| ActingProcessCommandLine |
string |
동작 프로세스를 실행하는 데 사용되는 명령줄입니다. |
| ActingProcessGuid |
string |
작업 프로세스의 생성된 GUID(고유 식별자)입니다. |
| ActingProcessId |
string |
작업 프로세스의 PID(프로세스 ID)입니다. |
| ActingProcessName |
string |
작업 프로세스의 이름입니다. |
| ActorOriginalUserType |
string |
보고 디바이스에서 제공하는 원래 행위자 사용자 유형입니다. |
| ActorScope |
string |
ActorUserId 및 ActorUsername이 정의된 Azure AD 테넌트와 같은 범위입니다. |
| ActorScopeId |
string |
ActorUserId 및 ActorUsername이 정의된 Azure AD 디렉터리 ID와 같은 범위 ID입니다. |
| ActorSessionId |
string |
작업자 로그인 세션의 고유 ID. |
| ActorUserAadId |
string |
행위자의 Azure Active Directory ID입니다. |
| ActorUserId |
string |
컴퓨터에서 읽을 수 있는 영숫자, 행위자의 고유한 표현입니다. |
| ActorUserIdType |
string |
ActorUserId 필드에 저장된 ID의 형식입니다. |
| ActorUsername |
string |
사용 가능한 경우 도메인 정보를 포함한 작업자의 사용자 이름입니다. |
| ActorUsernameType |
string |
ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. |
| ActorUserSid |
string |
행위자의 WINDOWS SID(사용자 ID)입니다. |
| ActorUserType |
string |
행위자의 형식입니다. |
| AdditionalFields |
dynamic |
ASim에 매핑되지 않는 원본에서 제공하는 키/값 쌍을 사용하여 표시되는 추가 정보입니다. |
| _BilledSize |
real |
레코드 크기(바이트) |
| DvcAction |
string |
웹 세션에서 수행된 작업입니다. |
| DvcDescription |
string |
디바이스와 관련된 설명 텍스트입니다. |
| DvcDomain |
string |
이벤트를 보고하는 디바이스의 도메인입니다. |
| DvcDomainType |
string |
DvcDomain 형식입니다. 유효한 값에는 'Windows' 및 'FQDN'이 포함됩니다. |
| DvcFQDN |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 호스트 이름입니다. |
| DvcHostname |
string |
이벤트를 보고하는 디바이스의 호스트 이름입니다. |
| DvcId |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 ID입니다. |
| DvcIdType |
string |
DvcId 형식입니다. |
| DvcInterface |
string |
보고 디바이스에서 제공한 원래 DvcAction입니다. |
| DvcIpAddr |
string |
이벤트를 보고하는 디바이스의 IP 주소입니다. |
| DvcMacAddr |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 MAC 주소입니다. |
| DvcOriginalAction |
string |
보고 디바이스에서 제공한 원래 DvcAction입니다. |
| DvcOs |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스에서 실행 중인 운영 체제입니다. |
| DvcOsVersion |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 운영 체제 버전입니다. |
| DvcScope |
string |
디바이스가 속한 클라우드 플랫폼 범위입니다. DvcScope는 Azure의 구독 이름 및 AWS의 계정 ID에 매핑됩니다. |
| DvcScopeId |
string |
디바이스가 속한 클라우드 플랫폼 범위 ID입니다. DvcScopeId는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DvcZone |
string |
스키마에 따라 이벤트가 발생했거나 이벤트를 보고한 네트워크입니다. |
| EventCount |
int |
이 값은 원본에서 집계를 지원할 때 사용되며, 단일 레코드에서 여러 이벤트를 나타낼 수 있습니다. |
| EventEndTime |
날짜/시간 |
이벤트가 종료된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 마지막 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventMessage |
string |
일반적인 메시지 또는 설명입니다. |
| EventOriginalResultDetails |
string |
원본에서 제공한 원본 결과 세부 정보입니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventResultDetails를 파생하는 데 사용됩니다. |
| EventOriginalSeverity |
string |
보고 디바이스에서 제공한 원래 심각도입니다. 이 값은 EventSeverity를 파생하는 데 사용됩니다. |
| EventOriginalSubType |
string |
원본에서 제공한 경우 원래 이벤트 하위 형식 또는 ID입니다. 예를 들어, 이 필드는 원래 Windows 로그온 형식을 저장하는 데 사용됩니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventSubType을 파생하는 데 사용됩니다. |
| EventOriginalType |
string |
원본에서 제공하는 경우 원래 이벤트 유형 또는 ID입니다. |
| EventOriginalUid |
string |
원본에서 제공하는 경우 원래 레코드의 고유 ID입니다. |
| EventOwner |
string |
이벤트의 소유자이며, 일반적으로 생성된 부서 또는 자회사입니다. |
| EventProduct |
string |
이벤트를 생성하는 제품 |
| EventProductVersion |
string |
이벤트를 생성하는 제품의 버전입니다. |
| EventReportUrl |
string |
이벤트에 대한 자세한 정보를 제공하는 리소스에 대해 이벤트에 제공된 URL입니다. |
| EventResult |
string |
성공, 부분, 실패, NA(해당 없음) 값 중 하나로 표시되는 이벤트의 결과입니다. 이 값은 원본에서 직접 제공할 수 없습니다. 이 경우 EventResultDetails 필드와 같은 다른 이벤트 필드에서 파생됩니다. |
| EventResultDetails |
string |
HTTP 상태 코드입니다. |
| EventSchema |
string |
이벤트가 정규화되는 스키마입니다. 각 스키마는 스키마 이름을 문서화합니다. |
| EventSchemaVersion |
string |
스키마의 버전입니다. |
| EventSeverity |
string |
이벤트의 심각도입니다. 유효한 값은 정보, 낮음, 중간 또는 높음입니다. |
| EventStartTime |
날짜/시간 |
이벤트가 시작된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 첫 번째 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventSubType |
string |
해당하는 경우 이벤트 유형에 대한 추가 설명입니다. |
| EventType |
string |
레코드에서 보고한 작업입니다. |
| EventVendor |
string |
이벤트를 생성하는 제품의 공급업체입니다. |
| HashType |
string |
해시 별칭 필드에 저장된 해시의 형식입니다. |
| HttpUserAgent |
string |
HTTP 또는 HTTPS를 사용하여 작업을 시작하면 HTTP 사용자 에이전트 헤더가 사용됩니다. |
| _IsBillable |
string |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| NetworkApplicationProtocol |
string |
원격 시스템에서 작업을 시작하면 연결 또는 세션에서 사용하는 애플리케이션 계층 프로토콜입니다. |
| _ResourceId |
string |
레코드가 연결된 리소스의 고유 식별자입니다. |
| RuleName |
string |
검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber |
int |
검사 결과와 연결된 규칙의 수입니다. |
| SourceSystem |
string |
이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| SrcDescription |
string |
디바이스와 관련된 설명 텍스트입니다. |
| SrcDeviceType |
string |
원본 디바이스의 형식입니다. |
| SrcDomain |
string |
원본 디바이스의 도메인입니다. |
| SrcDomainType |
string |
SrcDomain 형식입니다. |
| SrcDvcId |
string |
원본 디바이스의 ID입니다. |
| SrcDvcIdType |
string |
SrcDvcId 형식입니다. |
| SrcDvcScope |
string |
디바이스가 속한 클라우드 플랫폼 범위입니다. |
| SrcDvcScopeId |
string |
디바이스가 속한 클라우드 플랫폼 범위 ID입니다. |
| SrcFileCreationTime |
날짜/시간 |
원본 파일을 만든 시간입니다. |
| SrcFileDirectory |
string |
원본 파일 폴더 또는 위치입니다. |
| SrcFileExtension |
string |
원본 파일 확장명입니다. |
| SrcFileMD5 |
string |
원본 파일의 MD5 해시입니다. |
| SrcFileMimeType |
string |
원본 파일의 Mime 또는 미디어 형식입니다. |
| SrcFileName |
string |
경로 또는 위치가 없지만 관련된 경우 확장명을 가진 원본 파일의 이름입니다. |
| SrcFilePath |
string |
폴더 또는 위치, 파일 이름 및 확장명을 포함한 원본 파일의 정규화된 전체 경로입니다. |
| SrcFilePathType |
string |
SrcFilePath의 형식입니다. |
| SrcFileSHA1 |
string |
원본 파일의 SHA-1 해시입니다. |
| SrcFileSHA256 |
string |
소스 파일의 SHA-256 해시입니다. |
| SrcFileSHA512 |
string |
원본 파일의 SHA-512 해시입니다. |
| SrcFileSize |
long |
소스 파일의 크기(바이트)입니다. |
| SrcFQDN |
string |
사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. |
| SrcGeoCity |
string |
원본 IP 주소와 연결된 도시입니다. |
| SrcGeoCountry |
string |
원본 IP 주소와 연결된 국가입니다. |
| SrcGeoLatitude |
real |
원본 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| SrcGeoLongitude |
real |
원본 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| SrcGeoRegion |
string |
원본 IP 주소와 연결된 국가 내의 지역입니다. |
| SrcHostname |
string |
도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용 가능한 디바이스 이름이 없으면 이 필드에 관련 IP 주소를 저장합니다. |
| SrcIpAddr |
string |
원격 시스템에서 작업을 시작하면 이 시스템의 IP 주소입니다. |
| SrcMacAddr |
string |
원본 디바이스의 MAC 주소입니다. |
| SrcOriginalRiskLevel |
string |
원본과 관련된 위험 수준입니다. 보고 디바이스에서 보고하거나 보강한 경우 |
| SrcPortNumber |
int |
원격 시스템에서 작업을 시작하면 연결이 시작된 포트 번호입니다. |
| SrcRiskLevel |
int |
원본과 관련된 위험 수준입니다. |
| _SubscriptionId |
string |
레코드가 연결된 구독의 고유 식별자입니다. |
| TargetAppId |
string |
보고 디바이스에서 보고한 대상 애플리케이션의 ID입니다. |
| TargetAppName |
string |
대상 애플리케이션의 이름입니다. |
| TargetAppType |
string |
대상 애플리케이션의 형식입니다. |
| TargetFileCreationTime |
날짜/시간 |
대상 파일을 만든 시간입니다. |
| TargetFileDirectory |
string |
대상 파일 폴더 또는 위치입니다. |
| TargetFileExtension |
string |
대상 파일 확장명입니다. |
| TargetFileMD5 |
string |
대상 파일의 MD5 해시입니다. |
| TargetFileMimeType |
string |
대상 파일의 Mime 또는 미디어 형식입니다. |
| TargetFileName |
string |
경로 또는 위치가 없는 대상 파일의 이름이지만 관련된 경우 확장명을 사용합니다. |
| TargetFilePath |
string |
폴더 또는 위치, 파일 이름 및 확장명을 포함하여 대상 파일의 정규화된 전체 경로입니다. |
| TargetFilePathType |
string |
TargetFilePath의 형식입니다. |
| TargetFileSHA1 |
string |
대상 파일의 SHA-1 해시입니다. |
| TargetFileSHA256 |
string |
대상 파일의 SHA-256 해시입니다. |
| TargetFileSHA512 |
string |
원본 파일의 SHA-512 해시입니다. |
| TargetFileSize |
long |
대상 파일의 크기(바이트)입니다. |
| TargetOriginalAppType |
string |
보고 디바이스에서 보고한 대상 애플리케이션 유형입니다. |
| TargetUrl |
string |
HTTP 또는 HTTPS를 사용하여 작업을 시작하는 경우 사용되는 URL입니다. |
| TenantId |
string |
Log Analytics 작업 영역 ID |
| ThreatCategory |
string |
파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다. |
| ThreatConfidence |
int |
식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatField |
string |
위협이 식별된 필드입니다. 값은 SrcFilePath 또는 DstFilePath입니다. |
| ThreatFilePath |
string |
위협이 식별된 파일 경로입니다. ThreatField 필드에는 ThreatFilePath가 나타내는 필드의 이름이 포함됩니다. |
| ThreatFirstReportedTime |
날짜/시간 |
IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| ThreatId |
string |
파일 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatIsActive |
bool |
식별된 위협이 활성 위협으로 간주되는 True ID입니다. |
| ThreatLastReportedTime |
날짜/시간 |
IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| ThreatName |
string |
파일 활동에서 식별된 위협 또는 맬웨어의 이름입니다. |
| ThreatOriginalConfidence |
string |
보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatOriginalRiskLevel |
string |
보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatRiskLevel |
int |
식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. |
| TimeGenerated |
날짜/시간 |
이벤트가 생성된 시간을 반영하는 타임스탬프입니다. |
| Type |
string |
테이블의 이름입니다. |