| ActingProcessCommandLine |
string |
Riga di comando usata per eseguire il processo di azione. |
| ActingProcessCreationTime |
datetime |
Data e ora di inizio del processo di recitazione. |
| ActingProcessFileCompany |
string |
Società che ha creato il file di immagine del processo di azione. |
| ActingProcessFileDescription |
string |
Descrizione incorporata nelle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFileInternalName |
string |
Nome del file interno del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFilename |
string |
Nome del file del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFileOriginalName |
string |
Nome del file originale del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessFileProduct |
string |
Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo di azione. |
| ActingProcessFileSize |
long |
Dimensione del file in byte che ha eseguito il processo di azione. |
| ActingProcessFileVersion |
string |
Versione del prodotto dalle informazioni sulla versione del file di immagine del processo di azione. |
| ActingProcessGuid |
string |
GUID del processo di azione. |
| ActingProcessId |
string |
ID processo del processo di azione. |
| ActingProcessIMPHASH |
string |
Hash di importazione di tutte le DLL della libreria usate dal processo di azione. |
| ActingProcessInjectedAddress |
string |
Indirizzo di memoria in cui è archiviato il processo di azione responsabile. |
| ActingProcessIntegrityLevel |
string |
Livello di integrità per il processo di azione. |
| ActingProcessIsHidden |
bool |
Indica se il processo di azione è in modalità nascosta. |
| ActingProcessMD5 |
string |
Hash MD5 del file di immagine del processo di azione. |
| ActingProcessName |
string |
Nome del processo di azione. |
| ActingProcessSHA1 |
string |
Hash SHA-1 del file di immagine del processo che agisce. |
| ActingProcessSHA256 |
string |
Hash SHA-256 del file di immagine del processo di azione. |
| ActingProcessSHA512 |
string |
Hash SHA-512 del file di immagine del processo che agisce. |
| ActingProcessTokenElevation |
string |
Token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo di azione. |
| ActorOriginalUserType |
string |
Tipo di utente segnalato dal dispositivo di report. |
| ActorScope |
string |
Ambito, ad esempio il tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorScopeId |
string |
ID ambito, ad esempio ID tenant di Azure AD, in cui vengono definiti ActorUserId e ActorUsername. |
| ActorSessionId |
string |
ID univoco della sessione di accesso dell'attore. |
| ActorUserId |
string |
Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
| ActorUserIdType |
string |
Tipo dell'ID archiviato nel campo ActorUserId. |
| ActorUsername |
string |
Nome utente dell'attore, incluse le informazioni sul dominio, se disponibili. |
| ActorUsernameType |
string |
Tipo del nome utente dell'attore specificato nel campo ActionUsername |
| ActorUserType |
string |
Tipo dell'attore. |
| Campi aggiuntivi |
dynamic |
Informazioni aggiuntive, rappresentate usando coppie chiave e valore fornite dall'origine che non eseguono il mapping ad ASim. |
| _BilledSize |
real |
Dimensioni del record in byte |
| DvcAction |
string |
Per la creazione di report sui sistemi di sicurezza, l'azione intrapresa dal sistema. |
| DvcDescription |
string |
Un testo descrittivo associato al dispositivo. |
| DvcDomain |
string |
Dominio del dispositivo che segnala l'evento. |
| DvcDomainType |
string |
Tipo di DvcDomain. I valori possibili includono "Windows" e "FQDN". |
| DvcFQDN |
string |
Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcHostname |
string |
Nome host del dispositivo che segnala l'evento. |
| DvcId |
string |
ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcIdType |
string |
Il tipo di DvcId. |
| DvcInterface |
string |
Interfaccia di rete in cui sono stati acquisiti i dati. |
| DvcIpAddr |
string |
Indirizzo IP del dispositivo che segnala l'evento. |
| DvcMacAddr |
string |
Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOriginalAction |
string |
Il DvcAction originale fornito dal dispositivo di report. |
| DvcOs |
string |
Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOsVersion |
string |
La versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcScope |
string |
L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcScopeId |
string |
L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcZone |
string |
Rete in cui si è verificato l'evento o che ha segnalato l'evento. |
| EventCount |
int |
Numero di eventi descritti dal record. |
| EventEndTime |
datetime |
Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventMessage |
string |
Messaggio o descrizione generali. |
| EventOriginalResultDetails |
string |
Dettagli del risultato originale forniti dall'origine. |
| EventOriginalSeverity |
string |
Gravità originale fornita dal dispositivo di report. |
| EventOriginalSubType |
string |
Sottotipo o ID dell'evento originale, se specificato dall'origine. |
| EventOriginalType |
string |
Tipo di evento o ID originale, se specificato dall'origine. |
| EventOriginalUid |
string |
ID univoco del record originale, se specificato dall'origine. |
| EventOwner |
string |
Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct |
string |
Prodotto che genera l'evento. |
| EventProductVersion |
string |
Versione del prodotto che genera l'evento. |
| EventReportUrl |
string |
URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| EventResult |
string |
Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicable). Il valore potrebbe non essere fornito direttamente dalle origini, nel qual caso è derivato da altri campi evento, ad esempio il campo EventResultDetails. |
| EventResultDetails |
string |
Motivo o dettagli per il risultato segnalato nel campo EventResult. |
| EventSchemaVersion |
string |
La versione dello schema. |
| EventSeverity |
string |
Gravità dell'evento. I valori validi sono: Informativo, Basso, Medio o Alto. |
| EventStartTime |
datetime |
Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubType |
string |
Descrive una suddivisione dell'operazione segnalata nel campo EventType. |
| EventType |
string |
Descrive l'operazione segnalata dal record |
| EventVendor |
string |
Fornitore del prodotto che genera l'evento. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| ParentProcessCreationTime |
datetime |
Data e ora di avvio del processo padre. |
| ParentProcessFileCompany |
string |
Società che ha creato il file di immagine del processo padre. |
| ParentProcessFileDescription |
string |
Descrizione delle informazioni sulla versione del file di immagine del processo padre. |
| ParentProcessFileProduct |
string |
Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo padre. |
| ParentProcessFileVersion |
string |
Versione del prodotto dalle informazioni sulla versione del file di immagine del processo padre. |
| ParentProcessGuid |
string |
GUID del processo padre. |
| ParentProcessId |
string |
ID processo del processo padre. |
| ParentProcessIMPHASH |
string |
Importazione hash di tutte le DLL della libreria usate dal processo padre. |
| ParentProcessInjectedAddress |
string |
Indirizzo di memoria in cui è archiviato il processo padre responsabile. |
| ParentProcessIntegrityLevel |
string |
Livello di integrità per il processo padre. |
| ParentProcessIsHidden |
bool |
Indicazione se il processo padre è in modalità nascosta. |
| ParentProcessMD5 |
string |
Hash MD5 del file di immagine del processo padre. |
| ParentProcessName |
string |
Nome del processo padre. |
| ParentProcessSHA1 |
string |
Hash SHA-1 del file di immagine del processo padre. |
| ParentProcessSHA256 |
string |
Hash SHA-256 del file di immagine del processo padre. |
| ParentProcessSHA512 |
string |
Hash SHA-512 del file di immagine del processo padre. |
| ParentProcessTokenElevation |
string |
Token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo padre. |
| _ResourceId |
string |
Identificatore univoco della risorsa a cui è associato il record. |
| RuleName |
string |
Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber |
int |
Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| _SubscriptionId |
string |
Identificatore univoco della sottoscrizione a cui è associato il record |
| TargetOriginalUserType |
string |
Tipo di utente segnalato dal dispositivo di report. |
| TargetProcessCommandLine |
string |
Riga di comando usata per eseguire il processo di destinazione. |
| TargetProcessCreationTime |
datetime |
Data e ora di avvio del processo di destinazione. |
| TargetProcessCurrentDirectory |
string |
Directory corrente in cui viene eseguito il processo di destinazione. |
| TargetProcessFileCompany |
string |
Società che ha creato il file di immagine del processo di destinazione. |
| TargetProcessFileDescription |
string |
Descrizione delle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFileInternalName |
string |
Nome file interno del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFilename |
string |
Nome del file del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFileOriginalName |
string |
Nome del file originale del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessFileProduct |
string |
Nome del prodotto dalle informazioni sulla versione nel file di immagine del processo di destinazione. |
| TargetProcessFileSize |
long |
Dimensione del file in byte che ha eseguito il processo responsabile dell'evento. |
| TargetProcessFileVersion |
string |
Versione del prodotto dalle informazioni sulla versione del file di immagine del processo di destinazione. |
| TargetProcessGuid |
string |
GUID del processo di destinazione. |
| TargetProcessId |
string |
ID del processo di destinazione. |
| TargetProcessIMPHASH |
string |
Importazione hash di tutte le DLL della libreria usate dal processo di destinazione. |
| TargetProcessInjectedAddress |
string |
Indirizzo di memoria in cui è archiviato il processo di destinazione responsabile. |
| TargetProcessIntegrityLevel |
string |
Livello di integrità per il processo di destinazione. |
| TargetProcessIsHidden |
bool |
Indicazione se il processo di destinazione è in modalità nascosta. |
| TargetProcessMD5 |
string |
Hash MD5 del file di immagine del processo di destinazione. |
| TargetProcessName |
string |
Nome del processo di destinazione. |
| TargetProcessSHA1 |
string |
Hash SHA-1 del file di immagine del processo di destinazione. |
| TargetProcessSHA256 |
string |
Hash SHA-256 del file di immagine del processo di destinazione. |
| TargetProcessSHA512 |
string |
Hash SHA-512 del file di immagine del processo di destinazione. |
| TargetProcessStatusCode |
string |
Codice di uscita restituito dal processo di destinazione al termine. |
| TargetProcessTokenElevation |
string |
Token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo di destinazione. |
| TargetScope |
string |
Ambito, ad esempio il tenant di Azure AD, in cui sono definiti TargetUserId e TargetUsername. |
| TargetScopeId |
string |
ID ambito, ad esempio ID tenant di Azure AD, in cui vengono definiti TargetUserId e TargetUsername. |
| TargetUserId |
string |
Rappresentazione univoca dell'attore leggibile, alfanumerica e leggibile dal computer. |
| TargetUserIdType |
string |
Tipo dell'ID archiviato nel campo TargetUserId. |
| TargetUsername |
string |
Nome utente dell'attore di destinazione, incluse le informazioni sul dominio, se disponibili. |
| TargetUsernameType |
string |
Tipo del nome utente dell'attore di destinazione specificato nel campo TargetUsername |
| TargetUserSessionGuid |
string |
GUID univoco della sessione di accesso dell'attore target. |
| TargetUserSessionId |
string |
ID univoco della sessione di accesso dell'attore di destinazione. |
| TargetUserType |
string |
Tipo dell'attore target. |
| TenantId |
string |
L'ID dell'area di lavoro Log Analytics |
| ThreatCategory |
string |
Categoria della minaccia o del malware identificato nell'attività. |
| ThreatConfidence |
int |
Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField |
string |
Campo per il quale è stata identificata una minaccia. |
| ThreatFirstReportedTime |
datetime |
La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatId |
string |
ID della minaccia o del malware identificato nell'attività. |
| ThreatIsActive |
bool |
True ID la minaccia identificata è considerata una minaccia attiva. |
| ThreatLastReportedTime |
datetime |
L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatName |
string |
Nome della minaccia o del malware identificato nell'attività. |
| ThreatOriginalConfidence |
string |
Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalRiskLevel |
string |
Livello di rischio segnalato dal dispositivo di report. |
| ThreatRiskLevel |
int |
Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
| TimeGenerated |
datetime |
Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| Type |
string |
Nome della tabella |