| AccountDomain |
string |
Domena konta. |
| AccountName |
string |
Nazwa użytkownika konta. |
| AccountObjectId |
string |
Unikatowy identyfikator konta w usłudze Azure AD. |
| AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta. |
| AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta. |
| Typ akcji |
string |
Typ działania, które wyzwoliło zdarzenie. |
| Dodatkowe pola |
dynamiczna |
Dodatkowe informacje o jednostce lub zdarzeniu. |
| AppGuardContainerId |
string |
Identyfikator zwirtualizowanego kontenera używanego przez funkcję Application Guard do izolowania działania przeglądarki. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| CreatedProcessSessionId |
długi |
Identyfikator sesji systemu Windows utworzonego procesu. |
| DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia. |
| FileName |
string |
Nazwa pliku, do którego zastosowano zarejestrowaną akcję. |
| Rozmiar pliku |
długi |
Rozmiar pliku w bajtach. |
| FolderPath |
string |
Folder zawierający plik, do którego zastosowano zarejestrowaną akcję. |
| InicjowanieProcessAccountDomain |
string |
Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountName |
string |
Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountObjectId |
string |
Identyfikator obiektu usługi Azure AD konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessAccountUpn |
string |
Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie. |
| InicjowanieProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie. |
| InicjowanieProcessFileName |
string |
Nazwa procesu, który zainicjował zdarzenie. |
| InicjowanieProcessFileSize |
długi |
Rozmiar pliku (bajtów), który uruchomił proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessFolderPath |
string |
Folder zawierający proces (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessId |
długi |
Identyfikator procesu (PID) procesu, który zainicjował zdarzenie. |
| InicjowanieProcessIntegrityLevel |
string |
Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów na podstawie pewnych cech, takich jak uruchomienie ich z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
| InicjowanieProcessLogonId |
długi |
Identyfikator sesji logowania procesu, który zainicjował zdarzenie. Ten identyfikator jest unikatowy na tej samej maszynie tylko między ponownymi uruchomieniami. |
| InicjowanieProcessMD5 |
string |
Skrót MD5 procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessParentCreationTime |
datetime |
Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie. |
| InicjowanieProcessParentFileName |
string |
Nazwa procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessParentId |
długi |
Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie. |
| InicjowanieProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| InicjowanieProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP procesu inicjowania. |
| InicjowanieProcessSessionId |
długi |
Identyfikator sesji systemu Windows procesu inicjującego. |
| InicjowanieProcessSHA1 |
string |
Skrót SHA-1 procesu (plik obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessSHA256 |
string |
Skrót SHA-256 procesu (plik obrazu), który zainicjował zdarzenie. W niektórych przypadkach ta kolumna może nie zostać wypełniona — zamiast tego użyj kolumny InitiatingProcessSHA1. |
| InicjowanieProcessSignatureStatus |
string |
Informacje o stanie podpisu procesu (pliku obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessSignerType |
string |
Typ podpisu pliku procesu (pliku obrazu), który zainicjował zdarzenie. |
| InicjowanieProcessTokenElevation |
string |
Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do procesu, który zainicjował zdarzenie. |
| InicjowanieProcessVersionInfoCompanyName |
string |
Nazwa firmy w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| InicjowanieProcessVersionInfoFileDescription |
string |
Opis w informacjach o wersji (plik obrazu) odpowiedzialny za zdarzenie. |
| InicjowanieProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| InicjowanieProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku w informacjach o wersji (plik obrazu) odpowiedzialny za zdarzenie. |
| InicjowanieProcessVersionInfoProductName |
string |
Nazwa produktu w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| InicjowanieProcessVersionInfoProductVersion |
string |
Wersja produktu w informacjach o wersji (pliku obrazu) odpowiedzialnych za zdarzenie. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| IsInitiatingProcessRemoteSession |
bool |
Wskazuje, czy proces inicjowania został uruchomiony w ramach sesji protokołu RDP (remote desktop protocol) lub lokalnie (false). |
| IsProcessRemoteSession |
bool |
Wskazuje, czy utworzony proces został uruchomiony w ramach sesji protokołu RDP (remote desktop protocol) lub lokalnie (false). |
| Identyfikator logowania |
długi |
Identyfikator sesji logowania. Ten identyfikator jest unikatowy na tej samej maszynie tylko między ponownymi uruchomieniami. |
| MachineGroup |
string |
Grupa maszyny maszyny. Ta grupa jest używana przez kontrolę dostępu opartą na rolach w celu określenia dostępu do maszyny. |
| MD5 |
string |
Skrót MD5 pliku, do którego zastosowano zarejestrowaną akcję. |
| ProcessCommandLine |
string |
Wiersz polecenia służący do tworzenia nowego procesu. |
| ProcessCreationTime |
datetime |
Data i godzina utworzenia procesu. |
| ProcessId |
długi |
Identyfikator procesu (PID) nowo utworzonego procesu. |
| ProcessIntegrityLevel |
string |
Poziom integralności nowo utworzonego procesu. System Windows przypisuje poziomy integralności do procesów na podstawie określonych cech, takich jak uruchomienie ich z internetu pobranego. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
| ProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP utworzonego procesu. |
| ProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję protokołu RDP utworzonego procesu. |
| ProcessTokenElevation |
string |
Typ tokenu wskazujący obecność lub brak podniesienia uprawnień kontroli dostępu użytkownika (UAC) zastosowany do nowo utworzonego procesu. |
| ProcessVersionInfoCompanyName |
string |
Nazwa firmy z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoFileDescription |
string |
Opis z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoProductName |
string |
Nazwa produktu z informacji o wersji nowo utworzonego procesu. |
| ProcessVersionInfoProductVersion |
string |
Wersja produktu z informacji o wersji nowo utworzonego procesu. |
| Identyfikator raportu |
długi |
Identyfikator zdarzenia na podstawie powtarzanego licznika. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami ComputerName i EventTime. |
| SHA1 |
string |
Skrót SHA-1 pliku, do którego zastosowano zarejestrowaną akcję. |
| SHA256 |
string |
SHA-256 pliku, do którego zastosowano zarejestrowaną akcję. |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated |
datetime |
Data i godzina zarejestrowania zdarzenia przez agenta MDE w punkcie końcowym. |
| Typ |
string |
Nazwa tabeli |