| AccountDomain |
строка |
Домен учетной записи. |
| AccountName |
строка |
Имя пользователя учетной записи. |
| AccountObjectId |
строка |
Уникальный идентификатор учетной записи в Azure Active Directory. |
| AccountSid |
строка |
Идентификатор безопасности учетной записи. |
| AccountUpn |
строка |
Имя субъекта-пользователя (UPN) учетной записи. |
| AdditionalFields |
по строкам |
Дополнительные сведения о событии в формате массива JSON. |
| AlertId |
строка |
Уникальный идентификатор оповещения. |
| Приложение |
строка |
Приложение, выполняющее записанное действие. |
| ApplicationId |
INT |
Уникальный идентификатор приложения. |
| AttackTechniques |
строка |
Методы MITRE ATT&CK, связанные с действием, активировав оповещение. |
| _BilledSize |
real |
Размер записи в байтах |
| Категории |
строка |
Список категорий, к которым принадлежит информация в формате массива JSON. |
| DetectionSource |
строка |
Технология обнаружения или датчик, которые определили важный компонент или действие. |
| DeviceId |
строка |
Уникальный идентификатор устройства в службе. |
| DeviceName |
строка |
Полное доменное имя компьютера. |
| EmailSubject |
строка |
Тема сообщения электронной почты. |
| EntityType |
строка |
Тип объекта, например файла, процесса, устройства или пользователя. |
| EvidenceDirection |
строка |
Указывает, является ли сущность источником или назначением сетевого подключения. |
| EvidenceRole |
строка |
Как сущность участвует в оповещении, указывая, влияет ли она или просто связана. |
| FileName |
строка |
Имя файла, к которому было применено записанное действие. |
| FileSize |
длинный |
Размер файла в байтах. |
| FolderPath |
строка |
Папка, содержащая файл, к которому применено записанное действие. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| LocalIP |
строка |
IP-адрес, назначенный локальному устройству, используемому во время связи. |
| NetworkMessageId |
строка |
Уникальный идентификатор электронной почты, созданный Office 365. |
| OAuthApplicationId |
строка |
Уникальный идентификатор стороннего приложения OAuth. |
| ProcessCommandLine |
строка |
Командная строка, используемая для создания нового процесса. |
| RegistryKey |
строка |
Раздел реестра, к которому применено записанное действие. |
| RegistryValueData |
строка |
Данные значения реестра, к которому применено записанное действие. |
| RegistryValueName |
строка |
Имя значения реестра, к которому применено записанное действие. |
| RemoteIP |
строка |
IP-адрес, к которому подключено подключение. |
| RemoteUrl |
строка |
URL-адрес или полное доменное имя (FQDN), к которому подключено подключение. |
| ServiceSource |
строка |
Продукт или служба, предоставляющие сведения об оповещении. |
| SHA1 |
строка |
SHA-1 файла, к которому было применено записанное действие. |
| SHA256 |
строка |
SHA-256 файла, к которому применено записанное действие. Обычно это поле не заполняется столбцом SHA1 при наличии. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| ThreatFamily |
строка |
Семейство вредоносных программ, в соответствии с которым был классифицирован подозрительный или вредоносный файл или процесс. |
| TimeGenerated |
datetime |
Дата и время (UTC) при создании записи. |
| Заголовок |
string |
Заголовок оповещения. |
| Тип |
строка |
Имя таблицы. |