| AccountDomain |
строка |
Домен учетной записи. |
| AccountName |
строка |
Имя пользователя учетной записи. |
| AccountObjectId |
строка |
Уникальный идентификатор учетной записи в Azure AD. |
| AccountSid |
строка |
Идентификатор безопасности учетной записи. |
| AccountUpn |
строка |
Имя субъекта-пользователя (UPN) учетной записи. |
| Тип действия |
строка |
Тип действия, активировав событие. |
| AdditionalFields |
по строкам |
Дополнительные сведения о сущности или событии. |
| AppGuardContainerId |
строка |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize |
real |
Размер записи в байтах |
| CreatedProcessSessionId |
длинный |
Идентификатор сеанса Windows созданного процесса. |
| DeviceId |
строка |
Уникальный идентификатор устройства в службе. |
| DeviceName |
строка |
Полное доменное имя устройства. |
| FileName |
строка |
Имя файла, к которому было применено записанное действие. |
| FileSize |
длинный |
Размер файла в байтах. |
| FolderPath |
строка |
Папка, содержащая файл, к которому применено записанное действие. |
| ИнициированиеProcessAccountDomain |
строка |
Домен учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountName |
строка |
Имя пользователя учетной записи, которая выполнила процесс, отвечающий за событие. |
| ИнициированиеProcessAccountObjectId |
строка |
Идентификатор объекта Azure AD учетной записи пользователя, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountSid |
строка |
Идентификатор безопасности учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountUpn |
строка |
Имя субъекта-пользователя (UPN) учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessCommandLine |
строка |
Командная строка, используемая для запуска процесса, инициирующего событие. |
| ИнициированиеProcessCreationTime |
datetime |
Дата и время запуска процесса, инициированного событием. |
| ИнициированиеProcessFileName |
строка |
Имя процесса, инициируемого событием. |
| ИнициированиеProcessFileSize |
длинный |
Размер файла (байтов), выполняющего процесс, отвечающий за событие. |
| ИнициированиеProcessFolderPath |
строка |
Папка, содержащая процесс (файл изображения), инициируемый событием. |
| ИнициированиеProcessId |
длинный |
Идентификатор процесса (PID) процесса, инициирующего событие. |
| ИнициированиеProcessIntegrityLevel |
строка |
Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, таких как если бы они были запущены из скачивания в Интернете. Эти уровни целостности влияют на разрешения на ресурсы. |
| ИнициированиеProcessLogonId |
длинный |
Идентификатор сеанса входа в процесс, инициируемый событием. Этот идентификатор является уникальным на одном компьютере только между перезапусками. |
| ИнициированиеProcessMD5 |
строка |
Хэш MD5 процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessParentCreationTime |
datetime |
Дата и время начала родительского процесса, ответственного за событие. |
| ИнициированиеProcessParentFileName |
строка |
Имя родительского процесса, который породил процесс, отвечающий за событие. |
| ИнициированиеProcessParentId |
длинный |
Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
| ИнициированиеProcessRemoteSessionDeviceName |
строка |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ИнициированиеProcessRemoteSessionIP |
строка |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ИнициированиеProcessSessionId |
длинный |
Идентификатор сеанса Windows для процесса инициации. |
| ИнициированиеProcessSHA1 |
строка |
Хэш SHA-1 процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessSHA256 |
строка |
Хэш SHA-256 процесса (файла изображения), инициированного событием. В некоторых случаях этот столбец не может быть заполнен. Вместо этого используйте столбец InitiatingProcessSHA1. |
| ИнициированиеProcessSignatureStatus |
строка |
Сведения о состоянии подписи процесса (файла изображения), инициируемого событием. |
| ИнициированиеProcessSignerType |
строка |
Тип подписыватель файла процесса (файла изображения), инициирующего событие. |
| ИнициированиеProcessTokenElevation |
строка |
Тип токена, указывающий на наличие или отсутствие прав пользователя контроль доступа (UAC), примененного к процессу, инициируемого событием. |
| ИнициированиеProcessVersionInfoCompanyName |
строка |
Имя компании в сведениях о версии (файл образа), ответственное за событие. |
| ИнициированиеProcessVersionInfoFileDescription |
строка |
Описание в сведениях о версии (файле образа), ответственном за событие. |
| ИнициированиеProcessVersionInfoInternalFileName |
строка |
Имя внутреннего файла в сведениях о версии (файл образа), ответственное за событие. |
| ИнициированиеProcessVersionInfoOriginalFileName |
строка |
Исходное имя файла в сведениях о версии (файл образа), ответственное за событие. |
| ИнициированиеProcessVersionInfoProductName |
строка |
Имя продукта в сведениях о версии (файл изображения), ответственное за событие. |
| ИнициированиеProcessVersionInfoProductVersion |
строка |
Версия продукта в сведениях о версии (файл образа) отвечает за событие. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| IsInitiatingProcessRemoteSession |
bool |
Указывает, был ли запущен процесс инициирования в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| IsProcessRemoteSession |
bool |
Указывает, был ли созданный процесс запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| Входной идентификатор |
длинный |
Идентификатор сеанса входа. Этот идентификатор уникален на одном компьютере только между перезапусками. |
| MachineGroup |
строка |
Группа компьютеров. Эта группа используется с помощью управления доступом на основе ролей для определения доступа к компьютеру. |
| MD5 |
строка |
Хэш MD5 файла, к которому было применено записанное действие. |
| ProcessCommandLine |
строка |
Командная строка, используемая для создания нового процесса. |
| ProcessCreationTime |
datetime |
Дата и время создания процесса. |
| ProcessId |
длинный |
Идентификатор процесса (PID) созданного процесса. |
| ProcessIntegrityLevel |
строка |
Уровень целостности созданного процесса. Windows назначает уровни целостности процессам на основе определенных характеристик, таких как если бы они были запущены из Интернета. Эти уровни целостности влияют на разрешения на ресурсы. |
| ProcessRemoteSessionDeviceName |
строка |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP созданного процесса. |
| ProcessRemoteSessionIP |
строка |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP созданного процесса. |
| ProcessTokenElevation |
строка |
Тип токена, указывающий на наличие или отсутствие прав пользователя контроль доступа (UAC), примененного к созданному процессу. |
| ProcessVersionInfoCompanyName |
строка |
Имя компании из сведений о версии созданного процесса. |
| ProcessVersionInfoFileDescription |
строка |
Описание из сведений о версии созданного процесса. |
| ProcessVersionInfoInternalFileName |
строка |
Имя внутреннего файла из сведений о версии созданного процесса. |
| ProcessVersionInfoOriginalFileName |
строка |
Исходное имя файла из сведений о версии созданного процесса. |
| ProcessVersionInfoProductName |
строка |
Имя продукта из сведений о версии созданного процесса. |
| ProcessVersionInfoProductVersion |
строка |
Версия продукта из сведений о версии только что созданного процесса. |
| ReportId |
длинный |
Идентификатор события на основе повторяющегося счетчика. Чтобы определить уникальные события, этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| SHA1 |
строка |
Хэш SHA-1 файла, к которому было применено записанное действие. |
| SHA256 |
строка |
SHA-256 файла, к которому применено записанное действие. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время записи события агентом MDE в конечной точке. |
| Тип |
строка |
Имя таблицы. |