| AccountDomain |
string |
Dominio dell'account. |
| AccountName |
string |
Nome utente dell'account. |
| AccountSid |
string |
Identificatore di sicurezza (SID) dell'account. |
| ActionType |
string |
Tipo di attività che ha attivato l'evento. |
| Campi aggiuntivi |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId |
string |
Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize |
real |
Dimensioni del record in byte |
| CreatedProcessSessionId |
long |
ID sessione di Windows del processo creato. |
| DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio. |
| DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo. |
| FileName |
string |
Dominio dell'account. |
| FileOriginIP |
string |
Indirizzo IP da cui è stato scaricato il file. |
| FileOriginUrl |
string |
URL da cui è stato scaricato il file. |
| FileSize |
long |
Dimensioni del file, in byte. |
| FolderPath |
string |
Dominio dell'account. |
| AvvioprocessAccountDomain |
string |
Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountName |
string |
Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountObjectId |
string |
ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountSid |
string |
ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessCommandLine |
string |
Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| AvvioprocessCreationTime |
datetime |
Data e ora dell'avvio del processo che ha avviato l'evento. |
| AvvioprocessFileName |
string |
Nome del processo che ha avviato l'evento. |
| AvvioprocessFileSize |
long |
Dimensioni in byte del file che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessFolderPath |
string |
Cartella contenente il processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessId |
long |
ID processo (PID) del processo che ha avviato l'evento. |
| StartingProcessLogonId |
long |
Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| AvvioprocessMD5 |
string |
Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessParentCreationTime |
datetime |
Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| AvvioprocessParentFileName |
string |
Nome del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessParentId |
long |
ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioProcessRemoteSessionDeviceName |
string |
Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio. |
| AvvioprocessRemoteSessionIP |
string |
Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio. |
| AvvioprocessSessionId |
long |
ID sessione di Windows del processo di avvio. |
| Avvio diProcessSHA1 |
string |
Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| Avvio diProcessSHA256 |
string |
Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. Questo campo in genere non viene popolato. Usare la colonna SHA1, se disponibile. |
| AvvioprocessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoFileDescription |
string |
Descrizione delle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoProductName |
string |
Nome del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo (file di immagine) responsabile dell'evento. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| IsInitiatingProcessRemoteSession |
bool |
Indica se il processo di avvio è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false). |
| IsProcessRemoteSession |
bool |
Indica se il processo creato è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false). |
| LocalIP |
string |
Indirizzo IP assegnato al computer locale usato durante la comunicazione. |
| LocalPort |
int |
Porta TCP nel computer locale usato durante la comunicazione. |
| LogonId |
long |
Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| MachineGroup |
string |
Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| MD5 |
string |
Hash MD5 del file a cui è stata applicata l'azione registrata. |
| ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo. |
| ProcessCreationTime |
datetime |
Data e ora di creazione del processo. |
| ProcessId |
long |
ID processo (PID) del processo appena creato. |
| ProcessRemoteSessionDeviceName |
string |
Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo creato. |
| ProcessRemoteSessionIP |
string |
Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo creato. |
| ProcessTokenElevation |
string |
Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo appena creato. |
| RegistryKey |
string |
Chiave del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueData |
string |
Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RegistryValueName |
string |
Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata. |
| RemoteDeviceName |
string |
Nome del dispositivo che ha eseguito un'operazione remota nel computer interessato. A seconda dell'evento segnalato, questo nome potrebbe essere un nome di dominio completo (FQDN), un nome NetBIOS o un nome host senza informazioni di dominio. |
| RemoteIP |
string |
Indirizzo IP a cui è stata stabilita la connessione. |
| RemotePort |
int |
Porta TCP nel dispositivo remoto a cui è stata connessa. |
| RemoteUrl |
string |
URL o nome di dominio completo (FQDN) a cui è stata stabilita la connessione. |
| ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere utilizzata insieme alle colonne ComputerName e EventTime. |
| SHA1 |
string |
Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId |
string |
ID dell'area di lavoro Log Analytics |
| TimeGenerated |
datetime |
Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Type |
string |
Nome della tabella |