执行进程命令行 |
字符串 |
用于运行操作进程的命令行。 |
“ActingProcessCreationTime” |
日期/时间 |
操作进程的开始日期和时间。 |
“ActingProcessFileCompany” |
字符串 |
创建了操作进程映像文件的公司。 |
“ActingProcessFileDescription” |
字符串 |
嵌入在操作进程映像文件的版本信息中的说明。 |
“ActingProcessFileInternalName” |
字符串 |
操作进程映像文件的版本信息中的产品内部文件名。 |
正在运行的进程文件名 |
字符串 |
来自操作进程映像文件的版本信息的产品文件名。 |
“ActingProcessFileOriginalName” |
字符串 |
操作进程映像文件的版本信息中的产品原始文件名。 |
“ActingProcessFileProduct” |
字符串 |
操作进程映像文件中的版本信息中的产品名称。 |
“ActingProcessFileSize” |
长整型 |
运行操作进程的文件大小(以字节为单位)。 |
“ActingProcessFileVersion” |
字符串 |
操作进程映像文件的版本信息中的产品版本。 |
“ActingProcessGuid” |
字符串 |
操作进程的 GUID。 |
执行过程编号 |
字符串 |
操作进程的进程 ID。 |
“ActingProcessIMPHASH” |
字符串 |
操作进程使用的所有库 DLL 的导入哈希。 |
“ActingProcessInjectedAddress” |
字符串 |
在其中存储负责的操作进程的内存地址。 |
“ActingProcessIntegrityLevel” |
字符串 |
操作进程的完整性级别。 |
“ActingProcessIsHidden” |
布尔 |
指示操作进程是否处于隐藏模式。 |
“ActingProcessMD5” |
字符串 |
操作进程映像文件的 MD5 哈希。 |
“ActingProcessName” |
字符串 |
操作进程的名称。 |
“ActingProcessSHA1” |
字符串 |
操作进程映像文件的 SHA-1 哈希。 |
“ActingProcessSHA256” |
字符串 |
操作进程映像文件的 SHA-256 哈希。 |
“ActingProcessSHA512” |
字符串 |
操作进程映像文件的 SHA-512 哈希。 |
“ActingProcessTokenElevation” |
字符串 |
指示是否存在应用于操作进程的用户访问控制 (UAC) 特权提升的令牌。 |
ActorOriginalUserType |
字符串 |
报告设备报告的用户类型。 |
ActorScope |
字符串 |
定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。 |
ActorScopeId |
字符串 |
在其中定义了 ActorUserId 和 ActorUsername 的范围 ID(例如 Azure AD 租户 ID)。 |
“ActorSessionId” |
字符串 |
参与者登录会话的唯一 ID。 |
ActorUserId |
字符串 |
参与者的计算机可读的唯一字母数字表示形式。 |
演员用户ID类型 |
字符串 |
ActorUserId 字段中存储的 ID 的类型。 |
演员用户名 |
字符串 |
参与者的用户名,包括域信息(如果可用)。 |
演员用户名类型 (ActorUsernameType) |
字符串 |
ActionUsername 字段中指定的参与者的用户名的类型 |
演员用户类型 |
字符串 |
参与者的类型。 |
附加字段 |
动态 |
附加信息,使用源提供的不映射到 ASim 的键和值对表示。 |
_BilledSize(账单大小) |
真实 |
记录大小(字节) |
DvcAction |
字符串 |
对于报告安全系统,为系统执行的操作。 |
DvcDescription |
字符串 |
与设备关联的描述性文本。 |
DvcDomain |
字符串 |
报告事件的设备的域。 |
DvcDomainType |
字符串 |
DvcDomain 的类型。 可能的值包括“Windows”和“FQDN”。 |
DvcFQDN |
字符串 |
发生了事件或报告了事件的设备的主机名。 |
DvcHostname |
字符串 |
报告事件的设备的主机名。 |
“DvcId” |
字符串 |
发生了事件或报告了事件的设备的唯一 ID。 |
DvcIdType |
字符串 |
DvcId 的类型。 |
DvcInterface |
字符串 |
捕获数据的网络接口。 |
DvcIpAddr |
字符串 |
报告事件的设备的 IP 地址。 |
DvcMacAddr |
字符串 |
发生了事件或报告了事件的设备的 MAC 地址。 |
DvcOriginalAction |
字符串 |
报告设备提供的原始 DvcAction。 |
DvcOs |
字符串 |
发生了事件或报告了事件的设备上运行的操作系统。 |
DvcOsVersion |
字符串 |
发生了事件或报告了事件的设备上的操作系统版本。 |
DvcScope |
字符串 |
设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DvcScopeId |
字符串 |
设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DvcZone |
字符串 |
发生了事件或报告了事件的网络。 |
事件计数 |
整数 (int) |
记录描述的事件数。 |
事件结束时间 |
日期/时间 |
事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
事件信息 |
字符串 |
常规消息或说明。 |
事件原始结果详情 |
字符串 |
源提供的原始结果详细信息。 |
EventOriginalSeverity |
字符串 |
报告设备提供的原始严重性。 |
事件原始子类型 |
字符串 |
原始事件子类型或 ID(如果已由源提供)。 |
“EventOriginalType” |
字符串 |
原始事件类型或 ID(如果已由源提供)。 |
EventOriginalUid |
字符串 |
原始记录的唯一 ID(如果已由源提供)。 |
活动主办方 |
字符串 |
事件的所有者,通常是生成事件的部门或子公司。 |
EventProduct |
字符串 |
生成事件的产品。 |
事件产品版本 |
字符串 |
生成事件的产品的版本。 |
事件报告链接 |
字符串 |
在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
事件结果 |
字符串 |
事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
事件结果详情 |
字符串 |
EventResult 字段中报告的结果的原因或详细信息。 |
事件模式版本 |
字符串 |
架构的版本。 |
EventSeverity |
字符串 |
事件的严重性。 有效值为:信息、低、中或高。 |
事件开始时间 |
日期/时间 |
事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
事件子类型 |
字符串 |
描述 EventType 字段中报告的操作的细分。 |
事件类型 |
字符串 |
描述记录报告的操作 |
EventVendor |
字符串 |
生成事件的产品的供应商。 |
_是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
“ParentProcessCreationTime” |
日期/时间 |
父进程的开始日期和时间。 |
“ParentProcessFileCompany” |
字符串 |
创建父进程映像文件的公司。 |
“ParentProcessFileDescription” |
字符串 |
父进程映像文件的版本信息中的描述。 |
“ParentProcessFileProduct” |
字符串 |
父进程映像文件中版本信息中的产品名称。 |
“ParentProcessFileVersion” |
字符串 |
父进程映像文件中版本信息中的产品版本。 |
“ParentProcessGuid” |
字符串 |
父进程的 GUID。 |
父进程ID |
字符串 |
父进程的进程 ID。 |
“ParentProcessIMPHASH” |
字符串 |
父进程使用的所有库 DLL 的导入哈希。 |
“ParentProcessInjectedAddress” |
字符串 |
在其中存储负责的父进程的内存地址。 |
“ParentProcessIntegrityLevel” |
字符串 |
父进程的完整性级别。 |
“ParentProcessIsHidden” |
布尔 |
指示父进程是否处于隐藏模式。 |
“ParentProcessMD5” |
字符串 |
父进程映像文件的 MD5 哈希。 |
父进程名称 |
字符串 |
父进程的名称。 |
“ParentProcessSHA1” |
字符串 |
父进程映像文件的 SHA-1 哈希。 |
“ParentProcessSHA256” |
字符串 |
父进程映像文件的 SHA-256 哈希。 |
“ParentProcessSHA512” |
字符串 |
父进程映像文件的 SHA-512 哈希。 |
“ParentProcessTokenElevation” |
字符串 |
指示是否存在应用于父进程的用户访问控制 (UAC) 特权提升的令牌。 |
_资源ID |
字符串 |
与记录关联的资源的唯一标识符 |
规则名称 |
字符串 |
与检查结果关联的规则的名称或 ID。 |
规则编号 |
整数 (int) |
与检查结果关联的规则的数量。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager 、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
_SubscriptionId(订阅编号) |
字符串 |
与记录关联的订阅的唯一标识符 |
目标原始用户类型 |
字符串 |
报告设备报告的用户类型。 |
TargetProcessCommandLine |
字符串 |
用于运行目标进程的命令行。 |
“TargetProcessCreationTime” |
日期/时间 |
目标进程启动的日期和时间。 |
TargetProcessCurrentDirectory |
字符串 |
在其中执行目标进程的当前目录。 |
“TargetProcessFileCompany” |
字符串 |
创建目标进程映像文件的公司。 |
“TargetProcessFileDescription” |
字符串 |
目标进程映像文件的版本信息中的描述。 |
“TargetProcessFileInternalName” |
字符串 |
来自目标进程映像文件的版本信息的产品内部文件名。 |
目标进程文件名 |
字符串 |
来自目标进程映像文件的版本信息的产品文件名。 |
“TargetProcessFileOriginalName” |
字符串 |
来自目标进程映像文件的版本信息的产品原始文件名。 |
“TargetProcessFileProduct” |
字符串 |
目标进程映像文件中版本信息中的产品名称。 |
“TargetProcessFileSize” |
长整型 |
运行负责事件的进程的文件的大小(以字节为单位)。 |
“TargetProcessFileVersion” |
字符串 |
目标进程映像文件的版本信息中的产品版本。 |
“TargetProcessGuid” |
字符串 |
目标进程的 GUID。 |
“TargetProcessId” |
字符串 |
目标进程的进程 ID。 |
“TargetProcessIMPHASH” |
字符串 |
目标进程使用的所有库 DLL 的导入哈希。 |
“TargetProcessInjectedAddress” |
字符串 |
在其中存储负责的目标进程的内存地址。 |
“TargetProcessIntegrityLevel” |
字符串 |
目标进程的完整性级别。 |
“TargetProcessIsHidden” |
布尔 |
指示目标进程是否处于隐藏模式。 |
“TargetProcessMD5” |
字符串 |
目标进程映像文件的 MD5 哈希。 |
“TargetProcessName” |
字符串 |
目标进程的名称。 |
“TargetProcessSHA1” |
字符串 |
目标进程映像文件的 SHA-1 哈希。 |
“TargetProcessSHA256” |
字符串 |
目标进程映像文件的 SHA-256 哈希。 |
TargetProcessSHA512 |
字符串 |
目标进程映像文件的 SHA-512 哈希。 |
TargetProcessStatusCode |
字符串 |
目标进程在终止时返回的退出代码。 |
“TargetProcessTokenElevation” |
字符串 |
令牌,指示是否存在应用于目标进程的用户访问控制 (UAC) 特权提升。 |
目标范围 |
字符串 |
定义 TargetUserId 和 TargetUsername 的范围,例如 Azure AD 租户。 |
TargetScopeId |
字符串 |
在其中定义了 TargetUserId 和 TargetUsername 的范围 ID(例如 Azure AD 租户 ID)。 |
目标用户ID |
字符串 |
参与者的计算机可读的唯一字母数字表示形式。 |
“TargetUserIdType” |
字符串 |
TargetUserId 字段中存储的 ID 的类型。 |
目标用户名 |
字符串 |
目标参与者的用户名,包括域信息(如果可用)。 |
目标用户名类型 |
字符串 |
TargetUsername 字段中指定的目标参与者的用户名的类型 |
TargetUserSessionGuid |
字符串 |
目标参与者登录会话的唯一 GUID。 |
“TargetUserSessionId” |
字符串 |
目标参与者登录会话的唯一 ID。 |
目标用户类型 |
字符串 |
目标参与者的类型。 |
租户ID |
字符串 |
Log Analytics 工作区 ID |
威胁类别 |
字符串 |
在活动中识别到的威胁或恶意软件的类别。 |
威胁可信度 |
整数 (int) |
已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
威胁领域 (ThreatField) |
字符串 |
已识别出威胁的字段。 |
威胁首次报告时间 |
日期/时间 |
IP 地址或域首次被识别为威胁的时间。 |
威胁编号 (ThreatId) |
字符串 |
在活动中识别到的威胁或恶意软件的 ID。 |
威胁处于活跃状态 |
布尔 |
已识别威胁被视为活动威胁的真实 ID。 |
威胁上次报告时间 |
日期/时间 |
上次将 IP 地址或域识别为威胁的时间。 |
威胁名称 |
字符串 |
在活动中识别到的威胁或恶意软件的名称。 |
威胁原始信心 |
字符串 |
报告设备报告的已识别威胁的原始可信度。 |
威胁原始风险等级 |
字符串 |
报告设备报告的风险级别。 |
威胁风险级别 |
整数 (int) |
与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 |
TimeGenerated |
日期/时间 |
时间戳 (UTC),反映生成事件的时间。 |
类型 |
字符串 |
表的名称 |