| ActingProcessCommandLine |
字串 |
用來執行操作程序的命令行。 |
| ActingProcessCreationTime |
Datetime |
作用中處理程序的開始日期和時間。 |
| 執行處理文件公司 |
字串 |
建立作用中進程影像檔案的公司。 |
| ActingProcessFileDescription |
字串 |
內嵌在作用中處理程序影像檔案版本資訊中的描述。 |
| 執行流程檔案內部名稱 |
字串 |
作用中處理程序影像檔案版本資訊的產品內部檔案名稱。 |
| ActingProcessFilename |
字串 |
作用中處理程序影像檔案版本資訊中的產品檔案名稱。 |
| 處理流程檔案原始名稱 |
字串 |
作用中處理程序影像檔案版本資訊的產品原檔案名稱。 |
| 演示處理文件產品 |
字串 |
作用中處理程序影像檔案版本資訊中的產品名稱。 |
| ActingProcessFileSize |
長 |
執行作用中處理程序的檔案大小 (以位元組為單位)。 |
| ActingProcess文件版本 |
字串 |
作用中處理程序影像檔案版本資訊的產品版本。 |
| ActingProcessGuid |
字串 |
作用中處理程序的 GUID。 |
| 執行過程識別碼 |
字串 |
代理程式的進程識別碼。 |
| ActingProcessIMPHASH |
字串 |
作用中處理程序使用的所有程式庫 DLL 匯入雜湊碼。 |
| 執行過程注入地址 |
字串 |
負責處理進程儲存所在的記憶體位址。 |
| 執行過程完整性級別 |
字串 |
作用中處理程序的完整性層級。 |
| 隱藏的代理過程 |
布爾 (bool) |
指出作用中處理程序是否處於隱形模式。 |
| ActingProcessMD5 |
字串 |
作用中處理程序影像檔案的 MD5 雜湊碼。 |
| 執行過程名稱 |
字串 |
作用中處理程序的名稱。 |
| ActingProcessSHA1 |
字串 |
作用中處理程序影像檔案的 SHA-1 雜湊碼。 |
| ActingProcessSHA256 |
字串 |
作用中處理程序影像檔案的 SHA-256 雜湊碼。 |
| ActingProcessSHA512 |
字串 |
作用中處理程序影像檔案的 SHA-512 雜湊碼。 |
| ActingProcessTokenElevation |
字串 |
表示「使用者存取控制」(UAC) 是否提高權限套用作用中處理程序的權杖。 |
| 演員原始用戶類型 |
字串 |
報告裝置所報告的用戶類型。 |
| ActorScope |
字串 |
ActorUserId 和 ActorUsername 定義所在的範圍 (例如 Azure AD 租用戶)。 |
| ActorScopeId(作用範圍識別碼) |
字串 |
ActorUserId 和 ActorUsername 定義所在的範圍識別碼 (例如 Azure AD 租用戶識別碼)。 |
| ActorSessionId (演員會話識別碼) |
字串 |
執行者登入工作階段的唯一識別碼。 |
| ActorUserId |
字串 |
機器可讀取、英數字元且唯一的執行者表示法。 |
| 參與者用戶ID類型 |
字串 |
儲存在 ActorUserId 字段中的識別碼類型。 |
| ActorUsername |
字串 |
演員的用戶名稱,包括可用時的網域資訊。 |
| 演員用戶名類型 |
字串 |
ActionUsername 欄位中指定的執行者使用者名稱類型 |
| 行為者用戶類型 |
字串 |
角色的類型。 |
| 附加欄位 |
動態的 |
其他資訊,使用來源所提供的索引鍵和值組來表示,這些索引鍵和值組不會對應至 ASim。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| DvcAction |
字串 |
針對報告安全性系統,則為系統所採取的動作。 |
| DvcDescription |
字串 |
與裝置相關聯的描述性文字。 |
| DvcDomain |
字串 |
報告事件的裝置網域。 |
| DvcDomainType |
字串 |
DvcDomain 的類型。 可能的值包括 「Windows」 和 「FQDN」。 |
| DvcFQDN |
字串 |
發生事件或報告事件的裝置主機名。 |
| Dvc主機名稱 |
字串 |
報告事件的裝置主機名。 |
| DvcId |
字串 |
發生事件或報告事件之裝置的唯一標識符。 |
| DvcIdType |
字串 |
DvcId 的類型。 |
| DvcInterface |
字串 |
擷取資料的網路介面。 |
| DvcIpAddr |
字串 |
報告事件的裝置IP位址。 |
| DvcMacAddr |
字串 |
發生事件或報告事件的裝置 MAC 位址。 |
| DvcOriginalAction |
字串 |
報告裝置所提供的原始 DvcAction。 |
| DvcOs |
字串 |
發生事件或報告事件的裝置所執行的作業系統。 |
| DvcOsVersion |
字串 |
在設備上發生事件或報告事件時的作業系統版本。 |
| DvcScope |
字串 |
裝置所屬的雲端平台範圍。 DvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DvcScope識別碼 |
字串 |
裝置所屬的雲端平台範圍識別碼。 DvcScopeId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DvcZone |
字串 |
發生事件或報告事件的網路。 |
| 事件數量 |
整數 (int) |
記錄所描述的事件數目。 |
| 活動結束時間 |
Datetime |
事件結束的時間。 如果來源支持匯總且記錄代表多個事件,則記錄最後一個事件生成的時間點。 如果源記錄未提供,此欄位將作為 TimeGenerated 欄位的別稱。 |
| 事件訊息 |
字串 |
一般訊息或描述。 |
| 事件原始結果詳情 |
字串 |
來源所提供的原始結果詳細數據。 |
| EventOriginalSeverity |
字串 |
報告裝置所提供的原始嚴重性。 |
| 事件原始子類型 |
字串 |
如果來源提供,則為原始事件子類型或標識符。 |
| 事件原始類型 (EventOriginalType) |
字串 |
來源所提供的原始事件類型或標識碼。 |
| EventOriginalUid(事件原始唯一識別碼) |
字串 |
如果來源提供,則為原始記錄的唯一識別碼。 |
| 活動所有者 |
字串 |
事件的擁有者,通常是產生事件的部門或子公司。 |
| EventProduct |
字串 |
產生事件的產品。 |
| 事件產品版本 |
字串 |
產生事件的產品版本。 |
| 事件報告網址 |
字串 |
事件中提供的 URL 連結到一個提供更多事件資訊的資源。 |
| 事件結果 |
字串 |
事件的結果,以下列其中一個值表示:Success、Partial、Failure、NA (不適用)。 來源可能不會直接提供此值,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。 |
| 事件結果詳情 |
字串 |
EventResult 字段中所報告結果的原因或詳細數據。 |
| EventSchemaVersion |
字串 |
結構描述的版本。 |
| EventSeverity |
字串 |
事件的嚴重性。 有效值為:資訊、低、中或高。 |
| 活動開始時間 |
Datetime |
事件開始的時間。 如果來源支持匯總且記錄代表多個事件,則記錄中應顯示第一個事件生成的時間。 如果源記錄未提供,此欄位將作為 TimeGenerated 欄位的別稱。 |
| 事件子類型 |
字串 |
描述 EventType 欄位中所報告的作業細分。 |
| 事件類型 |
字串 |
描述記錄所報告的作業 |
| EventVendor |
字串 |
產生事件的產品的廠商。 |
| _IsBillable // 是否可計費 |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| 父程序創建時間 |
Datetime |
父處理程序的開始日期和時間。 |
| ParentProcessFileCompany |
字串 |
建立父處理程序影像檔案的公司。 |
| 父進程文件描述 |
字串 |
父處理程序影像檔案版本資訊中的描述。 |
| ParentProcessFileProduct |
字串 |
父處理程序影像檔案版本資訊中的產品名稱。 |
| ParentProcessFileVersion |
字串 |
父處理程序影像檔案版本資訊中的產品版本。 |
| ParentProcessGuid |
字串 |
父處理程序的 GUID。 |
| ParentProcessId |
字串 |
父處理程序的處理程序識別碼。 |
| ParentProcessIMPHASH |
字串 |
父處理程序使用的所有程式庫 DLL 匯入雜湊碼。 |
| 父進程注入位址 |
字串 |
儲存應負責父處理程序的記憶體位址。 |
| 父處理程序完整性級別 (ParentProcessIntegrityLevel) |
字串 |
父處理程序的完整性層級。 |
| 父程序已隱藏 |
布爾 (bool) |
指出父處理程序是否處於隱形模式。 |
| ParentProcessMD5 |
字串 |
父處理程序影像檔案的 MD5 雜湊碼。 |
| 父程序名稱 |
字串 |
父處理程序的名稱。 |
| ParentProcessSHA1 |
字串 |
父處理程序影像檔案的 SHA-1 雜湊碼。 |
| ParentProcessSHA256 |
字串 |
父處理程序影像檔案的 SHA-256 雜湊碼。 |
| ParentProcessSHA512 |
字串 |
父處理程序影像檔案的 SHA-512 雜湊碼。 |
| ParentProcessTokenElevation |
字串 |
表示「使用者存取控制」(UAC) 是否提高權限套用父處理程序的權杖。 |
| _ResourceId (資源識別碼) |
字串 |
記錄相關資源的唯一識別碼 |
| 規則名稱 |
字串 |
與檢查結果相關聯的規則名稱或標識碼。 |
| 規則編號 |
整數 (int) |
與檢查結果相關聯的規則數目。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| _SubscriptionId(訂閱識別碼) |
字串 |
與記錄相關的訂用帳戶唯一識別碼 |
| 目標原始用戶類型 |
字串 |
報告裝置所報告的用戶類型。 |
| TargetProcessCommandLine |
字串 |
用來執行目標進程的命令行。 |
| 目標程序創建時間 |
Datetime |
啟動目標進程的日期和時間。 |
| TargetProcessCurrentDirectory |
字串 |
執行目標進程的目前目錄。 |
| TargetProcessFileCompany |
字串 |
建立目標處理程序影像檔案的公司。 |
| TargetProcessFile描述文件 |
字串 |
目標處理程序影像檔案版本資訊中的描述。 |
| 目標處理文件內部名稱 |
字串 |
目標處理程序影像檔案版本資訊中的產品內部檔案名稱。 |
| 目標程序檔名 |
字串 |
目標處理程序影像檔案版本資訊中的產品檔案名稱。 |
| TargetProcessFileOriginalName |
字串 |
目標處理程序影像檔案版本資訊中的產品原始檔案名稱。 |
| TargetProcessFileProduct |
字串 |
目標處理程序影像檔案版本資訊中的產品名稱。 |
| 目標程序檔案大小 |
長 |
執行負責事件的處理程序的檔案大小 (以位元組為單位)。 |
| TargetProcessFileVersion |
字串 |
從目標程序映像檔的版本信息中獲取的產品版本。 |
| TargetProcessGuid |
字串 |
目標處理程序的 GUID。 |
| 目標進程ID |
字串 |
目標進程的進程標識碼。 |
| TargetProcessIMPHASH |
字串 |
目標處理程序使用的所有程式庫 DLL 匯入雜湊碼。 |
| 目標處理注入地址 |
字串 |
負責目標進程儲存所在的記憶體位址。 |
| 目標過程完整性層級 |
字串 |
目標進程的完整性層級。 |
| 目標程序已隱藏 |
布爾 (bool) |
指出目標進程是否處於隱藏模式。 |
| TargetProcessMD5 |
字串 |
目標處理程序影像檔案的 MD5 雜湊碼。 |
| TargetProcessName |
字串 |
目標進程的名稱。 |
| TargetProcessSHA1 |
字串 |
目標處理程序影像檔案的 SHA-1 雜湊碼。 |
| TargetProcessSHA256 |
字串 |
目標處理程序影像檔案的 SHA-256 雜湊碼。 |
| TargetProcessSHA512 |
字串 |
目標處理程序影像檔案的 SHA-512 雜湊碼。 |
| 目標處理狀態代碼 |
字串 |
終止時,目標進程所傳回的結束代碼。 |
| TargetProcessTokenElevation |
字串 |
指示是否對目標處理程序套用了「使用者存取控制」(UAC) 權限提升的權杖。 |
| TargetScope |
字串 |
TargetUserId 和 TargetUsername 定義所在的範圍 (例如 Azure AD 租用戶)。 |
| 目標範圍識別碼 (TargetScopeId) |
字串 |
TargetUserId 和 TargetUsername 定義所在的範圍識別碼 (例如 Azure AD 租用戶識別碼)。 |
| 目標用戶ID |
字串 |
機器可讀取、英數字元且唯一的執行者表示法。 |
| 目標用戶ID類型 |
字串 |
儲存在 TargetUserId 字段中的標識碼類型。 |
| 目標用戶名 |
字串 |
目標執行者的使用者名稱,包括網域資訊 (如果可用)。 |
| 目標用戶名稱類型 |
字串 |
TargetUsername 欄位中指定之目標執行者的使用者名稱類型 |
| TargetUserSessionGuid |
字串 |
目標執行者登入工作階段的唯一 GUID。 |
| TargetUserSessionId(目標使用者會話識別碼) |
字串 |
目標執行者登入工作階段的唯一識別碼。 |
| 目標用戶類型 |
字串 |
目標執行者的類型。 |
| 租戶ID |
字串 |
Log Analytics 工作區識別碼 |
| 威脅類別 |
字串 |
活動中所識別的威脅或惡意代碼類別。 |
| 威脅可信度 |
整數 (int) |
識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| 威脅領域 |
字串 |
已識別威脅的欄位。 |
| 威脅首次報告時間 |
Datetime |
第一次將IP位址或網域識別為威脅。 |
| 威脅識別碼 |
字串 |
活動中所識別的威脅或惡意代碼標識碼。 |
| 威脅正在進行 |
布爾 (bool) |
已識別威脅的 True ID 被視為作用中的威脅。 |
| 威脅最後報告時間 |
Datetime |
上次 IP 位址或網域被視為威脅的時間。 |
| 威脅名稱 |
字串 |
活動中所識別的威脅或惡意代碼名稱。 |
| 威脅原始信心 |
字串 |
所識別威脅的原始信賴等級,由報告裝置提供。 |
| 原始威脅風險等級 |
字串 |
報告裝置所報告的風險層級。 |
| 威脅風險等級 |
整數 (int) |
與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 |
| TimeGenerated |
Datetime |
時間戳 (UTC)會反映產生事件的時間。 |
| 類型 |
字串 |
資料表的名稱 |