Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta tabela é para coletar eventos no Common Event Format, que são enviados com mais frequência de diferentes dispositivos de segurança, como Check Point, Palo Alto e muito mais.
Atributos da tabela
| Atributo | Valor |
|---|---|
| Tipos de recursos | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Categorias | Segurança |
| Soluções | Segurança, SecurityInsights |
| Log básico | Sim |
| Transformação durante a ingestão | Sim |
| Amostras de Consulta | Sim |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| Atividade | cadeia de caracteres | Uma cadeia de caracteres que representa uma descrição legível e compreensível do evento. |
| Extensões adicionais | cadeia de caracteres | Um espaço reservado para campos adicionais. Os campos são registrados como pares de chave-valor. |
| Protocolo de Aplicação | cadeia de caracteres | O protocolo usado no aplicativo, como HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPs e assim por diante. |
| _BilledSize | verdadeiro | O tamanho do registro em bytes |
| CollectorHostName | cadeia de caracteres | O nome do host da máquina coletora que executa o agente. |
| Direção da Comunicação | cadeia de caracteres | Qualquer informação sobre a direção que a comunicação observada tomou. Valores válidos: 0 = Entrada, 1 = Saída. |
| Computador | cadeia de caracteres | Host, do Syslog. |
| DestinationDnsDomain | cadeia de caracteres | A parte DNS do FQDN (nome de domínio totalmente qualificado). |
| DestinationHostName | cadeia de caracteres | O destino ao qual o evento se refere em uma rede IP. O formato deve ser um FQDN associado ao nó de destino, quando um nó está disponível. Por exemplo: host.domain.com ou host. |
| IP de destino | cadeia de caracteres | O endereço IpV4 de destino ao qual o evento se refere em uma rede IP. |
| DestinationMACAddress | cadeia de caracteres | O endereço MAC de destino (FQDN). |
| DestinationNTDomain | cadeia de caracteres | O nome de domínio do Windows do endereço de destino. |
| Porto de Destino | INT | Porta de destino. Valores válidos: 0 - 65535. |
| DestinationProcessId | INT | A ID do processo de destino associado ao evento. |
| DestinationProcessName | cadeia de caracteres | O nome do processo de destino do evento, como telnetd ou sshd. |
| NomeDoServiçoDeDestino | cadeia de caracteres | O serviço ao qual o evento é direcionado. Por exemplo: sshd. |
| DestinationTranslatedAddress | cadeia de caracteres | Identifica o destino traduzido referido pelo evento em uma rede IP, como um endereço IP IPv4. |
| DestinationTranslatedPort | INT | Porta após a tradução, como um firewall Números de porta válidos: 0 a 65535. |
| ID do usuário de destino | cadeia de caracteres | Identifica o usuário de destino por ID. Por exemplo: no Unix, o usuário root geralmente está associado ao ID de usuário 0. |
| NomeDeUsuárioDeDestino | cadeia de caracteres | Identifica o usuário de destino por nome. |
| PrivilégiosDeUsuárioDeDestino | cadeia de caracteres | Define os privilégios do uso de destino. Valores válidos: Admninistrator, User, Guest. |
| DeviceAction | cadeia de caracteres | A ação mencionada no evento. |
| Endereço de Dispositivo | cadeia de caracteres | O endereço IPv4 do dispositivo que gera o evento. |
| DeviceCustomDate1 | cadeia de caracteres | Um dos dois campos de marca temporal disponíveis para mapear campos que não se encaixam em nenhuma outra categoria neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomDate1Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomDate2 | cadeia de caracteres | Um dos dois campos de marca temporal disponíveis para mapear campos que não se encaixam em nenhuma outra categoria neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomDate2Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint1 | verdadeiro | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint1Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint2 | verdadeiro | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint2Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint3 | verdadeiro | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint3Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomFloatingPoint4 | verdadeiro | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomFloatingPoint4Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| EndereçoIPv6PersonalizadoDoDispositivo1 | cadeia de caracteres | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address1Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| EndereçoIPv6PersonalizadoDoDispositivo2 | cadeia de caracteres | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address2Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address3 | cadeia de caracteres | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address3Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomIPv6Address4 | cadeia de caracteres | Um dos quatro campos de endereço IPv6 disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. |
| DeviceCustomIPv6Address4Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber1 | INT | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber2 | INT | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomNumber3 | INT | Em breve será um campo obsoleto. Será substituído por FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString1 | cadeia de caracteres | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString1Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString2 | cadeia de caracteres | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString2Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString3 | cadeia de caracteres | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString3Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString4 | cadeia de caracteres | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString4Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString5 | cadeia de caracteres | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString5Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceCustomString6 | cadeia de caracteres | Uma das seis cadeias de caracteres disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| DeviceCustomString6Label | cadeia de caracteres | Todos os campos personalizados têm um campo de rótulo correspondente. Cada um desses campos é uma string e descreve a finalidade do campo personalizado. |
| DeviceDnsDomain | cadeia de caracteres | A parte de domínio DNS do FQDN (nome de domínio qualificado completo). |
| DeviceEventCategory | cadeia de caracteres | Representa a categoria atribuída pelo dispositivo de origem. Os dispositivos geralmente usam o próprio esquema de categorização para classificar o evento. Exemplo: "/Monitor/Disk/Read". |
| DeviceEventClassID | cadeia de caracteres | Cadeia de caracteres ou inteiro que serve como um identificador exclusivo por tipo de evento. |
| DeviceExternalID | cadeia de caracteres | Um nome que identifica exclusivamente o dispositivo que gera o evento. |
| DeviceFacility | cadeia de caracteres | A instalação que gera o evento. Por exemplo: autenticação ou local1. |
| DeviceInboundInterface | cadeia de caracteres | A interface na qual o pacote ou os dados foram inseridos no dispositivo. Por exemplo: ethernet1/2. |
| DeviceMacAddress | cadeia de caracteres | O endereço MAC do dispositivo que gera o evento. |
| Nome do Dispositivo | cadeia de caracteres | O FQDN associado ao nó do dispositivo, quando um nó está disponível. Por exemplo: host.domain.com ou host. |
| DeviceNtDomain | cadeia de caracteres | O domínio do Windows do endereço do dispositivo. |
| DeviceOutboundInterface | cadeia de caracteres | A interface pela qual o pacote ou os dados saíram do dispositivo. |
| DevicePayloadId | cadeia de caracteres | Identificador exclusivo para o payload associado ao evento. |
| DeviceProduct | cadeia de caracteres | Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| DeviceTimeZone | cadeia de caracteres | Fuso horário do dispositivo que gera o evento. |
| DeviceTranslatedAddress | cadeia de caracteres | Identifica o endereço do dispositivo traduzido ao qual o evento se refere em uma rede IP. O formato é um endereço IPv4. |
| DeviceVendor | cadeia de caracteres | Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| Versão do Dispositivo | cadeia de caracteres | Cadeia de caracteres que, juntamente com as definições de produto e versão do dispositivo, identifica exclusivamente o tipo de dispositivo de envio. |
| Hora de término | data e hora | A hora em que a atividade relacionada ao evento terminou. |
| Contagem de Eventos | INT | Uma contagem associada ao evento, mostrando quantas vezes o mesmo evento foi observado. |
| Resultado do Evento | cadeia de caracteres | Exibe o resultado, geralmente como 'sucesso' ou 'falha'. |
| Tipo de Evento | INT | Tipo de evento. Os valores de valor incluem: 0: evento base, 1: agregado, 2: evento de correlação, 3: evento de ação. Observação: este evento pode ser omitido para eventos base. |
| ExternalId | INT | Em breve será um campo obsoleto. Será substituído por ExtID. |
| ExtID | cadeia de caracteres | Uma ID usada pelo dispositivo de origem (substituirá ExternalID herdada). Normalmente, esses valores têm valores crescentes que são associados a um evento. |
| FieldDeviceCustomNumber1 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber1 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| FieldDeviceCustomNumber2 | long | Um dos três campos de número disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber2 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| FieldDeviceCustomNumber3 | long | Um dos três campos numéricos disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário (substituirá o DeviceCustomNumber3 herdado). Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. |
| HoraDeCriaçãoDoArquivo | cadeia de caracteres | Hora que o arquivo foi criado. |
| Hash de arquivo | cadeia de caracteres | Hash de um arquivo. |
| ID do Arquivo | cadeia de caracteres | Uma ID associada a um arquivo, como inode. |
| HorárioDeModificaçãoDoArquivo | cadeia de caracteres | Hora em que o arquivo foi modificado pela última vez. |
| Nome do Arquivo | cadeia de caracteres | O nome do arquivo, sem o caminho. |
| FilePath | cadeia de caracteres | Caminho completo para o arquivo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| Permissão de Arquivo | cadeia de caracteres | As permissões do arquivo. Por exemplo: '2,1,1'. |
| Tamanho do arquivo | INT | O tamanho do arquivo em bytes. |
| Tipo de Arquivo | cadeia de caracteres | Tipo de arquivo, como pipe, soquete e assim por diante. |
| FlexDate1 | cadeia de caracteres | Um campo de carimbo de data/hora disponível para mapear um carimbo de data/hora que não se aplica a nenhum outro campo de carimbo de data/hora definido neste dicionário. Use todos os campos flexíveis com moderação e busque um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexDate1Label | cadeia de caracteres | O campo label é uma string e descreve a finalidade do campo flex. |
| FlexNumber1 | INT | Campos numéricos disponíveis para mapear dados Int que não se aplicam a nenhum outro campo neste dicionário. |
| FlexNumber1Label | cadeia de caracteres | O rótulo que descreve o valor em FlexNumber1 |
| FlexNumber2 | INT | Campos numéricos disponíveis para mapear dados Int que não se aplicam a nenhum outro campo neste dicionário. |
| FlexNumber2Label | cadeia de caracteres | O rótulo que descreve o valor em FlexNumber2 |
| FlexString1 | cadeia de caracteres | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexString1Label | cadeia de caracteres | O campo label é uma string e descreve a finalidade do campo flex. |
| FlexString2 | cadeia de caracteres | Um dos quatro campos de ponto flutuante disponíveis para mapear campos que não se aplicam a nenhum outro neste dicionário. Use com moderação e procure um campo mais específico, fornecido pelo dicionário, quando possível. Esses campos são normalmente reservados para uso do cliente e não devem ser definidos pelos fornecedores, a menos que seja necessário. |
| FlexString2Label | cadeia de caracteres | O campo label é uma string e descreve a finalidade do campo flex. |
| Tipo de Ameaça do Indicador | cadeia de caracteres | O tipo de ameaça do MaliciousIP de acordo com nosso feed de TI. |
| _IsBillable | cadeia de caracteres | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false a ingestão não é cobrada para sua conta do Azure |
| LogSeverity | cadeia de caracteres | Uma cadeia de caracteres ou um inteiro que descreve a importância do evento. Valores de cadeia de caracteres válidos: Desconhecido, Baixo, Médio, Alto, Muito-Alto Os valores inteiros válidos são: 0-3 = Baixo, 4-6 = Médio, 7-8 = Alto, 9-10 = Muito-Alto. |
| IP Malicioso | cadeia de caracteres | Se um dos IPs na mensagem estiver correlacionado com o feed de TI atual que temos, ele aparecerá aqui. |
| País de IP Malicioso | cadeia de caracteres | O país do MaliciousIP de acordo com as informações do GEO no momento em que o registro foi ingerido. |
| MaliciousIPLatitude | verdadeiro | A latitude do MaliciousIP de acordo com as informações geográficas no momento da ingestão de registro. |
| MaliciousIPLongitude | verdadeiro | A longitude do MaliciousIP de acordo com as informações do GEO no momento da ingestão do registro. |
| Mensagem | cadeia de caracteres | Uma mensagem que fornece mais detalhes sobre o evento. |
| OldFileCreateTime | cadeia de caracteres | Hora em que o arquivo antigo foi criado. |
| OldFileHash | cadeia de caracteres | Hash do arquivo antigo. |
| ID do arquivo antigo | cadeia de caracteres | E ID associada ao arquivo antigo, como o inode. |
| OldFileModificationTime | cadeia de caracteres | Hora em que o arquivo antigo foi modificado pela última vez. |
| OldFileName | cadeia de caracteres | Nome do arquivo antigo. |
| OldFilePath | cadeia de caracteres | Caminho completo para o arquivo antigo, incluindo o nome do arquivo. Por exemplo: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe ou /usr/bin/zip. |
| OldFilePermission | cadeia de caracteres | Permissões do arquivo antigo. Por exemplo: '2,1,1'. |
| OldFileSize | INT | O tamanho do arquivo antigo em bytes. |
| TipoDeArquivoAntigo | cadeia de caracteres | Tipo do arquivo antigo, como um pipe, soquete e assim por diante. |
| OriginalLogSeverity | cadeia de caracteres | Uma versão não mapeada do LogSeverity. Por exemplo: Aviso/Crítico/Informação em vez do normalizado Baixo/Médio/Alto no campo LogSeverity |
| ID do Processo | INT | Define a ID do processo no dispositivo que gera o evento. |
| ProcessName | cadeia de caracteres | Nome do processo associado ao evento. Por exemplo: no UNIX, o processo que gera a entrada do syslog. |
| Protocolo | cadeia de caracteres | Protocolo de transporte que identifica o protocolo Layer-4 usado. Os valores possíveis incluem nomes de protocolo, como TCP ou UDP. |
| Motivo | cadeia de caracteres | O motivo pelo qual um evento de auditoria foi gerado. Por exemplo, 'senha incorreta' ou 'usuário desconhecido'. Também pode ser um erro ou um código de retorno. Exemplo: '0x1234'. |
| Hora de Recebimento | string | A hora em que o evento relacionado à atividade foi recebido. Diferente do campo "Timegenerated", que é quando o evento foi recebido no computador do coletor de logs. |
| Bytes Recebidos | long | Número de bytes transferidos em entrada. |
| RemoteIP | string | O endereço IP remoto, derivado do valor de direção do evento, se possível. |
| RemotePort | cadeia de caracteres | A porta remota, derivada do valor de direção do evento, se possível. |
| ReportReferenceLink | cadeia de caracteres | Link para o relatório do feed de TI. |
| RequestClientApplication | cadeia de caracteres | O agente de usuário associado com a solicitação. |
| Contexto de Solicitação | cadeia de caracteres | Descreve o conteúdo do qual a solicitação se originou, como o referenciador HTTP. |
| RequestCookies | cadeia de caracteres | Cookies associados com a solicitação. |
| Método de Solicitação | cadeia de caracteres | O método usado para acessar uma URL. Os valores válidos incluem métodos como POST, GET e assim por diante. |
| URL de Solicitação | cadeia de caracteres | A URL acessada para uma solicitação HTTP, incluindo o protocolo. Por exemplo: http://www/secure.com. |
| _IdentificadorDeRecurso | string | Identificador exclusivo do recurso ao qual o registro está associado |
| Bytes Enviados | long | Número de bytes transferidos em saída. |
| SimplifiedDeviceAction | cadeia de caracteres | Uma versão mapeada de DeviceAction, como Negado > Negar. |
| SourceDnsDomain | cadeia de caracteres | A parte do domínio DNS do FQDN completo. |
| SourceHostName | cadeia de caracteres | Identifica a fonte à qual o evento se refere em uma rede IP. O formato deve ser um nome de domínio totalmente qualificado (FQDN) associado ao nó de origem, quando um nó está disponível. Por exemplo: host ou host.domain.com. |
| IP de origem | cadeia de caracteres | A origem à qual um evento se refere em uma rede IP, como um endereço IPv4. |
| Endereço MAC de Origem | cadeia de caracteres | Endereço MAC de origem. |
| SourceNTDomain | cadeia de caracteres | O nome de domínio do Windows para o endereço de origem. |
| SourcePort | INT | O número da porta de origem. Os números de porta válidos são 0 - 65535. |
| SourceProcessId | INT | A ID do processo de origem associado ao evento. |
| SourceProcessName | cadeia de caracteres | O nome do processo de origem do evento. |
| SourceServiceName | cadeia de caracteres | O serviço responsável por gerar o evento. |
| SourceSystem | cadeia de caracteres | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para agentes do Windows, seja conexão direta ou Operations Manager, Linux para todos os agentes Linux, ou Azure para Diagnósticos do Azure |
| SourceTranslatedAddress | cadeia de caracteres | Identifica a origem traduzida à qual o evento se refere em uma rede IP. |
| SourceTranslatedPort | INT | Porta de origem após a conversão, como um firewall. Os números de porta válidos são 0 - 65535. |
| SourceUserID | cadeia de caracteres | Identifica o usuário de origem por ID. |
| SourceUserName | cadeia de caracteres | Identifica o usuário de origem por nome. Os endereços de email também são mapeados para os campos UserName. O remetente é um candidato a ser inserido neste campo. |
| Privilégios do Usuário de Origem | cadeia de caracteres | Os privilégios do usuário de origem. Os valores válidos incluem: Administrador, Usuário, Convidado. |
| Hora de Início | data e hora | A hora em que a atividade à qual o evento se refere foi iniciada. |
| _ID de Assinatura | cadeia de caracteres | Identificador exclusivo da assinatura à qual o registro está associado |
| ID do Inquilino (TenantId) | cadeia de caracteres | A ID do workspace do Log Analytics |
| ThreatConfidence | cadeia de caracteres | A confiança da ameaça do MaliciousIP de acordo com nosso feed de TI. |
| Descrição da Ameaça | cadeia de caracteres | A descrição da ameaça do MaliciousIP de acordo com nosso feed de TI. |
| ThreatSeverity | INT | A gravidade da ameaça do MaliciousIP de acordo com nosso feed de TI no momento da ingestão do registro. |
| TimeGenerated | data e hora | Tempo de coleta de eventos em UTC. |
| Tipo | cadeia de caracteres | O nome da tabela |