škodlivé IP adresy podle geografických informací z doby zaznamenání. |
| ŠkodliváIPZeměpisnáDélka | skutečný | Zeměpisná délka škodlivého IP kódu podle informací o geografické poloze v době příjmu záznamů. |
| Zpráva | řetězec | Zpráva s dalšími podrobnostmi o události. |
| OldFileCreateTime (čas vytvoření starého souboru) | řetězec | Čas vytvoření starého souboru |
| OldFileHash | řetězec | Hodnota hash starého souboru |
| OldFileID | řetězec | A ID přidružené ke starému souboru, například inode. |
| Čas poslední změny starého souboru | řetězec | Čas poslední změny starého souboru |
| StarýFileName | řetězec | Název starého souboru. |
| OldFilePath | řetězec | Úplná cesta k původnímu souboru, včetně názvu souboru. Například: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip. |
| Staré oprávnění souboru | řetězec | Oprávnění starého souboru. Příklad: 2,1,1. |
| VelikostStaréhoSouboru | int (integer) | Velikost starého souboru v bajtech |
| StarýTypSouboru | řetězec | Typ souboru starého souboru, například potrubí, socket atd. |
| OriginalLogSeverity | řetězec | Nemapovaná verze LogSeverity. Příklad: "Upozornění/Kritické/Informace" místo normalizovaných hodnot "Nízké/Střední/Vysoké" v poli LogSeverity. |
| Identifikátor procesu | int (integer) | Definuje ID procesu v zařízení, které událost generuje. |
| ProcessName | řetězec | Název procesu přidružený k události. Například: v systému UNIX proces generující položku syslogu. |
| Protokol | řetězec | Přenosový protokol, který identifikuje použitý protokol vrstvy 4. Možné hodnoty zahrnují názvy protokolů, například TCP nebo UDP. |
| Důvod | řetězec | Důvod vygenerování události auditu. Například "chybné heslo" nebo "neznámý uživatel". Může se jednat také o chybu nebo návratový kód. Příklad: 0x1234. |
| Čas přijetí | řetězec | Čas, kdy byla událost související s aktivitou přijata. Liší se od pole "Timegenerated", které značí dobu, kdy byla událost přijata počítačem kolektoru protokolů. |
| PřijatéByty | dlouhý | Počet bajtů přenesených příchozí |
| Vzdálená IP adresa (RemoteIP) | řetězec | Vzdálená IP adresa odvozená od směrové hodnoty události, pokud je to možné. |
| RemotePort | řetězec | Vzdálený port odvozený z hodnoty směru události, pokud je to možné. |
| OdkazNaZprávu | řetězec | Odkaz na zprávu informačního kanálu TI |
| Žádost o klientskou aplikaci | řetězec | Uživatelský agent spojený s požadavkem. |
| Kontext žádosti | řetězec | Popisuje obsah, ze kterého požadavek pochází, například referrer HTTP. |
| Žádost o cookies | řetězec | Soubory cookie přidružené k žádosti. |
| Metoda žádosti (RequestMethod) | řetězec | Metoda použitá pro přístup k adrese URL. Platné hodnoty zahrnují metody, jako je POST, GET atd. |
| Požadavek URL | řetězec | Adresa URL přístupná k požadavku HTTP, včetně protokolu. Příklad: http://www/secure.com. |
| _ResourceId (ID zdroje) | řetězec | Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| Odeslané byty | dlouhý | Počet odchozích přenesených bajtů. |
| SimplifiedDeviceAction | řetězec | Namapovaná verze DeviceAction, například Denied > Deny. |
| Zdrojová Dns Doména | řetězec | Část domény DNS kompletního plně kvalifikovaného názvu domény. |
| SourceHostName | řetězec | Identifikuje zdroj, na který událost odkazuje v síti IP. Formát by měl být plně kvalifikovaný název domény (DQDN) přidružený ke zdrojovému uzlu, pokud je uzel k dispozici. Například: hostitel nebo host.domain.com. |
| Zdrojová IP adresa | řetězec | Zdroj, na který událost odkazuje v síti IP, jako adresa IPv4. |
| ZdrojováMACAdresa | řetězec | Zdrojová adresa MAC. |
| SourceNTDomain | řetězec | Název domény Systému Windows pro zdrojovou adresu. |
| SourcePort | int (integer) | Číslo zdrojového portu. Platná čísla portů jsou 0 až 65535. |
| ID zdrojového procesu | int (integer) | ID zdrojového procesu přidruženého k události. |
| NázevZdrojovéhoProcesu | řetězec | Název zdrojového procesu události. |
| NázevZdrojovéSlužby | řetězec | Služba zodpovědná za generování události. |
| SourceSystem | řetězec | Typ agenta, kterým byla událost shromážděna. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| ZdrojPřeloženáAdresa | řetězec | Identifikuje přeložený zdroj, na který událost odkazuje v síti IP. |
| SourceTranslatedPort | int (integer) | Zdrojový port, například jako u brány firewall, po provedení překladu. Platná čísla portů jsou 0 až 65535. |
| SourceUserID | řetězec | Identifikuje zdrojového uživatele podle ID. |
| SourceUserName | řetězec | Identifikuje zdrojového uživatele podle jména. E-mailové adresy se také mapují do polí UserName. Odesílatel je kandidátem na vložení do tohoto pole. |
| ZdrojováUživatelskáPráva | řetězec | Oprávnění zdrojového uživatele. Mezi platné hodnoty patří: Administrator, User, Guest. |
| Počáteční čas | datetime | Čas, kdy aktivita, na kterou událost odkazuje, začíná. |
| _ID předplatného | řetězec | Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| Identifikátor nájemce | řetězec | ID pracovního prostoru služby Log Analytics |
| Důvěryhodnost hrozby | řetězec | Spolehlivost škodlivého IP kódu podle našeho informačního kanálu TI. |
| Popis hrozby | řetězec | Popis hrozby škodlivého IP kódu podle našeho informačního kanálu TI. |
| Závažnost hrozby | int (integer) | Závažnost hrozby MaliciousIP podle našeho informačního kanálu TI v době, kdy byl záznam přijat. |
| Čas vygenerování | datetime | Čas shromažďování událostí v UTC |
| Typ | řetězec | Název tabulky |