| AccountDomain |
sträng |
Domän för kontot. |
| AccountName |
sträng |
Användarnamn för kontot. |
| AccountObjectId |
sträng |
Unik identifierare för kontot i Azure Active Directory. |
| AccountSid |
sträng |
Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn |
sträng |
Användarens huvudnamn (UPN) för kontot. |
| AdditionalFields |
dynamisk |
Ytterligare information om händelsen i JSON-matrisformat. |
| AlertId |
sträng |
Unik identifierare för aviseringen. |
| Program |
sträng |
Program som utförde den inspelade åtgärden. |
| ApplicationId |
heltal |
Unik identifierare för programmet. |
| AttackTechniques |
sträng |
MITRE ATT&CK-tekniker som är associerade med aktiviteten som utlöste aviseringen. |
| _BilledSize |
real |
Poststorleken i byte |
| Kategorier |
sträng |
Lista över kategorier som informationen tillhör, i JSON-matrisformat. |
| DetectionSource |
sträng |
Identifieringsteknik eller sensor som identifierade den anmärkningsvärda komponenten eller aktiviteten. |
| DeviceId |
sträng |
Unik identifierare för enheten i tjänsten. |
| DeviceName |
sträng |
Fullständigt kvalificerat domännamn (FQDN) för datorn. |
| EmailSubject |
sträng |
Ämne för e-postmeddelandet. |
| EntityType |
sträng |
Typ av objekt, till exempel en fil, en process, en enhet eller en användare. |
| EvidenceDirection |
sträng |
Anger om entiteten är källan eller målet för en nätverksanslutning. |
| EvidenceRole |
sträng |
Hur entiteten är involverad i en avisering som anger om den påverkas eller bara är relaterad. |
| FileName |
sträng |
Namnet på filen som den inspelade åtgärden tillämpades på. |
| FileSize |
lång |
Filens storlek i byte. |
| FolderPath |
sträng |
Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| LocalIP |
sträng |
IP-adress tilldelad till den lokala enhet som användes under kommunikationen. |
| NetworkMessageId |
sträng |
Unik identifierare för e-postmeddelandet som genereras av Office 365. |
| OAuthApplicationId |
sträng |
Unik identifierare för OAuth-programmet från tredje part. |
| ProcessCommandLine |
sträng |
Kommandorad som används för att skapa den nya processen. |
| RegistryKey |
sträng |
Registernyckel som den registrerade åtgärden tillämpades på. |
| RegistryValueData |
sträng |
Data för registervärdet som den registrerade åtgärden tillämpades på. |
| RegistryValueName |
sträng |
Namnet på registervärdet som den registrerade åtgärden tillämpades på. |
| RemoteIP |
sträng |
IP-adress som var ansluten till. |
| RemoteUrl |
sträng |
URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till. |
| ServiceSource |
sträng |
Produkt eller tjänst som tillhandahöll aviseringsinformationen. |
| SHA1 |
sträng |
SHA-1 av filen som den inspelade åtgärden tillämpades på. |
| SHA256 |
sträng |
SHA-256 av filen som den registrerade åtgärden tillämpades på. Det här fältet fylls vanligtvis inte i– använd SHA1-kolumnen när det är tillgängligt. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| ThreatFamily |
sträng |
Skadlig kodfamilj som den misstänkta eller skadliga filen eller processen har klassificerats under. |
| TimeGenerated |
datetime |
Datum och tid (UTC) när posten genererades. |
| Rubrik |
sträng |
Aviseringens rubrik. |
| Typ |
sträng |
Namnet på tabellen |