| Typ akcji |
string |
Typ działania, które wyzwoliło zdarzenie. |
| Dodatkowe pola |
dynamiczna |
Dodatkowe informacje o jednostce lub zdarzeniu. |
| AppGuardContainerId |
string |
Identyfikator zwirtualizowanego kontenera używanego przez funkcję Application Guard do izolowania działania przeglądarki. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. |
| FileName |
string |
Nazwa pliku, do którego zastosowano zarejestrowaną akcję. |
| FileOriginIP |
string |
Adres IP, z którego pobrano plik. |
| FileOriginReferrerUrl |
string |
Adres URL strony internetowej, która łączy się z pobranym plikiem. |
| FileOriginUrl |
string |
Adres URL, z którego pobrano plik. |
| Rozmiar pliku |
długi |
Rozmiar pliku w bajtach. |
| FolderPath |
string |
Folder zawierający plik, do którego zastosowano zarejestrowaną akcję. |
| InicjowanieProcessAccountDomain |
string |
Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountName |
string |
Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountObjectId |
string |
Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountUpn |
string |
Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie. |
| InicjowanieProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| InicjowanieProcessFileName |
string |
Nazwa procesu, który zainicjował zdarzenie. |
| InicjowanieProcessFileSize |
długi |
Rozmiar w bajtach procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessFolderPath |
string |
Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessId |
długi |
Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
| InicjowanieProcessIntegrityLevel |
string |
Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów na podstawie pewnych cech, takich jak uruchomienie ich z pobierania z Internetu. Te poziomy integralności wpływają na uprawnienia do zasobów. |
| InicjowanieProcessMD5 |
string |
Skrót MD5 procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessParentCreationTime |
datetime |
Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie. |
| InicjowanieProcessParentFileName |
string |
Nazwa procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessParentId |
długi |
Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| InicjowanieProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| InicjowanieProcessSessionId |
długi |
Identyfikator sesji systemu Windows procesu inicjującego. |
| InicjowanieProcessSHA1 |
string |
Skrót SHA-1 procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessSHA256 |
string |
Skrót SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełniane — jeśli jest dostępna, użyj kolumny SHA1. |
| InicjowanieProcessTokenElevation |
string |
Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu, który zainicjował zdarzenie. |
| InicjowanieProcessVersionInfoCompanyName |
string |
Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoFileDescription |
string |
Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoProductName |
string |
Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| InicjowanieProcessVersionInfoProductVersion |
string |
Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie. |
| IsAzureInfoProtectionApplied |
bool |
Wskazuje, czy plik jest szyfrowany przez usługę Azure Information Protection. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| IsInitiatingProcessRemoteSession |
bool |
Wskazuje, czy proces inicjowania został uruchomiony w ramach sesji protokołu RDP (remote desktop protocol) lub lokalnie (false). |
| MachineGroup |
string |
Grupa maszyny maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| MD5 |
string |
Skrót MD5 pliku, do którego zastosowano zarejestrowaną akcję. |
| PreviousFileName |
string |
Oryginalna nazwa pliku, którego nazwa została zmieniona w wyniku akcji. |
| PreviousFolderPath |
string |
Oryginalny folder zawierający plik przed zastosowaniem zarejestrowanej akcji. |
| Identyfikator raportu |
długi |
Identyfikator zdarzenia na podstawie powtarzanego licznika. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
| RequestAccountDomain |
string |
Domena konta używanego do zdalnego inicjowania działania. |
| RequestAccountName |
string |
Nazwa użytkownika konta używanego do zdalnego inicjowania działania. |
| RequestAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta używanego do zdalnego inicjowania działania. |
| RequestProtocol |
string |
Jeśli ma to zastosowanie, protokół sieciowy używany do inicjowania działania: Nieznany, Lokalny, SMB lub NFS. |
| RequestSourceIP |
string |
Adres IPv4 lub IPv6 urządzenia zdalnego, które zainicjowało działanie. |
| RequestSourcePort |
int |
Port źródłowy na urządzeniu zdalnym, które zainicjowało działanie. |
| Etykieta poufności |
string |
Etykieta zastosowana do wiadomości e-mail, pliku lub innego pliku w celu sklasyfikowania jej w celu ochrony informacji. |
| SensitivitySubLabel |
string |
Etykieta podrzędna zastosowana do wiadomości e-mail, pliku lub innego elementu zawartości w celu sklasyfikowania jej pod kątem ochrony informacji; etykiety podrzędne poufności są grupowane w etykietach poufności, ale są traktowane niezależnie. |
| SHA1 |
string |
Skrót SHA-1 pliku, do którego zastosowano zarejestrowaną akcję. |
| SHA256 |
string |
SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. |
| ShareName |
string |
Nazwa folderu udostępnionego zawierającego plik. |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated |
datetime |
Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Typ |
string |
Nazwa tabeli |