AccountDomain |
string |
Domínio da conta. |
AccountName |
string |
Nome de usuário da conta. |
AccountSid |
string |
SID (identificador de segurança) da conta. |
ActionType |
string |
Tipo de atividade que desencadeou o evento. |
AdditionalFields |
dinâmico |
Informações adicionais sobre a entidade ou evento. |
AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegador. |
_BilledSize |
real |
O tamanho do registro em bytes |
CreatedProcessSessionId |
longo |
ID da sessão do Windows do processo criado. |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço. |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo. |
FileName |
string |
Domínio da conta. |
FileOriginIP |
string |
Endereço IP de onde o arquivo foi baixado. |
OrigemDoArquivoUrl |
string |
URL de onde o arquivo foi baixado. |
Tamanho do arquivo |
longo |
Tamanho do arquivo em bytes. |
FolderPath |
string |
Domínio da conta. |
IniciandoProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento. |
IniciandoNomedaContaDeProcesso |
string |
Nome de usuário da conta que executou o processo responsável pelo evento. |
IniciandoProcessAccountObjectId |
string |
ID do objeto do Azure AD da conta de usuário que executou o processo responsável pelo evento. |
IniciandoProcessAccountSid |
string |
SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento. |
IniciandoProcessAccountUpn |
string |
Nome UPN da conta que executou o processo responsável pelo evento. |
Linha de comando de processo inicial |
string |
Linha de comando usada para executar o processo que iniciou o evento. |
IniciandoProcessoCriaçãoTempo |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado. |
IniciandoNome_do_Arquivo_do_Processo |
string |
Nome do processo que iniciou o evento. |
IniciandoProcessFileSize |
longo |
Tamanho em bytes do arquivo que executou o processo responsável pelo evento. |
IniciandoProcessoPastaPath |
string |
Pasta que contém o processo (arquivo de imagem) que iniciou o evento. |
IniciandoProcessId |
longo |
ID do processo (PID) do processo que iniciou o evento. |
IniciandoProcessLogonId |
longo |
Identificador de uma sessão de logon do processo que iniciou o evento. Esse identificador é exclusivo na mesma máquina somente entre reinicializações. |
IniciandoProcessoMD5 |
string |
Hash MD5 do processo (arquivo de imagem) que iniciou o evento. |
IniciandoProcessoParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado. |
IniciandoProcessParentFileName |
string |
Nome do processo pai que gerou o processo responsável pelo evento. |
IniciandoProcessParentId |
longo |
ID do processo (PID) do processo pai que gerou o processo responsável pelo evento. |
IniciandoProcessoRemotoSessãoNome_doDispositivo |
string |
Nome do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada. |
IniciandoProcessoRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo inicial foi iniciada. |
IniciandoProcessSessionId |
longo |
ID da sessão do Windows do processo inicial. |
IniciandoProcessoSHA1 |
string |
Hash SHA-1 do processo (arquivo de imagem) que iniciou o evento. |
IniciandoProcessoSHA256 |
string |
Hash SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido - use a coluna SHA1 quando disponível. |
IniciandoProcessVersionInfoCompanyName |
string |
Nome da empresa a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento. |
IniciandoProcessVersionInfoFileDescription |
string |
Descrição a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento. |
IniciandoProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
IniciandoProcessVersionInfoOriginalFileName |
string |
Nome do arquivo original a partir das informações de versão do processo (arquivo de imagem) responsável pelo evento. |
IniciandoProcessVersionInfoProductName |
string |
Nome do produto a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento. |
IniciandoProcessVersionInfoProductVersion |
string |
Versão do produto a partir das informações da versão do processo (arquivo de imagem) responsável pelo evento. |
_IsBillable |
string |
Especifica se a ingestão dos dados é faturável. Quando _IsBillable ingestão false não é cobrada em sua conta do Azure |
IsInitiatingProcessRemoteSession |
bool |
Indica se o processo inicial foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false). |
IsProcessRemoteSession |
bool |
Indica se o processo criado foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false). |
LocalIP |
string |
Endereço IP atribuído à máquina local usada durante a comunicação. |
LocalPort |
int |
Porta TCP na máquina local usada durante a comunicação. |
Identificação de logon |
longo |
Identificador de uma sessão de logon. Esse identificador é exclusivo na mesma máquina somente entre reinicializações. |
Grupo de máquinas |
string |
Grupo de máquinas da máquina. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso ao computador. |
MD5 |
string |
Hash MD5 do arquivo ao qual a ação gravada foi aplicada. |
Linha de comando do processo |
string |
Linha de comando usada para criar o novo processo. |
ProcessoCriaçãoTempo |
datetime |
Data e hora em que o processo foi criado. |
ProcessId |
longo |
ID do processo (PID) do processo recém-criado. |
ProcessRemoteSessionDeviceName |
string |
Nome do dispositivo remoto a partir do qual a sessão RDP do processo criado foi iniciada. |
ProcessRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo criado foi iniciada. |
ProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência de elevação de privilégio do UAC (Controle de Acesso do Usuário) aplicada ao processo recém-criado. |
RegistryKey |
string |
Chave do Registro à qual a ação gravada foi aplicada. |
RegistryValueData |
string |
Dados do valor do Registro ao qual a ação registrada foi aplicada. |
Nome_do_Registro_Valor_da_Registro |
string |
Nome do valor do Registro ao qual a ação registrada foi aplicada. |
Nome do Dispositivo Remoto |
string |
Nome do dispositivo que executou uma operação remota na máquina afetada. Dependendo do evento que está sendo relatado, esse nome pode ser um nome de domínio totalmente qualificado (FQDN), um nome NetBIOS ou um nome de host sem informações de domínio. |
RemoteIP |
string |
Endereço IP ao qual estava sendo conectado. |
RemotePort |
int |
Porta TCP no dispositivo remoto ao qual estava sendo conectado. |
Url Remoto |
string |
URL ou FQDN (nome de domínio totalmente qualificado) ao qual estava sendo conectado. |
ReportId |
longo |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, essa coluna deve ser usada em conjunto com as colunas ComputerName e EventTime. |
SHA1 |
string |
Hash SHA-1 do arquivo ao qual a ação gravada foi aplicada. |
SHA256 |
string |
SHA-256 do arquivo ao qual a ação gravada foi aplicada. |
SourceSystem |
string |
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, a conexão direta ou o Operations Manager, Linux para todos os agentes do Linux ou Azure para o Diagnóstico do Azure |
TenantId |
string |
A ID do workspace do Log Analytics |
TimeGenerated |
datetime |
Data e hora em que o evento foi registrado pelo agente MDE no ponto de extremidade. |
Type |
string |
O nome da tabela |