| Тип действия |
строка |
Тип действия, активировав событие. |
| AppGuardContainerId |
строка |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize |
real |
Размер записи в байтах |
| DeviceId |
строка |
Уникальный идентификатор устройства в службе. |
| DeviceName |
строка |
Полное доменное имя устройства. |
| ИнициированиеProcessAccountDomain |
строка |
Домен учетной записи, выполняющей процесс инициации. |
| ИнициированиеProcessAccountName |
строка |
Имя пользователя учетной записи, которая запустила процесс инициации. |
| ИнициированиеProcessAccountObjectId |
строка |
Идентификатор объекта Azure AD учетной записи пользователя, выполняющей процесс инициации. |
| ИнициированиеProcessAccountSid |
строка |
Идентификатор безопасности учетной записи, выполняющей процесс инициации. |
| ИнициированиеProcessAccountUpn |
строка |
Имя субъекта-пользователя (UPN) учетной записи, которая запустила процесс инициации. |
| ИнициированиеProcessCommandLine |
строка |
Командная строка, используемая для запуска процесса инициации. |
| ИнициированиеProcessCreationTime |
datetime |
Дата и время запуска процесса, инициированного событием. |
| ИнициированиеProcessFileName |
строка |
Имя процесса инициации. |
| ИнициированиеProcessFileSize |
длинный |
Размер файла (байтов), выполняющего процесс, отвечающий за событие. |
| ИнициированиеProcessFolderPath |
строка |
Папка, содержащая процесс инициации (файл изображения). |
| ИнициированиеProcessId |
длинный |
Идентификатор процесса (PID) процесса, инициирующего процесс. |
| ИнициированиеProcessIntegrityLevel |
строка |
Уровень целостности процесса инициации. Windows назначает уровни целостности процессам на основе определенных характеристик, таких как если бы они были запущены из скачивания в Интернете. Эти уровни целостности влияют на разрешения на ресурсы. |
| ИнициированиеProcessMD5 |
строка |
Хэш MD5 процесса инициирования (файл изображения). |
| ИнициированиеProcessParentCreationTime |
datetime |
Дата и время начала родительского процесса, ответственного за событие. |
| ИнициированиеProcessParentFileName |
строка |
Имя родительского процесса, который породил процесс инициации. |
| ИнициированиеProcessParentId |
длинный |
Идентификатор процесса (PID) родительского процесса, который вызвал процесс инициации. |
| ИнициированиеProcessRemoteSessionDeviceName |
строка |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ИнициированиеProcessRemoteSessionIP |
строка |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ИнициированиеProcessSessionId |
длинный |
Идентификатор сеанса Windows для процесса инициации. |
| ИнициированиеProcessSHA1 |
строка |
Хэш SHA-1 процесса инициации (файл изображения). |
| ИнициированиеProcessSHA256 |
строка |
Хэш SHA-256 процесса инициации (файл изображения). В некоторых случаях этот столбец не может быть заполнен. Вместо этого используйте столбец InitiatingProcessSHA1. |
| ИнициированиеProcessTokenElevation |
строка |
Тип токена, указывающий на наличие или отсутствие прав пользователя контроль доступа (UAC), примененного к процессу инициирования. |
| ИнициированиеProcessVersionInfoCompanyName |
строка |
Имя компании в сведениях о версии (файл образа), ответственное за событие. |
| ИнициированиеProcessVersionInfoFileDescription |
строка |
Описание в сведениях о версии (файле образа), ответственном за событие. |
| ИнициированиеProcessVersionInfoInternalFileName |
строка |
Имя внутреннего файла в сведениях о версии (файл образа), ответственное за событие. |
| ИнициированиеProcessVersionInfoOriginalFileName |
строка |
Исходное имя файла в сведениях о версии (файл образа), ответственное за событие. |
| ИнициированиеProcessVersionInfoProductName |
строка |
Имя продукта в сведениях о версии (файл изображения), ответственное за событие. |
| ИнициированиеProcessVersionInfoProductVersion |
строка |
Версия продукта в сведениях о версии (файл образа) отвечает за событие. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| IsInitiatingProcessRemoteSession |
bool |
Указывает, был ли запущен процесс инициирования в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| MachineGroup |
строка |
Группа компьютеров. Эта группа используется с помощью управления доступом на основе ролей для определения доступа к компьютеру. |
| PreviousRegistryKey |
строка |
Исходный раздел реестра до его изменения. |
| PreviousRegistryValueData |
строка |
Исходные данные значения реестра до его изменения. |
| PreviousRegistryValueName |
строка |
Исходное имя значения реестра до его изменения. |
| RegistryKey |
строка |
Раздел реестра, к которому применено записанное действие. |
| RegistryValueData |
строка |
Данные значения реестра, к которому применено записанное действие. |
| RegistryValueName |
строка |
Имя значения реестра, к которому применено записанное действие. |
| RegistryValueType |
строка |
Тип данных, например двоичный или строковый, значения реестра, к которому было применено записанное действие. |
| ReportId |
длинный |
Идентификатор события на основе повторяющегося счетчика. Чтобы определить уникальные события, этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время записи события агентом MDE в конечной точке. |
| Тип |
строка |
Имя таблицы. |