| ActingAppId |
字串 |
代表行為者授權的應用程式識別碼,包括一個過程、瀏覽器或服務。 |
| ActingAppName |
字串 |
代表行動者進行授權的應用程式名稱,包括程序、瀏覽器或服務。 |
| 演出應用類型 |
字串 |
執行中的應用程式類型。 |
| ActingOriginalAppType |
字串 |
報告裝置所回報的代理應用程式類型。 |
| 演員原始用戶類型 |
字串 |
報告裝置所報告的用戶類型。 |
| ActorScope |
字串 |
ActorUserId 和 ActorUsername 定義所在的範圍 (例如 Azure AD 租用戶)。 |
| ActorScopeId(作用範圍識別碼) |
字串 |
ActorUserId 和 ActorUsername 定義所在的範圍識別碼 (例如 Azure AD 租用戶識別碼)。 |
| ActorSessionId (演員會話識別碼) |
字串 |
執行者登入工作階段的唯一識別碼。 |
| ActorUserId |
字串 |
機器可讀取、英文字母和數字構成的行為主體唯一表示法。 |
| 參與者用戶ID類型 |
字串 |
儲存在 ActorUserId 字段中的識別碼類型。 |
| ActorUsername |
字串 |
角色的使用者名稱,包括域名資訊(若有)。 |
| 演員用戶名類型 |
字串 |
指定儲存在 ActorUsername 欄位中的使用者名稱類型。 |
| 角色使用者類型 |
字串 |
演員的類型。 |
| 附加欄位 |
動態的 |
其他資訊,使用來源所提供的機碼/值組來表示,該值組不會對應至 ASim。 |
| _BilledSize(帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| DvcAction |
字串 |
針對報告安全性系統,則為系統所採取的動作。 |
| DvcDescription |
字串 |
與裝置相關聯的描述性文字。 |
| DvcDomain |
字串 |
報告事件的裝置網域。 |
| DvcDomainType |
字串 |
DvcDomain 的類型。 |
| DvcFQDN |
字串 |
發生事件或報告事件的裝置主機名。 |
| Dvc主機名稱 |
字串 |
報告事件的裝置主機名。 |
| DvcId |
字串 |
發生事件或報告事件之裝置的唯一標識符。 |
| DvcIdType |
字串 |
DvcId 的類型。 |
| DvcInterface |
字串 |
擷取資料的網路介面。 |
| DvcIpAddr |
字串 |
報告事件的裝置IP位址。 |
| DvcMacAddr |
字串 |
事件發生或報告事件的裝置的 MAC 位址。 |
| DvcOriginalAction |
字串 |
報告裝置所提供的原始 DvcAction。 |
| DvcOs |
字串 |
發生事件或報告事件的裝置上所執行的作業系統。 |
| DvcOsVersion |
字串 |
發生事件或報告事件的裝置,其作業系統的版本。 |
| DvcScope |
字串 |
裝置所屬的雲端平台範圍。 DvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DvcScope識別碼 |
字串 |
裝置所屬的雲端平台範圍識別碼。 DvcScopeId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DvcZone |
字串 |
發生事件或報告事件的網路。 |
| 事件數量 |
整數 (int) |
記錄所描述的事件數目。 |
| 事件結束時間 |
Datetime |
事件結束的時間。 如果來源支援彙整,且記錄代表多個事件,則以最後一個事件的產生時間為準。 如果源記錄未提供,此字段作為 TimeGenerated 字段的別名。 |
| 活動訊息 (EventMessage) |
字串 |
一般訊息或描述。 |
| 事件原始結果詳情 |
字串 |
來源所提供的原始結果詳細數據。 |
| EventOriginalSeverity |
字串 |
報告裝置所提供的原始嚴重性。 |
| EventOriginalSubType |
字串 |
如果來源提供,則為原始事件子類型或標識符。 |
| 事件原始類型 |
字串 |
來源所提供的原始事件類型或標識碼。 |
| EventOriginalUid(事件原始唯一識別碼) |
字串 |
如果由來源提供,則為原始記錄的唯一識別碼。 |
| 活動所有者 |
字串 |
事件的擁有者,通常是產生事件的部門或子公司。 |
| EventProduct |
字串 |
產生事件的產品。 |
| 事件產品版本 |
字串 |
產生事件的產品版本。 |
| 事件報告網址 |
字串 |
活動中提供的一個網址,用於獲取更多關於活動的資訊。 |
| 活動結果 |
字串 |
事件的結果,以下列其中一個值表示:Success、Partial、Failure、NA (不適用)。 來源可能不會直接提供此值,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。 |
| 事件結果詳情 |
字串 |
與事件結果相關聯的詳細數據。 當結果失敗時,通常會填入此欄位。 |
| 事件架構版本 (EventSchemaVersion) |
字串 |
結構描述的版本。 |
| EventSeverity |
字串 |
事件的嚴重性。 有效值為:資訊、低、中或高。 |
| 活動開始時間 |
Datetime |
事件開始的時間。 如果來源支援匯總功能,並且記錄代表多個事件,則該記錄中的時間為第一個事件生成時的時間。 如果源記錄未提供,此字段作為 TimeGenerated 字段的別名。 |
| 事件子類型 |
字串 |
登入類型,例如 System、Interactive、RemoteInteractive、Service、RemoteService、Remote 或 AssumeRole。 |
| 事件類型 |
字串 |
描述記錄所報告的作業 |
| EventVendor |
字串 |
產生事件的產品的廠商。 |
| HTTP用戶代理 |
字串 |
透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 |
| _IsBillable // 是否可計費 |
字串 |
指定是否攝取資料需要計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| 登入方法 |
字串 |
用來執行驗證的方法。 |
| 登入協定 |
字串 |
用來執行驗證的通訊協定。 |
| _ResourceId(資源識別碼) |
字串 |
與記錄相關的資源的唯一識別碼 |
| 規則名稱 |
字串 |
與檢查結果相關聯的規則名稱或標識碼。 |
| 規則編號 |
整數 (int) |
與檢查結果相關聯的規則數目。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,OpsManager 用於 Windows 代理程式,直接連線或 Operations Manager、Linux 用於所有 Linux 代理程式,或 Azure 用於 Azure 診斷 |
| SrcDescription |
字串 |
與來源裝置相關聯的描述性文字。 |
| SrcDeviceType |
字串 |
來源裝置的類型。 |
| SrcDomain |
字串 |
來源裝置的網域。 |
| SrcDomainType |
字串 |
SrcDomain 的類型。 |
| SrcDvcId |
字串 |
來源裝置的標識碼。 |
| SrcDvcIdType |
字串 |
SrcDvcId 的類型。 |
| SrcDvcOs |
字串 |
來源裝置的OS。 |
| SrcDvcScope |
字串 |
來源裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| SrcDvcScopeId |
字串 |
來源裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| SrcFQDN |
字串 |
來源裝置主機名,包括可用時的網域資訊。 |
| SrcGeoCity |
字串 |
與來源IP位址相關聯的城市。 |
| SrcGeoCountry |
字串 |
與來源IP位址相關聯的國家/地區。 |
| SrcGeoLatitude |
真實 |
與來源IP位址相關聯的地理座標緯度。 |
| SrcGeoLongitude |
真實 |
與來源IP位址相關聯的地理座標經度。 |
| SrcGeoRegion |
字串 |
與來源IP位址相關聯的國家/地區內區域。 |
| SrcHostname |
字串 |
來源裝置主機名,不包括網域資訊。 |
| SrcIpAddr |
字串 |
來源裝置的 IP 位址。 |
| SrcIsp |
字串 |
來源裝置用來連線到因特網的因特網服務提供者 (ISP)。 |
| SrcOriginalRiskLevel (原始風險級別) |
字串 |
與已識別的來源相關聯的風險層級 (如報告裝置所回報)。 |
| 來源端口號碼 |
整數 (int) |
連線的來源 IP 連接埠。 |
| SrcRiskLevel |
整數 (int) |
與識別的來源相關聯的風險層級。 |
| _SubscriptionId(訂閱識別碼) |
字串 |
與記錄相關的訂用帳戶唯一識別碼 |
| TargetAppId |
字串 |
需要授權的應用程式識別碼,通常是由報告裝置指派。 |
| TargetAppName |
字串 |
需要授權的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 |
| 目標應用類型 |
字串 |
代表參與者進行授權的應用程式類型。 |
| 目標描述 |
字串 |
與目標裝置相關聯的描述性文字。 |
| 目標設備類型 |
字串 |
目標裝置的類型。 |
| 目標領域 |
字串 |
目標裝置的網域。 |
| 目標域類型 |
字串 |
TargetDomain 的類型。 |
| TargetDvcId |
字串 |
目標裝置的標識碼。 |
| TargetDvcIdType |
字串 |
TargetDvcId 的類型。 |
| TargetDvcOs |
字串 |
目標裝置的OS。 |
| TargetDvcScope |
字串 |
目標裝置所屬的雲端平台範圍。 TargetDvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| TargetDvcScopeId |
字串 |
目標裝置所屬的雲端平臺範圍標識碼。 TargetDvcScopeId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| TargetFQDN |
字串 |
目標裝置主機名,包括可用時的網域資訊。 |
| TargetGeoCity |
字串 |
與目標IP位址相關聯的城市。 |
| 目標地理國家 |
字串 |
與目標IP位址相關聯的國家/地區。 |
| 目標地理緯度 |
真實 |
與目標IP位址相關聯的地理座標緯度。 |
| TargetGeoLongitude |
真實 |
與目標IP位址相關聯的地理座標經度。 |
| TargetGeoRegion |
字串 |
與目標IP位址相關聯的國家/地區內區域。 |
| 目標主機名稱 |
字串 |
目標裝置主機名,不包括網域資訊。 |
| 目標IP地址 |
字串 |
目標裝置的IP位址。 |
| 目標原始應用類型 |
字串 |
報告裝置所報告的目標應用程式類型。 |
| 目標原始風險等級 |
字串 |
與目標相關聯的風險層級 (如報告裝置所回報)。 |
| 目標原始用戶類型 |
字串 |
報告裝置所報告的用戶類型。 |
| 目標端口號碼 |
整數 (int) |
目標裝置的連接埠。 |
| 目標風險等級 |
整數 (int) |
與目標相關聯的風險層級。 |
| TargetSessionId |
字串 |
目標執行者登入工作階段的唯一識別碼。 |
| TargetUrl |
字串 |
與目標應用程式相關聯的URL。 |
| 目標用戶ID |
字串 |
機器可讀取、英文字母和數字構成的行為主體唯一表示法。 |
| 目標使用者ID類型 |
字串 |
儲存在 TargetUserId 字段中的標識碼類型。 |
| 目標用戶名 |
字串 |
目標對象的用戶名稱,包括在可用時的網域資訊。 |
| 目標使用者名稱類型 |
字串 |
TargetUsername 欄位中指定之目標執行者的使用者名稱類型 |
| 目標使用者範圍 |
字串 |
TargetUserId 和 TargetUsername 定義所在的範圍 (例如 Azure AD 租用戶)。 |
| TargetUserScopeId |
字串 |
TargetUserId 和 TargetUsername 定義所在的範圍識別碼 (例如 Azure AD 租用戶識別碼)。 |
| 目標用戶類型 |
字串 |
目標行為者的類型。 |
| 租戶識別碼 |
字串 |
Log Analytics 工作區識別碼 |
| 威脅類別 |
字串 |
稽核活動中識別的威脅或惡意代碼類別。 |
| 威脅信心 |
整數 (int) |
識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| 威脅領域 |
字串 |
被識別出威脅的領域。 |
| 威脅首次報告時間 |
Datetime |
第一次將IP位址或網域識別為威脅。 |
| 威脅識別碼 |
字串 |
稽核活動中識別的威脅或惡意代碼標識碼。 |
| 威脅IP地址 |
字串 |
識別威脅的IP位址。 |
| 威脅已啟動 |
布爾 (bool) |
如果已識別的威脅被認為是有效威脅,則為 True。 |
| 威脅最後報告時間 |
Datetime |
上次 IP 位址或網域被視為威脅的時間。 |
| 威脅名稱 |
字串 |
稽核活動中識別的威脅或惡意代碼名稱。 |
| 威脅原始信心 |
字串 |
已識別威脅的原始信賴等級 (如報告裝置所回報)。 |
| 原始威脅風險等級 |
字串 |
報告裝置所報告的風險層級。 |
| 威脅風險等級 |
整數 (int) |
與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 |
| TimeGenerated |
Datetime |
時間戳 (UTC)會反映產生事件的時間。 |
| 類型 |
字串 |
資料表的名稱 |