| ActingProcessCommandLine |
строка |
Командная строка, используемая для запуска действующего процесса. |
| ActingProcessCreationTime |
datetime |
Дата и время запуска действующего процесса. |
| ActingProcessFileCompany |
строка |
Компания, создавшая файл образа действующего процесса. |
| ActingProcessFileDescription |
строка |
Описание, внедренное в сведения о версии файла образа действующего процесса. |
| ActingProcessFileInternalName |
строка |
Внутреннее имя файла продукта, полученное из сведений о версии файла образа действующего процесса. |
| ActingProcessFilename |
строка |
Имя файла продукта из сведений о версии файла образа действующего процесса. |
| ActingProcessFileOriginalName |
строка |
Исходное имя файла продукта, полученное из сведений о версии файла образа действующего процесса. |
| ActingProcessFileProduct |
строка |
Имя продукта, полученное из сведений о версии в файле образа действующего процесса. |
| ActingProcessFileSize |
длинный |
Размер файла в байтах, выполняющих действующий процесс. |
| ActingProcessFileVersion |
строка |
Версия продукта, полученная из сведений о версии файла образа действующего процесса. |
| ActingProcessGuid |
строка |
GUID действующего процесса. |
| ActingProcessId |
строка |
Идентификатор процесса действующего процесса. |
| ActingProcessIMPHASH |
строка |
Хэш импорта всех библиотек DLL, используемых действующим процессом. |
| ActingProcessInjectedAddress |
строка |
Адрес памяти, в котором хранится ответственный действующий процесс. |
| ActingProcessIntegrityLevel |
строка |
Уровень целостности для действующего процесса. |
| ActingProcessIsHidden |
bool |
Указывает, скрыт ли действующий процесс. |
| ActingProcessMD5 |
строка |
Хэш MD5 файла образа действующего процесса. |
| ActingProcessName |
строка |
Имя действующего процесса. |
| ActingProcessSHA1 |
строка |
Хэш SHA-1 файла образа действующего процесса. |
| ActingProcessSHA256 |
строка |
Хэш SHA-256 файла образа действующего процесса. |
| ActingProcessSHA512 |
строка |
Хэш SHA-512 файла образа действующего процесса. |
| ActingProcessTokenElevation |
строка |
Токен, указывающий на наличие или отсутствие повышения привилегий контроля доступа пользователей (UAC), применяемого к действующему процессу. |
| ActorOriginalUserType |
строка |
Тип пользователя, сообщаемый устройством отчетов. |
| ActorScope |
строка |
Область, например клиент Azure AD, в которой определены ActorUserId и ActorUsername. |
| ActorScopeId |
строка |
Идентификатор области, например идентификатор клиента Azure AD, в котором определены ActorUserId и ActorUsername. |
| ActorSessionId |
строка |
Уникальный идентификатор сеанса входа Actor. |
| ActorUserId |
строка |
Машинное чтение, буквенно-цифровое, уникальное представление субъекта. |
| ActorUserIdType |
строка |
Тип идентификатора, который хранится в поле ActorUserId. |
| ActorUsername |
строка |
Имя пользователя субъекта, включая сведения о домене при наличии. |
| ActorUsernameType |
строка |
Тип имени пользователя субъекта, указанного в поле ActionUsername |
| ActorUserType |
строка |
Тип Actor. |
| AdditionalFields |
по строкам |
Дополнительные сведения, представленные с помощью пар ключей и значений, предоставляемых источником, который не сопоставляется с ASim. |
| _BilledSize |
real |
Размер записи в байтах |
| DvcAction |
строка |
Для создания отчетов о системах безопасности действия, принятые системой. |
| DvcDescription |
строка |
Текст описания, связанный с устройством. |
| DvcDomain |
строка |
Домен устройства, сообщающего о событии. |
| DvcDomainType |
строка |
Тип DvcDomain. Возможные значения включают "Windows" и "полное доменное имя". |
| DvcFQDN |
строка |
Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcHostname |
строка |
Имя узла устройства, сообщающее о событии. |
| DvcId |
строка |
Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType |
строка |
Тип DvcId. |
| DvcInterface |
строка |
Сетевой интерфейс, в котором были фиксируются данные. |
| DvcIpAddr |
строка |
IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr |
строка |
MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. |
| DvcOriginalAction |
строка |
Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs |
строка |
Операционная система, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcOsVersion |
строка |
Версия операционной системы, работающая на устройстве, на котором произошло событие или которое сообщило о событии. |
| DvcScope |
строка |
Область облачной платформы, к которой принадлежит устройство. DvcScope сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcScopeId |
строка |
Идентификатор области облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone |
строка |
Сеть, в которой произошло событие или которое сообщило о событии. |
| EventCount |
INT |
Количество событий, описываемых записью. |
| EventEndTime |
datetime |
Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage |
строка |
Общее сообщение или описание. |
| EventOriginalResultDetails |
строка |
Исходные сведения о результатах, предоставленные источником. |
| EventOriginalSeverity |
строка |
Исходная степень серьезности, предоставленная передающим устройством. |
| EventOriginalSubType |
строка |
Исходный идентификатор или подтип события, если предоставлен источником. |
| EventOriginalType |
строка |
Исходный идентификатор или тип события, если он указан источником. |
| EventOriginalUid |
строка |
Уникальный идентификатор исходной записи, если он указан источником. |
| EventOwner |
строка |
Владелец события, который обычно является отделом или дочерней компанией, в которой она была создана. |
| EventProduct |
строка |
Продукт, создающий событие. |
| EventProductVersion |
строка |
Версия продукта, создающего событие. |
| EventReportUrl |
строка |
URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| EventResult |
строка |
Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (Not Applicable). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| EventResultDetails |
строка |
Причина или подробные сведения для результата, полученного в поле EventResult. |
| EventSchemaVersion |
строка |
Номер версии схемы. |
| EventSeverity |
строка |
Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий". |
| EventStartTime |
datetime |
Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType |
строка |
Описывает подразделение операции, записанной в поле EventType. |
| EventType |
строка |
Описание операции, сообщаемой записью |
| EventVendor |
строка |
Поставщик продукта, создающего событие. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| ParentProcessCreationTime |
datetime |
Дата и время запуска родительского процесса. |
| ParentProcessFileCompany |
строка |
Компания, создающая файл образа родительского процесса. |
| ParentProcessFileDescription |
строка |
Описание из сведений о версии файла образа родительского процесса. |
| ParentProcessFileProduct |
строка |
Имя продукта из сведений о версии в файле образа родительского процесса. |
| ParentProcessFileVersion |
строка |
Версия продукта из сведений о версии файла образа родительского процесса. |
| ParentProcessGuid |
строка |
GUID родительского процесса. |
| ParentProcessId |
строка |
Идентификатор процесса родительского процесса. |
| ParentProcessIMPHASH |
строка |
Хэш импорта всех библиотек DLL, используемых родительским процессом. |
| ParentProcessInjectedAddress |
строка |
Адрес памяти, в котором хранится ответственный родительский процесс. |
| ParentProcessIntegrityLevel |
строка |
Уровень целостности для родительского процесса. |
| ParentProcessIsHidden |
bool |
Указывает, скрыт ли родительский процесс. |
| ParentProcessMD5 |
строка |
Хэш MD5 файла образа родительского процесса. |
| ParentProcessName |
строка |
Имя родительского окна. |
| ParentProcessSHA1 |
строка |
Хэш SHA-1 файла образа родительского процесса. |
| ParentProcessSHA256 |
строка |
Хэш SHA-256 файла образа родительского процесса. |
| ParentProcessSHA512 |
строка |
Хэш SHA-512 файла образа родительского процесса. |
| ParentProcessTokenElevation |
строка |
Токен, указывающий на наличие или отсутствие повышения привилегий контроля доступа пользователей (UAC), применяемого к родительскому процессу. |
| _ResourceId |
строка |
Уникальный идентификатор ресурса, с которым связана запись. |
| RuleName |
строка |
Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber |
INT |
Число правил, связанных с результатами проверки. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| _SubscriptionId |
строка |
Уникальный идентификатор подписки, с которой связана запись |
| TargetOriginalUserType |
строка |
Тип пользователя, сообщаемый устройством отчетов. |
| TargetProcessCommandLine |
строка |
Командная строка, используемая для запуска целевого процесса. |
| TargetProcessCreationTime |
datetime |
Дата и время начала целевого процесса. |
| TargetProcessCurrentDirectory |
строка |
Текущий каталог, в котором выполняется целевой процесс. |
| TargetProcessFileCompany |
строка |
Компания, создающая файл образа целевого процесса. |
| TargetProcessFileDescription |
строка |
Описание из сведений о версии файла образа целевого процесса. |
| TargetProcessFileInternalName |
строка |
Имя внутреннего файла продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessFilename |
строка |
Имя файла продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessFileOriginalName |
строка |
Имя исходного файла продукта из сведений о версии файла образа целевого процесса. |
| TargetProcessFileProduct |
строка |
Имя продукта из сведений о версии в файле образа целевого процесса. |
| TargetProcessFileSize |
длинный |
Размер файла в байтах, выполняющих процесс, отвечающий за событие. |
| TargetProcessFileVersion |
строка |
Версия продукта, полученная из сведений о версии файла образа целевого процесса. |
| TargetProcessGuid |
строка |
GUID целевого процесса. |
| TargetProcessId |
строка |
Идентификатор процесса целевого процесса. |
| TargetProcessIMPHASH |
строка |
Хэш импорта всех библиотек DLL, используемых целевым процессом. |
| TargetProcessInjectedAddress |
строка |
Адрес памяти, в котором хранится ответственный целевой процесс. |
| TargetProcessIntegrityLevel |
строка |
Уровень целостности для целевого процесса. |
| TargetProcessIsHidden |
bool |
Указывает, скрыт ли целевой процесс. |
| TargetProcessMD5 |
строка |
Хэш MD5 файла образа целевого процесса. |
| TargetProcessName |
строка |
Имя целевого процесса. |
| TargetProcessSHA1 |
строка |
Хэш SHA-1 файла образа целевого процесса. |
| TargetProcessSHA256 |
строка |
Хэш SHA-256 файла образа целевого процесса. |
| TargetProcessSHA512 |
строка |
Хэш SHA-512 файла образа целевого процесса. |
| TargetProcessStatusCode |
строка |
Код выхода, полученный при завершении целевого процесса. |
| TargetProcessTokenElevation |
строка |
Маркер, указывающий на наличие или отсутствие прав пользователя контроль доступа (UAC), примененного к целевому процессу. |
| TargetScope |
строка |
Область, например клиент Azure AD, в которой определены TargetUserId и TargetUsername. |
| TargetScopeId |
строка |
Идентификатор области, например идентификатор клиента Azure AD, в котором определены TargetUserId и TargetUsername. |
| TargetUserId |
строка |
Машинное чтение, буквенно-цифровое, уникальное представление субъекта. |
| TargetUserIdType |
строка |
Тип идентификатора, хранимый в поле TargetUserId. |
| TargetUsername |
строка |
Имя пользователя целевого субъекта, включая сведения о домене при наличии. |
| TargetUsernameType |
строка |
Тип имени пользователя целевого субъекта, указанного в поле TargetUsername |
| TargetUserSessionGuid |
строка |
Уникальный guid сеанса входа целевого субъекта. |
| TargetUserSessionId |
строка |
Уникальный идентификатор сеанса входа целевого субъекта. |
| TargetUserType |
строка |
Тип целевого субъекта. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| ThreatCategory |
строка |
Категория угроз или вредоносных программ, определенных в действии. |
| ThreatConfidence |
INT |
Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField |
строка |
Поле, для которого была обнаружена угроза. |
| ThreatFirstReportedTime |
datetime |
Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId |
строка |
Идентификатор угрозы или вредоносных программ, определенных в действии. |
| ThreatIsActive |
bool |
Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime |
datetime |
Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName |
строка |
Имя угрозы или вредоносных программ, определенных в действии. |
| ThreatOriginalConfidence |
строка |
Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel |
строка |
Уровень риска, сообщаемый устройством отчетов. |
| ThreatRiskLevel |
INT |
Уровень риска, связанный с идентифицированной угрозой. Уровень должен быть числом от 0 до 100. |
| TimeGenerated |
datetime |
Метка времени (UTC), отражающая время создания события. |
| Тип |
строка |
Имя таблицы. |