| ActionType |
Zeichenfolge |
Typ der Aktivität, die das Ereignis ausgelöst hat. |
| AdditionalFields |
dynamisch |
Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId |
Zeichenfolge |
Bezeichner für den virtualisierten Container, der von Application Guard verwendet wird, um Browseraktivitäten zu isolieren. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| DeviceId |
Zeichenfolge |
Eindeutiger Bezeichner für das Gerät im Dienst. |
| DeviceName |
Zeichenfolge |
Vollqualifizierter Domänenname (FQDN) des Geräts. |
| FileName |
Zeichenfolge |
Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| FileOriginIP |
Zeichenfolge |
IP-Adresse, von der die Datei heruntergeladen wurde. |
| FileOriginReferrerUrl |
Zeichenfolge |
URL der Webseite, die mit der heruntergeladenen Datei verknüpft ist. |
| FileOriginUrl |
Zeichenfolge |
URL, von der die Datei heruntergeladen wurde. |
| FileSize |
long |
Die Länge der Datei in Bytes. |
| FolderPath |
Zeichenfolge |
Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| InitProcessAccountDomain |
Zeichenfolge |
Domäne des Kontos, das den für das Ereignis zuständigen Prozess ausgeführt hat. |
| InitProcessAccountName |
Zeichenfolge |
Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessAccountObjectId |
Zeichenfolge |
Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessAccountSid |
Zeichenfolge |
Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessAccountUpn |
Zeichenfolge |
Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitProcessCommandLine |
Zeichenfolge |
Befehlszeile zum Ausführen des Prozesses, der das Ereignis initiiert hat. |
| InitProcessCreationTime |
datetime |
Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| InitProcessFileName |
Zeichenfolge |
Name des Prozesses, der das Ereignis initiiert hat. |
| InitProcessFileSize |
long |
Größe in Byte des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitProcessFolderPath |
Zeichenfolge |
Ordner mit dem Prozess (Bilddatei), der das Ereignis initiiert hat. |
| InitProcessId |
long |
Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
| InitProcessIntegrityLevel |
Zeichenfolge |
Integritätsebene des Prozesses, der das Ereignis initiiert hat. Windows weist Prozessen Auf der Grundlage bestimmter Merkmale Integritätsstufen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsstufen wirken sich auf Berechtigungen für Ressourcen aus. |
| InitProcessMD5 |
Zeichenfolge |
MD5-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitProcessParentCreationTime |
datetime |
Datum und Uhrzeit, zu dem das übergeordnete Element des Prozesses, der für das Ereignis verantwortlich ist, gestartet wurde. |
| InitProcessParentFileName |
Zeichenfolge |
Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess durchsucht hat. |
| InitProcessParentId |
long |
Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess durchsucht hat. |
| InitProcessSHA1 |
Zeichenfolge |
SHA-1-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitProcessSHA256 |
Zeichenfolge |
SHA-256-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. Dieses Feld wird in der Regel nicht aufgefüllt – verwenden Sie die SHA1-Spalte, wenn verfügbar. |
| InitProcessTokenElevation |
Zeichenfolge |
Tokentyp, der angibt, dass die Rechteerweiterung der Benutzerzugriffssteuerung (User Access Control, UAC) auf den Prozess angewendet wird, der das Ereignis initiiert hat. |
| InitProcessVersionInfoCompanyName |
Zeichenfolge |
Firmenname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoFileDescription |
Zeichenfolge |
Beschreibung aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoInternalFileName |
Zeichenfolge |
Interner Dateiname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoOriginalFileName |
Zeichenfolge |
Der ursprüngliche Dateiname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoProductName |
Zeichenfolge |
Produktname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitProcessVersionInfoProductVersion |
Zeichenfolge |
Produktversion aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| IsAzureInfoProtectionApplied |
bool |
Gibt an, ob die Datei von Azure Information Protection verschlüsselt ist. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| MachineGroup |
Zeichenfolge |
Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| MD5 |
Zeichenfolge |
MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| PreviousFileName |
Zeichenfolge |
Der ursprüngliche Name der Datei, die als Ergebnis der Aktion umbenannt wurde. |
| PreviousFolderPath |
Zeichenfolge |
Ursprünglicher Ordner, der die Datei enthält, bevor die aufgezeichnete Aktion angewendet wurde. |
| ReportId |
long |
Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| RequestAccountDomain |
Zeichenfolge |
Domäne des Kontos, das verwendet wird, um die Aktivität remote zu initiieren. |
| RequestAccountName |
Zeichenfolge |
Benutzername des Kontos, das verwendet wird, um die Aktivität remote zu initiieren. |
| RequestAccountSid |
Zeichenfolge |
Sicherheits-ID (SID) des Kontos, das verwendet wird, um die Aktivität remote zu initiieren. |
| RequestProtocol |
Zeichenfolge |
Das Netzwerkprotokoll wird ggf. verwendet, um die Aktivität zu initiieren: Unbekannt, Lokal, SMB oder NFS. |
| RequestSourceIP |
Zeichenfolge |
IPv4- oder IPv6-Adresse des Remotegeräts, das die Aktivität initiiert hat. |
| RequestSourcePort |
int |
Quellport auf dem Remotegerät, das die Aktivität initiiert hat. |
| SensitivityLabel |
Zeichenfolge |
Bezeichnung, die auf eine E-Mail, Datei oder andere Inhalte angewendet wird, um sie für den Informationsschutz zu klassifizieren. |
| SensitivitySubLabel |
Zeichenfolge |
Unterbezeichnung, die auf eine E-Mail, Datei oder andere Inhalte angewendet wird, um sie für den Informationsschutz zu klassifizieren; Vertraulichkeitsunterbezeichnungen werden unter Vertraulichkeitsbezeichnungen gruppiert, werden jedoch unabhängig behandelt. |
| SHA1 |
Zeichenfolge |
SHA-1-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SHA256 |
Zeichenfolge |
SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| ShareName |
Zeichenfolge |
Name des freigegebenen Ordners, der die Datei enthält. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses durch den MDE-Agent auf dem Endpunkt. |
| type |
Zeichenfolge |
Der Name der Tabelle. |