| ActingProcessCommandLine |
string |
A linha de comando usada para executar o processo de atuação. |
| AtuaçãoProcessoCriaçãoTempo |
datetime |
A data e a hora em que o processo de atuação foi iniciado. |
| ActingProcessFileCompany |
string |
A empresa que criou o arquivo de imagem do processo de atuação. |
| ActingProcessFileDescription |
string |
A descrição incorporada nas informações de versão do arquivo de imagem do processo de atuação. |
| ActingProcessFileInternalName |
string |
O nome do arquivo interno do produto a partir das informações de versão do arquivo de imagem do processo de atuação. |
| ActingProcessFilename |
string |
O nome do arquivo do produto das informações de versão do arquivo de imagem do processo de atuação. |
| ActingProcessFileOriginalName |
string |
O nome do arquivo original do produto a partir das informações de versão do arquivo de imagem do processo de atuação. |
| ActingProcessFileProduct |
string |
O nome do produto a partir das informações de versão no arquivo de imagem do processo de atuação. |
| ActingProcessFileSize |
long |
O tamanho do arquivo em bytes que executou o processo de atuação. |
| ActingProcessFileVersion |
string |
A versão do produto a partir das informações de versão do arquivo de imagem do processo de atuação. |
| AtuaçãoProcessoGuid |
string |
Um GUID do processo de atuação. |
| ActingProcessId |
string |
A ID do processo de atuação. |
| ActingProcessIMPHASH |
string |
O hash de importação de todas as DLLs de biblioteca que são usadas pelo processo de atuação. |
| ActingProcessInjectedAddress |
string |
O endereço de memória no qual o processo de atuação responsável é armazenado. |
| AtuaçãoProcessoIntegridadeNível |
string |
Nível de integridade para o processo de atuação. |
| ActingProcessIsHidden |
booleano |
Uma indicação de se o processo de atuação está no modo oculto. |
| ActingProcessMD5 |
string |
O hash MD5 do arquivo de imagem do processo de atuação. |
| ActingProcessName |
string |
O nome do processo de atuação. |
| ActingProcessSHA1 |
string |
O hash SHA-1 do arquivo de imagem do processo de atuação. |
| ActingProcessSHA256 |
string |
O hash SHA-256 do arquivo de imagem do processo de atuação. |
| ActingProcessSHA512 |
string |
O hash SHA-512 do arquivo de imagem do processo de atuação. |
| ActingProcessTokenElevation |
string |
Um token que indica a presença ou ausência da elevação de privilégios do Controle de Acesso do Usuário (UAC) aplicada ao processo de atuação. |
| ActorOriginalUserType |
string |
O tipo de usuário conforme relatado pelo dispositivo de relatório. |
| ActorScope |
string |
O escopo, como locatário do Azure AD, no qual ActorUserId e ActorUsername são definidos. |
| ActorScopeId |
string |
A ID de escopo, como a ID de locatário do Azure AD, na qual ActorUserId e ActorUsername são definidos. |
| ActorSessionId |
string |
O ID exclusivo da sessão de entrada do Ator. |
| ActorUserId |
string |
Uma representação única, alfanumérica e legível por máquina do ator. |
| ActorUserIdType |
string |
O tipo de ID armazenado no campo ActorUserId. |
| ActorUsername |
string |
O nome de usuário do ator, incluindo informações de domínio, quando disponíveis. |
| ActorUsernameType |
string |
O tipo de nome de usuário do ator especificado no campo ActionUsername |
| ActorUserType |
string |
O tipo do ator. |
| Campos Adicionais |
dynamic |
Informações adicionais, representadas usando pares de chave e valor fornecidos pela fonte que não são mapeados para ASim. |
| _BilledSize |
real |
O tamanho do registo em bytes |
| DvcAction |
string |
Para relatar sistemas de segurança, a ação tomada pelo sistema. |
| DvcDescrição |
string |
Um texto descritivo associado ao dispositivo. |
| DvcDomínio |
string |
O domínio do dispositivo que relata o evento. |
| DvcDomainType |
string |
O tipo de DvcDomain. Os valores possíveis incluem "Windows" e "FQDN". |
| DvcFQDN |
string |
O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcNome do host |
string |
O nome do host do dispositivo que relata o evento. |
| DvcId |
string |
A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcIdType |
string |
O tipo de DvcId. |
| DvcInterface |
string |
A interface de rede na qual os dados foram capturados. |
| DvcIpAddr |
string |
O endereço IP do dispositivo que relata o evento. |
| DvcMacAddr |
string |
O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcOriginalAction |
string |
O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| DvcOs |
string |
O sistema operacional em execução no dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcOsVersion |
string |
A versão do sistema operacional no dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcScope |
string |
O escopo da plataforma de nuvem ao qual o dispositivo pertence. O DvcScope é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| DvcScopeId |
string |
O ID de escopo da plataforma de nuvem ao qual o dispositivo pertence. O DvcScopeId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| DvcZona |
string |
A rede na qual o evento ocorreu ou que relatou o evento. |
| EventCount |
número inteiro |
O número de eventos descritos pelo registro. |
| EventEndTime |
datetime |
A hora em que o evento terminou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado. |
| EventMessage |
string |
Uma mensagem ou descrição geral. |
| EventOriginalResultDetails |
string |
Os detalhes do resultado original fornecidos pela fonte. |
| EventOriginalSeverity |
string |
A gravidade original, conforme fornecido pelo dispositivo de relatório. |
| EventOriginalSubType |
string |
O subtipo ou ID do evento original, se fornecido pela fonte. |
| EventOriginalType |
string |
O tipo de evento ou ID original, se fornecido pela fonte. |
| EventOriginalUid |
string |
Um ID exclusivo do registro original, se fornecido pela fonte. |
| Proprietário do Evento |
string |
O proprietário do evento, que geralmente é o departamento ou subsidiária em que foi gerado. |
| EventoProduto |
string |
O produto gerador do evento. |
| EventProductVersion |
string |
A versão do produto que gera o evento. |
| EventReportUrl |
string |
Uma URL fornecida no evento para um recurso que fornece mais informações sobre o evento. |
| EventResult |
string |
O resultado do evento, representado por um dos seguintes valores: Sucesso, Parcial, Fracasso, NA (Não Aplicável). O valor não pode ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
| EventResultDetails |
string |
Motivo ou detalhes do resultado relatado no campo EventResult. |
| EventSchemaVersion |
string |
A versão do esquema. |
| EventSeverity |
string |
A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime |
datetime |
A hora em que o evento começou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado. |
| SubTipo de Evento |
string |
Descreve uma subdivisão da operação relatada no campo EventType. |
| EventType |
string |
Descreve a operação relatada pelo registro |
| EventVendor |
string |
O fornecedor do produto que gera o evento. |
| _IsBillable |
string |
Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure |
| ParentProcessCreationTime |
datetime |
A data e a hora em que o processo pai foi iniciado. |
| ParentProcessFileCompany |
string |
A empresa que criou o arquivo de imagem do processo pai. |
| ParentProcessFileDescription |
string |
A descrição das informações de versão do arquivo de imagem do processo pai. |
| ParentProcessFileProduct |
string |
O nome do produto das informações de versão no arquivo de imagem do processo pai. |
| ParentProcessFileVersion |
string |
A versão do produto a partir das informações de versão do arquivo de imagem do processo pai. |
| ParentProcessGuid |
string |
Um GUID do processo pai. |
| ParentProcessId |
string |
A ID do processo pai. |
| ParentProcessIMPHASH |
string |
O hash de importação de todas as DLLs de biblioteca que são usadas pelo processo pai. |
| ParentProcessInjectedAddress |
string |
O endereço de memória no qual o processo pai responsável é armazenado. |
| ParentProcessIntegrityLevel |
string |
Nível de integridade para o processo pai. |
| ParentProcessIsHidden |
booleano |
Uma indicação de se o processo pai está no modo oculto. |
| ParentProcessMD5 |
string |
O hash MD5 do arquivo de imagem do processo pai. |
| ParentProcessName |
string |
O nome do processo pai. |
| ParentProcessSHA1 |
string |
O hash SHA-1 do arquivo de imagem do processo pai. |
| ParentProcessSHA256 |
string |
O hash SHA-256 do arquivo de imagem do processo pai. |
| ParentProcessSHA512 |
string |
O hash SHA-512 do arquivo de imagem do processo pai. |
| ParentProcessTokenElevation |
string |
Um token que indica a presença ou ausência da elevação de privilégios do UAC (Controle de Acesso do Usuário) aplicada ao processo pai. |
| _ResourceId |
string |
Um identificador exclusivo para o recurso ao qual o registro está associado |
| RuleName |
string |
O nome ou ID da regra associado aos resultados da inspeção. |
| Número da regra |
número inteiro |
O número da regra associada aos resultados da inspeção. |
| SourceSystem |
string |
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| _SubscriptionId |
string |
Um identificador exclusivo para a assinatura à qual o registro está associado |
| TargetOriginalUserType |
string |
O tipo de usuário conforme relatado pelo dispositivo de relatório. |
| TargetProcessCommandLine |
string |
A linha de comando usada para executar o processo de destino. |
| TargetProcessCreationTime |
datetime |
A data e a hora em que o processo de destino foi iniciado. |
| TargetProcessCurrentDirectory |
string |
O diretório atual no qual o processo de destino é executado. |
| TargetProcessFileCompany |
string |
A empresa que criou o arquivo de imagem do processo de destino. |
| TargetProcessFileDescription |
string |
A descrição das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessFileInternalName |
string |
O nome do arquivo interno do produto das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessFilename |
string |
O nome do arquivo do produto das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessFileOriginalName |
string |
O nome do arquivo original do produto das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessFileProduct |
string |
O nome do produto das informações de versão no arquivo de imagem do processo de destino. |
| TargetProcessFileSize |
long |
Tamanho do arquivo em bytes que executou o processo responsável pelo evento. |
| TargetProcessFileVersion |
string |
A versão do produto a partir das informações de versão do arquivo de imagem do processo de destino. |
| TargetProcessGuid |
string |
Um GUID do processo de destino. |
| TargetProcessId |
string |
A ID do processo de destino. |
| TargetProcessIMPHASH |
string |
O hash de importação de todas as DLLs de biblioteca que são usadas pelo processo de destino. |
| TargetProcessInjectedAddress |
string |
O endereço de memória no qual o processo de destino responsável é armazenado. |
| TargetProcessIntegrityLevel |
string |
Nível de integridade para o processo alvo. |
| TargetProcessIsHidden |
booleano |
Uma indicação de se o processo de destino está no modo oculto. |
| TargetProcessMD5 |
string |
O hash MD5 do arquivo de imagem do processo de destino. |
| TargetProcessName |
string |
O nome do processo de destino. |
| TargetProcessSHA1 |
string |
O hash SHA-1 do arquivo de imagem do processo de destino. |
| TargetProcessSHA256 |
string |
O hash SHA-256 do arquivo de imagem do processo de destino. |
| TargetProcessSHA512 |
string |
O hash SHA-512 do arquivo de imagem do processo de destino. |
| TargetProcessStatusCode |
string |
O código de saída retornado pelo processo de destino quando terminado. |
| TargetProcessTokenElevation |
string |
Um token que indica a presença ou ausência da elevação de privilégios do UAC (Controle de Acesso do Usuário) aplicada ao processo de destino. |
| Âmbito do Alvo |
string |
O escopo, como locatário do Azure AD, no qual TargetUserId e TargetUsername são definidos. |
| TargetScopeId |
string |
A ID de escopo, como a ID de locatário do Azure AD, na qual TargetUserId e TargetUsername são definidos. |
| TargetUserId |
string |
Uma representação única, alfanumérica e legível por máquina do ator. |
| TargetUserIdType |
string |
O tipo do ID armazenado no campo TargetUserId. |
| TargetUsername |
string |
O nome de usuário do ator de destino, incluindo informações de domínio, quando disponíveis. |
| TargetUsernameType |
string |
O tipo de nome de usuário do ator de destino especificado no campo TargetUsername |
| TargetUserSessionGuid |
string |
O guid exclusivo da sessão de login do ator Target. |
| TargetUserSessionId |
string |
A ID exclusiva da sessão de entrada do ator de destino. |
| TargetUserType |
string |
O tipo do ator Target. |
| TenantId |
cadeia |
O ID do espaço de trabalho do Log Analytics |
| ThreatCategory |
string |
A categoria da ameaça ou malware identificado na atividade. |
| ThreatConfidence |
número inteiro |
O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| Campo de Ameaças |
string |
O campo para o qual foi identificada uma ameaça. |
| ThreatFirstReportedTime |
datetime |
A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatId |
string |
O ID da ameaça ou malware identificado na atividade. |
| ThreatIsActive |
booleano |
True ID a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime |
datetime |
A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| Nome da Ameaça |
string |
O nome da ameaça ou malware identificado na atividade. |
| ThreatOriginalConfidence |
string |
O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel |
string |
O nível de risco comunicado pelo dispositivo de notificação. |
| ThreatRiskLevel |
número inteiro |
O nível de risco associado à ameaça identificada. O nível deve ser um número entre 0 e 100. |
| TimeGenerated |
datetime |
O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| Type |
string |
O nome da tabela |