| AccountDomain |
string |
Domínio da conta. |
| AccountName |
string |
Nome de utilizador da conta. |
| AccountObjectId |
string |
Identificador exclusivo da conta no Azure AD. |
| AccountSid |
string |
Identificador de Segurança (SID) da conta. |
| AccountUpn |
string |
Nome principal do usuário (UPN) da conta. |
| Tipo de ação |
string |
Tipo de atividade que desencadeou o evento. |
| Campos Adicionais |
dynamic |
Informações adicionais sobre a entidade ou evento. |
| AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado pelo Application Guard para isolar a atividade do navegador. |
| _BilledSize |
real |
O tamanho do registo em bytes |
| CreatedProcessSessionId |
long |
ID de sessão do Windows do processo criado. |
| DeviceId |
string |
Identificador exclusivo do dispositivo no serviço. |
| Nome do dispositivo |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo. |
| FileName |
string |
Nome do arquivo ao qual a ação gravada foi aplicada. |
| Tamanho do arquivo |
long |
Tamanho do ficheiro em bytes. |
| FolderPath |
string |
Pasta que contém o arquivo ao qual a ação gravada foi aplicada. |
| IniciandoProcessoAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento. |
| IniciandoProcessAccountName |
string |
Nome de usuário da conta que executou o processo responsável pelo evento. |
| IniciandoProcessAccountObjectId |
string |
ID de objeto do Azure AD da conta de usuário que executou o processo responsável pelo evento. |
| IniciandoProcessAccountSid |
string |
Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento. |
| IniciandoProcessoAccountUpn |
string |
Nome principal do usuário (UPN) da conta que executou o processo responsável pelo evento. |
| IniciandoProcessCommandLine |
string |
Linha de comando usada para executar o processo que iniciou o evento. |
| IniciandoProcessoCriaçãoTempo |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado. |
| IniciandoProcessFileName |
string |
Nome do processo que iniciou o evento. |
| IniciandoProcessFileSize |
long |
O tamanho do arquivo (bytes) que executou o processo responsável pelo evento. |
| IniciandoProcessFolderPath |
string |
Pasta que contém o processo (arquivo de imagem) que iniciou o evento. |
| IniciandoProcessId |
long |
ID do processo (PID) do processo que iniciou o evento. |
| IniciandoProcessoIntegridadeNível |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se fossem iniciados a partir de um download da Internet. Esses níveis de integridade influenciam as permissões para recursos. |
| IniciandoProcessoLogonId |
long |
Identificador de uma sessão de logon do processo que iniciou o evento. Esse identificador é exclusivo na mesma máquina somente entre reinicializações. |
| IniciandoProcessoMD5 |
string |
Hash MD5 do processo (ficheiro de imagem) que iniciou o evento. |
| IniciandoProcessoParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado. |
| IniciandoProcessoParentFileName |
string |
Nome do processo pai que gerou o processo responsável pelo evento. |
| IniciandoProcessParentId |
long |
ID do processo (PID) do processo pai que gerou o processo responsável pelo evento. |
| IniciandoProcessoRemoteSessionDeviceName |
string |
Nome do dispositivo remoto a partir do qual a sessão RDP do processo de iniciação foi iniciada. |
| IniciandoProcessoRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo de iniciação foi iniciada. |
| IniciandoProcessSessionId |
long |
ID de sessão do Windows do processo inicial. |
| IniciandoProcessSHA1 |
string |
Hash SHA-1 do processo (ficheiro de imagem) que iniciou o evento. |
| IniciandoProcessoSHA256 |
string |
Hash SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Em alguns casos, esta coluna pode não ser preenchida - use a coluna InitiatingProcessSHA1. |
| IniciandoProcessoAssinaturaStatus |
string |
Informações sobre o status da assinatura do processo (arquivo de imagem) que iniciou o evento. |
| IniciandoProcessSignerType |
string |
Tipo de signatário do arquivo do processo (arquivo de imagem) que iniciou o evento. |
| IniciandoProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégios do UAC (Controle de Acesso do Usuário) aplicada ao processo que iniciou o evento. |
| IniciandoProcessoVersãoInfoCompanyName |
string |
O nome da empresa na informação da versão (ficheiro de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoFileDescription |
string |
A descrição na informação da versão (ficheiro de imagem) responsável pelo evento. |
| IniciandoProcessVersionInfoInternalFileName |
string |
O nome do arquivo interno nas informações da versão (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessoVersãoInfoOriginalFileName |
string |
O nome do arquivo original nas informações da versão (arquivo de imagem) responsável pelo evento. |
| IniciandoProcessoVersãoInfoNome do Produto |
string |
O nome do produto na informação da versão (ficheiro de imagem) responsável pelo evento. |
| IniciandoProcessoVersãoInfoProdutoVersão |
string |
A versão do produto em informação de versão (ficheiro de imagem) responsável pelo evento. |
| _IsBillable |
string |
Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure |
| IsInitiatingProcessRemoteSession |
booleano |
Indica se o processo inicial foi executado em uma sessão de protocolo RDP (true) ou localmente (false). |
| IsProcessRemoteSession |
booleano |
Indica se o processo criado foi executado em uma sessão RDP (protocolo de área de trabalho remota) (true) ou localmente (false). |
| LogonId |
long |
Identificador de uma sessão de logon. Esse identificador é exclusivo na mesma máquina apenas entre reinicializações. |
| Grupo de Máquinas |
string |
Grupo de máquinas da máquina. Esse grupo é usado pelo controle de acesso baseado em função para determinar o acesso à máquina. |
| MD5 |
string |
Hash MD5 do ficheiro no qual foi aplicada a ação registada. |
| ProcessCommandLine |
string |
Linha de comando usada para criar o novo processo. |
| ProcessCreationTime |
datetime |
Data e hora em que o processo foi criado. |
| ProcessId |
long |
ID do processo (PID) do processo recém-criado. |
| ProcessIntegrityLevel |
string |
Nível de integridade do processo recém-criado. O Windows atribui níveis de integridade a processos com base em determinadas características, como se fossem iniciados a partir de um download da Internet. Esses níveis de integridade influenciam as permissões para recursos. |
| ProcessRemoteSessionDeviceName |
string |
Nome do dispositivo remoto a partir do qual a sessão RDP do processo criado foi iniciada. |
| ProcessRemoteSessionIP |
string |
Endereço IP do dispositivo remoto a partir do qual a sessão RDP do processo criado foi iniciada. |
| ProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégios do Controle de Acesso do Usuário (UAC) aplicada ao processo recém-criado. |
| ProcessVersionInfoCompanyName |
string |
Nome da empresa a partir das informações de versão do processo recém-criado. |
| ProcessVersionInfoFileDescription |
string |
Descrição a partir das informações de versão do processo recém-criado. |
| ProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno das informações de versão do processo recém-criado. |
| ProcessVersionInfoOriginalFileName |
string |
Nome do arquivo original das informações de versão do processo recém-criado. |
| ProcessVersionInfoProductName |
string |
Nome do produto a partir das informações de versão do processo recém-criado. |
| ProcessVersionInfoProductVersion |
string |
Versão do produto a partir das informações de versão do processo recém-criado. |
| ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas ComputerName e EventTime.. |
| SHA1 |
string |
Hash SHA-1 do ficheiro no qual foi aplicada a ação registada. |
| SHA256 |
string |
SHA-256 do arquivo ao qual a ação gravada foi aplicada. |
| SourceSystem |
string |
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| TenantId |
cadeia |
O ID do espaço de trabalho do Log Analytics |
| TimeGenerated |
datetime |
Data e hora em que o evento foi registrado pelo agente MDE no ponto de extremidade. |
| Type |
string |
O nome da tabela |