SecurityEvent
Événements de sécurité collectés à partir de machines Windows par Azure Security Center ou Azure Sentinel.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressources | microsoft.securityinsights/securityinsights, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Catégories | Sécurité |
| Solutions | Sécurité, SecurityInsights |
| Journal de base | Non |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| AccessMask | string | Masque hexadécimal pour l’opération demandée ou effectuée. |
| Compte | string | Contexte de sécurité pour les services ou les utilisateurs. |
| AccountDomain | string | Nom de domaine ou d’ordinateur de l’objet. |
| AccountExpires | string | Date d’expiration du compte. |
| AccountName | string | Nom du compte qui a demandé l’opération « supprimer l’approbation de domaine ». |
| AccountSessionIdentifier | string | Identificateur unique généré par l’ordinateur lors de la création de la session. |
| AccountType | string | Identifie si le compte est un compte d’ordinateur ou un utilisateur. |
| Activité | string | Le titre descriptif de l’événement s’est produit. |
| AdditionalInfo | string | Informations supplémentaires fournies par la source, qui ne sont pas mappées à d’autres champs, représentées par la liste. |
| AdditionalInfo2 | string | Informations supplémentaires fournies par la source, qui ne sont pas mappées à d’autres champs, représentées par la liste. |
| AllowedToDelegateTo | string | Liste des SPN auxquels ce compte peut présenter des informations d’identification déléguées. |
| Attributs | string | Informations supplémentaires sur l’événement. |
| AuditPolicyChanges | string | Événements générés lorsque des modifications sont apportées à la stratégie d’audit système ou aux paramètres d’audit d’un fichier ou d’une clé de Registre. |
| AuditsDiscarded | int | Nombre de messages d’audit qui ont été ignorés. |
| AuthenticationLevel | int | Nombre de messages d’audit qui ont été ignorés. |
| AuthenticationPackageName | string | nom du package d’authentification chargé. Le format est : DLL_PATH_AND_NAME : AUTHENTICATION_PACKAGE_NAME. |
| AuthenticationProvider | string | Identité du fournisseur responsable du processus d’authentification (peut inclure une autorité de certification, un nom d’utilisateur, un système d’authentification par mot de passe, etc.). |
| AuthenticationServer | string | Serveur dans lequel se trouve le fournisseur d’authentification. |
| AuthenticationService | int | Service dans lequel se trouve le fournisseur d’authentification. |
| AuthenticationType | string | type d’authentification utilisé pour l’événement (authentification à deux facteurs, authentification biométrique, etc.). |
| AzureDeploymentID | string | ID de déploiement Azure du service cloud auquel appartient le journal. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| CACertificateHash | string | Valeur de hachage du certificat de l’autorité de certification utilisée pour authentifier l’utilisateur qui a effectué l’événement. |
| CalledStationID | string | Informations sur l’ID de la station qui a lancé l’action qui a conduit à l’événement de sécurité. |
| CallerProcessId | string | ID de processus hexadécimal du processus qui a tenté l’ouverture de session. L’ID de processus (PID) est un nombre utilisé par le système d’exploitation pour identifier de manière unique un processus actif. |
| CallerProcessName | string | Chemin complet et nom de l’exécutable pour le processus. |
| CallingStationID | string | Informations sur l’ID de la station qui a lancé l’action qui a conduit à l’événement de sécurité. |
| CAPublicKeyHash | string | Valeur de hachage qui identifie la clé publique d’une autorité de certification qui a émis un certificat. |
| CategoryId | string | Catégorie de l’événement de sécurité qui s’est produit (tentative de connexion, violation de données, etc.). |
| CertificateDatabaseHash | string | Valeur de hachage qui identifie la base de données qui a émis un certificat. |
| Canal | string | Canal auquel l’événement a été enregistré. |
| ClassId | string | Attribut 'Guid de classe' de l’appareil. |
| ClassName | string | Attribut 'Class' de l’appareil. |
| ClientAddress | string | Adresse IP de l’ordinateur à partir duquel la requête TGT a été reçue. |
| ClientIPAddress | string | Adresse IP de l’ordinateur qui a lancé l’action qui a conduit à l’événement. |
| Nom_client | string | nom de l’ordinateur à partir duquel l’utilisateur a été reconnecté. A la valeur « Inconnu » pour la session de console. |
| CommandLine | string | Arguments de ligne de commande passés à une application ou à un processus impliqué dans l’événement. |
| CompatibleIds | string | Attribut « Ids compatibles » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » : |
| Ordinateur | string | nom de l'ordinateur sur lequel l'événement s'est produit. |
| Corrélation | string | Identificateurs d’activité que les consommateurs peuvent utiliser pour regrouper les événements associés. |
| DCDNSName | string | Nom DNS du contrôleur de domaine impliqué dans l’événement. |
| DeviceDescription | string | description de l’appareil impliqué dans l’événement. |
| DeviceId | string | Identificateur unique de l’appareil impliqué dans l’événement. |
| DisplayName | string | Il s’agit d’un nom, affiché dans le carnet d’adresses d’un compte particulier. Il s’agit généralement de la combinaison du prénom, du prénom, du prénom et du nom de l’utilisateur. |
| Disposition | string | Résultat/résolution de l’événement, par exemple, si l’événement a été résolu ou si une action a été effectuée en réponse à l’événement. |
| DomainBehaviorVersion | string | L’attribut de domaine msDS-Behavior-Version a été modifié. Valeur numérique. |
| DomainName | string | Nom du domaine approuvé supprimé. |
| DomainPolicyChanged | string | Indique si des stratégies de domaine ont été modifiées dans le cadre de l’événement (stratégies de mot de passe, stratégies de sécurité, etc.). |
| DomainSid | string | SID du partenaire de confiance. Ce paramètre peut ne pas être capturé dans l’événement et, dans ce cas, apparaît sous la forme « SID NULL ». |
| EAPType | string | Type de protocole EAP (Extensible Authentication Protocol) utilisé pour le processus d’authentification d’événement. |
| ElevatedToken | string | Indicateur « Oui » ou « Non ». Si « Oui », la session que cet événement représente est élevée et dispose de privilèges d’administrateur. |
| ErrorCode | int | Contient le code d’erreur pour les événements d’échec. Pour les événements Success, ce paramètre a la valeur « 0x0 ». |
| EventData | string | Données spécifiques à l’événement associées à l’événement. |
| EventID | int | Identificateur utilisé par le fournisseur pour identifier l’événement. |
| EventLevelName | string | Chaîne de message rendue du niveau spécifié dans l’événement. |
| EventRecordId | string | Numéro d’enregistrement affecté à l’événement lorsqu’il a été journalisé. |
| NomSourceÉvenement | string | Nom du logiciel qui enregistre l’événement (applicationor a succomponent). |
| ExtendedQuarantineState | string | État du processus de mise en quarantaine du réseau, le cas échéant. La mise en quarantaine du réseau est un processus par lequel les appareils non autorisés ne peuvent pas accéder à un réseau jusqu’à ce qu’ils répondent à certaines exigences de sécurité ou qu’ils aient été vérifiés pour les programmes malveillants. |
| FailureReason | string | explication textuelle de la valeur du champ État. Pour cet événement, il a généralement la valeur « Compte verrouillé ». |
| FileHash | string | Valeur de hachage pour tous les fichiers qui ont été consultés ou modifiés dans le cadre de l’événement, ou tous les fichiers utilisés dans le processus d’authentification ou d’autorisation. |
| FilePath | string | Chemin complet et nom de fichier du fichier de clé sur lequel l’opération a été effectuée. |
| FilePathNoUser | string | Chemin d’accès de tous les fichiers liés à l’événement, à l’exclusion du nom d’utilisateur ou d’autres informations spécifiques à l’utilisateur. |
| Filter | string | Filtres utilisés dans l’événement effectué. |
| ForceLogoff | string | '\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité\Sécurité réseau : forcer la déconnexion lorsque les heures d’ouverture de session expirent' stratégie de groupe. |
| Fqbn | string | Nom binaire complet (FQBN) pour tous les fichiers liés à l’événement. |
| FullyQualifiedSubjectMachineName | string | Nom de domaine complet (FQDN) de l’ordinateur qui a lancé l’événement. |
| FullyQualifiedSubjectUserName | string | Nom d’utilisateur de l’utilisateur ou du service qui a lancé l’événement au format FQDN. |
| GroupMembership | string | Liste des SID de groupe auxquels appartient le compte journalisé (membre). L’Observateur d’événements tente automatiquement de résoudre les SID et d’afficher le nom du compte. Si le SID ne peut pas être résolu, vous verrez les données sources dans l’événement. |
| HandleId | string | Valeur hexadécimale d’un handle en nom d’objet. Ce champ peut être utilisé pour la corrélation avec d’autres événements. |
| HardwareIds | string | Attribut « Ids matériels » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » : |
| HomeDirectory | string | Répertoire d’accueil de l’utilisateur. Si l’attribut HomeDrive est défini et spécifie une lettre de lecteur, homeDirectory doit être un chemin UNC. Le chemin d’accès doit être un UNC réseau de la forme \Server\Share\Directory. |
| HomePath | string | Chemin d’accueil de l’utilisateur. Le chemin d’accès doit être un UNC réseau de la forme \Server\Share\Directory. |
| InterfaceUuid | string | Identificateur unique (UUID) pour l’interface réseau utilisée pour l’événement. |
| IpAddress | string | adresse réseau (généralement IPv4 ou IPv6) associée à l’événement. |
| IpPort | string | Numéro de port réseau associé à l’événement. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable’ingestion false n’est pas facturée à votre compte Azure |
| KeyLength | int | Longueur de la clé de sécurité de session NTLM. En général, il a une longueur de 128 bits ou 56 bits. |
| Mots clés | string | Masque de bits des mots clés définis dans l’événement. |
| Niveau | string | Windows classe chaque événement avec un niveau de gravité. Les niveaux dans l’ordre de gravité sont des informations, des commentaires, des avertissements, des erreurs et des valeurs critiques exprimées en nombres. |
| LmPackageName | string | Nom du package ou du composant logiciel qui utilise actuellement l’autorité de sécurité locale (LSA) sur l’ordinateur sur lequel l’événement est généré. |
| LocationInformation | string | Attribut « Informations sur l’emplacement » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails » : |
| LockoutDuration | string | Stratégie de groupe « \Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage de compte\Durée du verrouillage du compte ». Valeur numérique. |
| LockoutObservationWindow | string | '\Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage de compte\Réinitialiser le compteur de verrouillage de compte après' stratégie de groupe. Valeur numérique. |
| LockoutThreshold | string | Stratégie de groupe « \Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage du compte\Seuil de verrouillage du compte ». Valeur numérique. |
| LoggingResult | string | Résultat du processus d’ouverture de session. |
| LogonGuid | string | GUID qui peut vous aider à mettre en corrélation cet événement avec un autre événement qui peut contenir le même GUID d’ouverture de session. |
| LogonHours | string | Heures pendant laquelle le compte est autorisé à se connecter au domaine. |
| LogonID | string | Valeur hexadécimale qui peut vous aider à mettre en corrélation cet événement avec les événements récents qui peuvent contenir le même ID d’ouverture de session. |
| LogonProcessName | string | Nom du processus d’ouverture de session inscrit. |
| LogonType | int | Type d’ouverture de session qui a été effectué. |
| LogonTypeName | string | Type d’événement d’ouverture de session ou d’authentification capturé par le journal des événements (valeurs courantes :Interactive, Network, RemoteInteractive, Unlock). |
| MachineAccountQuota | string | L’attribut de domaine ms-DS-MachineAccountQuota a été modifié. Valeur numérique. |
| MachineInventory | string | Informations sur la configuration matérielle et l’environnement logiciel de l’ordinateur sur lequel l’événement est généré. Il peut inclure différents points de données, par exemple : la création et le modèle de l’ordinateur, la quantité de RAM ou d’espace de stockage disponible, les numéros de version de différentes applications logicielles, etc. |
| MachineLogon | string | Informations sur un événement d’ouverture de session réussi sur la machine. |
| ManagementGroupName | string | Informations supplémentaires basées sur le type de ressource. |
| MandatoryLabel | string | ID d’étiquette d’intégrité qui a été affecté au nouveau processus. |
| MaxPasswordAge | string | Période (en jours) pendant laquelle un mot de passe peut être utilisé avant que le système exige que l’utilisateur le modifie. |
| MemberName | string | Compte d’utilisateur impliqué dans l’événement. |
| MemberSid | string | Identificateur de sécurité associé au compte d’utilisateur impliqué dans l’événement. |
| MinPasswordAge | string | Période (en jours) pendant laquelle un mot de passe doit être utilisé avant que le système exige que l’utilisateur le modifie. |
| MinPasswordLength | string | Nombre minimum de caractères pouvant être composés d’un mot de passe pour un compte d’utilisateur. |
| MixedDomainMode | string | Mode de domaine d’un système ou d’un contrôleur de domaine. |
| NASIdentifier | string | Identificateur du serveur d’accès réseau (NAS) impliqué dans l’événement. |
| NASIPv4Address | string | IPv4Address du serveur d’accès réseau (NAS) impliqué dans l’événement, le cas échéant. |
| NASIPv6Address | string | IPv6Address du serveur d’accès réseau (NAS) impliqué dans l’événement, le cas échéant. |
| NASPort | string | port sur le serveur d’accès réseau utilisé dans l’événement. |
| NASPortType | string | type de serveur d’accès réseau (NAS) utilisé dans l’événement. |
| NetworkPolicyName | string | Nom de la stratégie réseau associée à l’événement. |
| NewDate | string | Nouvelle date dans le fuseau horaire UTC. Le format est AAAA-MM-JJ. |
| NewMaxUsers | string | Nouveau nombre maximal d’utilisateurs autorisés pour une ressource dans l’événement. |
| NewProcessId | string | ID de processus hexadécimal du nouveau processus. L’ID de processus (PID) est un nombre utilisé par le système d’exploitation pour identifier de manière unique un processus actif. |
| NewProcessName | string | Chemin complet et nom de l’exécutable pour le nouveau processus. |
| NewRemark | string | Nouvelle valeur du partage réseau « Commentaires : ». A la valeur « N/A » si elle n’est pas définie. |
| NewShareFlags | string | Indicateurs de partage associés à une ressource dans l’événement, par exemple : informations sur la lecture seule ou l’écriture de la ressource, qu’elle soit masquée et d’autres paramètres qui peuvent affecter l’accès et les autorisations. |
| NewTime | string | Nouvelle heure définie dans le fuseau horaire UTC. Le format est AAAA-MM-DDThh :mm :ss.nnnnnnnZ |
| NewUacValue | string | Spécifie des indicateurs qui contrôlent le mot de passe, le verrouillage, la désactivation/activation, le script et d’autres comportements pour le compte d’utilisateur. |
| NewValue | string | Nouvelle valeur pour la valeur de clé de Registre modifiée. |
| NewValueType | string | Nouveau type de valeur de clé de Registre modifiée. |
| ObjectName | string | Nom et autres informations d’identification pour l’objet pour lequel l’accès a été demandé. Par exemple, pour un fichier, le chemin d’accès est inclus. |
| ObjectServer | string | Contient le nom du sous-système Windows appelant la routine. |
| ObjectType | string | Type d’un objet accessible pendant l’opération. |
| ObjectValueName | string | Nom de la valeur de clé de Registre modifiée. |
| OemInformation | string | Fabricant d’équipement d’origine (OEM) associé à un appareil ou un système dans l’événement. |
| OldMaxUsers | string | Nombre maximal précédent d’utilisateurs autorisés pour une ressource dans l’événement. |
| OldRemark | string | l’ancienne valeur du partage réseau « Commentaires : ». A la valeur « N/A » si elle n’est pas définie. |
| OldShareFlags | string | Les indicateurs de partage précédents associés à une ressource dans l’événement, par exemple : informations sur la lecture seule ou l’écriture de la ressource, qu’elle soit masquée et d’autres paramètres qui peuvent affecter l’accès et les autorisations. |
| OldUacValue | string | Spécifie des indicateurs qui contrôlent le mot de passe, le verrouillage, la désactivation/activation, le script et d’autres comportements pour le compte d’utilisateur. Ce paramètre contient la valeur précédente de l’attribut userAccountControl de l’objet utilisateur. |
| OldValue | string | Ancienne valeur pour la valeur de clé de Registre modifiée. |
| OldValueType | string | Ancien type de valeur de clé de Registre modifiée. |
| Opcode | string | L’élément opcode est défini par le type complexe SystemPropertiesType. |
| OperationType | string | Type d’opération qui a été effectué sur un objet |
| PackageName | string | Nom du sous-package du gestionnaire LAN (nom du protocole de famille NTLM) utilisé lors de l’ouverture de session. |
| ParentProcessName | string | Nom du processus parent associé à l’événement. |
| PasswordHistoryLength | string | \Paramètres de sécurité\Stratégies de compte\Stratégie de mot de passe\Appliquer l’historique des mots de passe" stratégie de groupe. Valeur numérique. |
| PasswordLastSet | string | Dernière fois que le mot de passe du compte a été modifié. |
| PasswordProperties | string | Les stratégies ou propriétés de mot de passe associées à l’événement, par exemple : longueur, complexité et date d’expiration du mot de passe. |
| PreviousDate | string | Date précédente associée à l’événement. |
| PreviousTime | string | Heure précédente dans le fuseau horaire UTC. Le format est AAAA-MM-DDThh :mm :ss.nnnnnnnZ. |
| PrimaryGroupId | string | Identificateur relatif (RID) du groupe principal d’objets de l’utilisateur. |
| PrivateKeyUsageCount | string | Nombre de fois qu’une clé privée a été utilisée. |
| PrivilegeList | string | Privilèges, y compris les privilèges utilisateur, groupe ou système associés à l’événement. |
| Process | string | Nom du processus qui génère l’événement. |
| ProcessId | string | Identifie le processus qui a généré l’événement. |
| ProcessName | string | Chemin complet et nom de l’exécutable pour le processus. |
| ProfilePath | string | Spécifie un chemin d’accès au profil du compte. Cette valeur peut être une chaîne Null, un chemin absolu local ou un chemin UNC. |
| Propriétés | string | Dépend du type d’objet. Ce champ peut être vide ou contenir la liste des propriétés d’objet auxquelles vous avez accédé. |
| ProtocolSequence | string | Informations sur le protocole utilisé pour une tentative d’authentification. |
| ProxyPolicyName | string | Nom de la stratégie utilisée pour configurer le serveur proxy pour la connexion au réseau. |
| QuarantineHelpURL | string | URL qui fournit de l’aide pour résoudre un problème de quarantaine réseau. |
| QuarantineSessionID | string | Identificateur de la session où le fichier a été évalué pour la mise en quarantaine. |
| QuarantineSessionIdentifier | string | Identificateur de la session où le fichier a été évalué pour la mise en quarantaine. |
| QuarantineState | string | Il indique si le fichier est mis en quarantaine. |
| QuarantineSystemHealthResult | string | Rapport qui indique l’état des fichiers mis en quarantaine. |
| RelativeTargetName | string | Nom relatif du fichier ou dossier cible consulté. Ce chemin d’accès de fichier est relatif au partage réseau. Si l’accès a été demandé pour le partage lui-même, ce champ apparaît sous la forme « \ ». |
| RemoteIpAddress | string | Adresse IP de l’ordinateur qui a lancé une connexion distante. |
| RemotePort | string | Numéro de port de l’ordinateur distant qui a lancé une connexion. |
| Demandeur | string | Identificateur du demandeur d’événement. |
| ID demande | string | Identificateur unique associé à des requêtes particulières, telles que celles effectuées via HTTP. |
| _ResourceId | string | Un identificateur unique de la ressource à laquelle l’enregistrement est associé |
| RestrictedAdminMode | string | Uniquement renseigné pour les sessions de type d’ouverture de session RemoteInteractive. Il s’agit d’un indicateur Oui/Non indiquant si les informations d’identification fournies ont été passées à l’aide du mode Administrateur restreint. Le mode Administrateur restreint a été ajouté dans Win8.1/2012R2, mais cet indicateur a été ajouté à l’événement dans Win10. |
| RowsDeleted | string | Nombre de lignes qui ont été supprimées dans le cadre d’une opération particulière. |
| SamAccountName | string | Nom d’ouverture de session du compte utilisé pour prendre en charge les clients et les serveurs des versions précédentes de Windows (nom de connexion antérieur à Windows 2000). |
| ScriptPath | string | Spécifie le chemin d’accès du script d’ouverture de session du compte. |
| SecurityDescriptor | string | Informations sur les paramètres de sécurité et les autorisations d’un objet ou d’une ressource particulier. |
| ServiceAccount | string | Contexte de sécurité que le service exécutera comme au démarrage. |
| ServiceFileName | string | Indique le type de service inscrit auprès du Gestionnaire de contrôle de service. |
| NomService | string | Nom du service installé. |
| ServiceStartType | int | Contient des informations sur le démarrage d’un service particulier, qu’il soit démarré automatiquement ou manuellement. |
| ServiceType | string | Indique le type de service inscrit auprès du Gestionnaire de contrôle de service. |
| SessionName | string | Nom de la session à laquelle l’utilisateur a été reconnecté. |
| ShareLocalPath | string | Chemin local du partage réseau accessible. |
| ShareName | string | Nom du partage réseau accessible. Le format est : \*\SHARE_NAME. |
| SidHistory | string | Contient les SID précédents utilisés pour l’objet si l’objet a été déplacé d’un autre domaine. |
| SourceComputerId | string | Identificateur unique affecté à chaque ordinateur d’un domaine Windows. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, pour l’agent OpsManager Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| État | string | Raison pour laquelle l’ouverture de session a échoué. Pour cet événement, il a généralement la valeur « 0xC0000234 ». Les codes d’état les plus courants sont répertoriés dans le tableau 12. Codes d’état de connexion Windows. |
| StorageAccount | string | Définit la clé d’accès du compte de stockage. |
| Sous-catégorieGuid | string | GUID unique de la sous-catégorie modifiée. |
| SubcategoryId | string | Identificateur unique pour un type spécifique de l’événement. |
| Objet | string | Informations sur le principal de sécurité (par exemple : compte d’utilisateur) qui a lancé l’événement. |
| SubjectAccount | string | Informations sur le compte qui lance l’événement. |
| SubjectDomainName | string | Informations sur le domaine ou le groupe de travail auquel appartient le compte d’objet. |
| SubjectKeyIdentifier | string | Identificateur unique d’un sujet de certificat particulier. |
| SubjectLogonId | string | Identificateur unique de la session d’ouverture de session associée au compte d’objet. |
| SubjectMachineName | string | Informations sur l’ordinateur ou le système à partir duquel l’événement a été créé. |
| SubjectMachineSID | string | Identificateur de sécurité (SID) de l’ordinateur qui a généré l’événement. |
| SubjectUserName | string | Nom du compte d’utilisateur qui a généré l’événement. |
| SubjectUserSid | string | Identificateur de sécurité (SID) pour le compte d’utilisateur qui a généré l’événement. |
| _SubscriptionId | string | Un identificateur unique de l’abonnement auquel l’enregistrement est associé |
| Sous-État | string | Informations supplémentaires sur l’échec de connexion. Les codes de sous-état les plus courants répertoriés dans le tableau 12. Codes d’état de connexion Windows'. |
| SystemProcessId | int | Identifie le processus qui a généré l’événement. |
| SystemThreadId | int | Identifie le thread qui a généré l’événement. |
| SystemUserId | string | ID de l’utilisateur responsable de l’événement. |
| TableId | string | Identificateur spécifique de la table de données dans laquelle les données d’événement sont stockées. |
| TargetAccount | string | Compte ciblé par l’événement (nom d’utilisateur, nom d’ordinateur, etc.). |
| TargetDomainName | string | Nom du domaine auquel appartient le compte cible. |
| TargetInfo | string | Informations supplémentaires sur la cible d’événement (par exemple : le chemin d’accès à un fichier ou un dossier, le nom d’une clé de Registre, etc.). |
| TargetLinkedLogonId | string | Informations permettant de lier des événements connexes par leurs ID de tentative d’ouverture de session. Il peut être utile de garder tous les événements pertinents organisés, de suivre l’activité sur plusieurs sessions et d’identifier la source d’attaque. |
| TargetLogonGuid | string | Identificateur global unique (GUID) associé à la session d’ouverture de session associée à l’événement. |
| TargetLogonId | string | Identificateur unique associé à la session d’ouverture de session associée à l’événement. |
| TargetOutboundDomainName | string | Domaine sur lequel le compte spécifié dans le champ TargetAccount a été authentifié lors d’une tentative d’authentification sortante. |
| TargetOutboundUserName | string | Nom du compte d’utilisateur authentifié lors d’une tentative d’authentification sortante. |
| TargetServerName | string | Nom du serveur sur lequel le nouveau processus a été exécuté. A la valeur « localhost » si le processus a été exécuté localement. |
| TargetSid | string | Identificateur de sécurité (SID) du serveur sur lequel le nouveau processus a été exécuté. |
| TargetUser | string | Identificateur de compte d’utilisateur qui a généré le nouveau processus. |
| TargetUserName | string | Nom du compte d’utilisateur qui a généré le nouveau processus. |
| TargetUserSid | string | Identificateur de sécurité associé à l’utilisateur ou à la ressource impliquée dans l’événement. |
| Tâche | int | Tâche définie dans l’événement. |
| TemplateContent | string | Contenu du message ou de la notification d’événement dans un formulaire structuré. |
| TemplateDSObjectFQDN | string | Nom de domaine complet de l’objet DS qui représente le modèle DPO. |
| TemplateInternalName | string | Nom interne du modèle d’objet de stratégie de groupe. |
| TemplateOID | string | identificateur unique du modèle utilisé pour créer l’événement. |
| TemplateSchemaVersion | string | Version du schéma de modèle qui définit les données à inclure avec un événement. |
| TemplateVersion | string | Version du modèle qui définit les données à inclure avec un événement. |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Horodatage lorsque l’événement a été généré sur l’ordinateur. |
| TokenElevationType | string | Type de jeton affecté à un nouveau processus conformément à la stratégie de contrôle de compte d’utilisateur. |
| TransmitServices | string | Liste des services transmis. Les services transmis sont renseignés si l’ouverture de session a été le résultat d’un processus d’ouverture de session S4U (Service for User). S4U est une extension Microsoft au protocole Kerberos pour permettre à un service d’application d’obtenir un ticket de service Kerberos pour le compte d’un utilisateur , le plus souvent effectué par un site web frontal pour accéder à une ressource interne pour le compte d’un utilisateur. Pour plus d’informations sur S4U, consultez https://msdn.microsoft.com/library/cc246072.aspx. |
| Type | string | Le nom de la table |
| UserAccountControl | string | Affiche la liste des modifications apportées à l’attribut userAccountControl. Vous verrez une ligne de texte pour chaque modification. |
| UserParameters | string | Si vous modifiez un paramètre à l’aide de Utilisateurs et ordinateurs Active Directory console de gestion dans l’onglet Rendez-vous des propriétés du compte d’utilisateur, vous verrez <la valeur modifiée, mais pas affichée> dans ce champ. Pour les comptes locaux, ce champ n’est pas applicable et a <toujours une valeur non définie> . |
| UserPrincipalName | string | Nom de connexion de style Internet pour le compte, basé sur la norme Internet RFC 822. Par convention, cela doit être mappé au nom de messagerie du compte. |
| UserWorkstations | string | Contient la liste des noms NetBIOS ou DNS des ordinateurs à partir desquels l’utilisateur peut se connecter. Chaque nom d’ordinateur est séparé par une virgule. Le nom d’un ordinateur est la propriété sAMAccountName d’un objet ordinateur. |
| VendorIds | string | Attribut « Ids matériels » de l’appareil. Pour afficher les propriétés de l’appareil, démarrez Gestionnaire de périphériques, ouvrez des propriétés d’appareil spécifiques, puis cliquez sur « Détails ». |
| Version | int | Contient le numéro de version de la définition de l’événement. |
| VirtualAccount | string | Indicateur « Oui » ou « Non », qui indique si le compte est un compte virtuel (par exemple, « Compte de service géré »), qui a été introduit dans Windows 7 et Windows Server 2008 R2 pour fournir la possibilité d’identifier le compte utilisé par un service donné, au lieu d’utiliser simplement « NetworkService ». |
| Station de travail | string | Nom de l’ordinateur utilisé pour effectuer l’événement. |
| WorkstationName | string | Nom de l’ordinateur à partir duquel une tentative d’ouverture de session a été effectuée. |
Commentaires
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour