| Campi aggiuntivi |
dynamic |
Informazioni aggiuntive, rappresentate usando coppie chiave/valore fornite dall'origine che non eseguono il mapping ad ASim. |
| _BilledSize |
real |
Dimensioni del record in byte |
| DhcpCircuitId |
string |
ID circuito DHCP, come definito da RFC3046. |
| DhcpLeaseDuration |
int |
Durata del lease concesso a un client, in secondi. |
| DhcpSessionDuration |
int |
Quantità di tempo, espressa in millisecondi, per il completamento della sessione DHCP. |
| DhcpSessionId |
string |
Identificatore di sessione segnalato dal dispositivo di report. Per il server DHCP Di Windows, impostarlo sul campo TransactionID. |
| DhcpSrcDHCId |
string |
ID client DHCP, come definito da RFC4701. |
| DhcpSubscriberId |
string |
ID sottoscrittore DHCP, come definito da RFC3993. |
| DhcpUserClass |
string |
Classe utente DHCP, come definito da RFC3004. |
| DhcpUserClassId |
string |
ID classe utente DHCP, come definito da RFC3004. |
| DhcpVendorClass |
string |
Classe fornitore DHCP, come definito da RFC3925. |
| DhcpVendorClassId |
string |
ID classe fornitore DHCP, come definito da RFC3925. |
| DvcAction |
string |
Per la creazione di report sui sistemi di sicurezza, l'azione intrapresa dal sistema, se applicabile. |
| DvcDescription |
string |
Un testo descrittivo associato al dispositivo. |
| DvcDomain |
string |
Dominio del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema |
| DvcDomainType |
string |
Tipo di DvcDomain. |
| DvcFQDN |
string |
Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DvcHostname |
string |
Nome host del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DvcId |
string |
ID univoco del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DvcIdType |
string |
Il tipo di DvcId. |
| DvcInterface |
string |
Interfaccia di rete in cui sono stati acquisiti i dati. Questo campo è in genere rilevante per l'attività correlata alla rete acquisita da un dispositivo intermedio o di tocco. |
| DvcIpAddr |
string |
Indirizzo IP del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DvcMacAddr |
string |
Indirizzo MAC del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOriginalAction |
string |
Il DvcAction originale fornito dal dispositivo di report. |
| DvcOs |
string |
Il sistema operativo in esecuzione nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcOsVersion |
string |
La versione del sistema operativo nel dispositivo in cui si è verificato l'evento o che ha segnalato l'evento. |
| DvcScope |
string |
L'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScope esegue il mapping a un nome di sottoscrizione in Azure e a un ID account in AWS. |
| DvcScopeId |
string |
L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. DvcScopeId esegue il mapping a un ID sottoscrizione in Azure e a un ID account in AWS. |
| DvcZone |
string |
La rete in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. La zona è definita dal dispositivo di report. |
| EventCount |
int |
Numero di eventi descritti dal record. Questo valore viene usato quando l'origine supporta l'aggregazione e un singolo record può rappresentare più eventi. |
| EventEndTime |
datetime |
Ora di fine dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato l'ultimo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventMessage |
string |
Messaggio o descrizione generale, incluso o generato dal record. |
| EventOriginalResultDetails |
string |
Dettagli del risultato originale forniti dall'origine. Questo valore viene usato per derivare EventResultDetails, che deve avere solo uno dei valori documentati per ogni schema. |
| EventOriginalSeverity |
string |
Gravità originale fornita dal dispositivo di report. Questo valore viene usato per derivare EventSeverity. |
| EventOriginalSubType |
string |
Sottotipo o ID dell'evento originale, se specificato dall'origine. |
| EventOriginalType |
string |
Tipo di evento o ID originale, se specificato dall'origine. |
| EventOriginalUid |
string |
ID univoco del record originale, se specificato dall'origine. |
| EventOwner |
string |
Proprietario dell'evento, che in genere è il reparto o la filiale in cui è stato generato. |
| EventProduct |
string |
Prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e prodotti. |
| EventProductVersion |
string |
Versione del prodotto che genera l'evento. |
| EventReportUrl |
string |
URL fornito nell'evento per una risorsa che fornisce altre informazioni sull'evento. |
| EventResult |
string |
Risultato dell'evento, rappresentato da uno dei valori seguenti: Success, Partial, Failure, NA (Not Applicable). |
| EventResultDetails |
string |
Motivo o dettagli per il risultato segnalato nel campo EventResult. |
| EventSchema |
string |
Lo schema in cui viene normalizzato l'evento. Ogni schema documenta il nome dello schema. |
| EventSchemaVersion |
string |
La versione dello schema. Ogni schema documenta la versione corrente. |
| EventSeverity |
string |
Gravità dell'evento. |
| EventStartTime |
datetime |
Ora di avvio dell'evento. Se l'origine supporta l'aggregazione e il record rappresenta più eventi, l'ora in cui è stato generato il primo evento. Se non specificato dal record di origine, questo campo alias il campo TimeGenerated. |
| EventSubType |
string |
Descrive una suddivisione dell'operazione segnalata nel campo EventType. |
| EventType |
string |
Descrive l'operazione segnalata dal record. |
| EventVendor |
string |
Fornitore del prodotto che genera l'evento. Il valore deve essere uno dei valori elencati in Fornitori e prodotti. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| RequestedIpAddr |
string |
Indirizzo IP richiesto dal client DHCP, se disponibile. |
| _ResourceId |
string |
Identificatore univoco della risorsa a cui è associato il record. |
| RuleName |
string |
Nome o ID della regola associata ai risultati dell'ispezione. |
| RuleNumber |
int |
Numero della regola associata ai risultati dell'ispezione. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SrcDescription |
string |
Un testo descrittivo associato al dispositivo. |
| SrcDeviceType |
string |
Tipo di dispositivo. |
| SrcDomain |
string |
Dominio del dispositivo. |
| SrcDomainType |
string |
Tipo del dominio. |
| SrcDvcId |
string |
ID del dispositivo. |
| SrcDvcIdType |
string |
Tipo di DvcId. |
| SrcDvcScope |
string |
L'ambito della piattaforma cloud a cui appartiene il dispositivo. |
| SrcDvcScopeId |
string |
L’ID dell'ambito della piattaforma cloud a cui appartiene il dispositivo. |
| SrcFQDN |
string |
Nome host del dispositivo, incluse le informazioni sul dominio, se disponibili. |
| SrcGeoCity |
string |
Città associata all'indirizzo IP di origine. |
| SrcGeoCountry |
string |
Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude |
real |
Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude |
real |
Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion |
string |
Area all'interno di un paese associato all'indirizzo IP di origine. |
| SrcHostname |
string |
Nome host del dispositivo, escluse le informazioni sul dominio. |
| SrcIpAddr |
string |
Indirizzo IP del dispositivo di origine. |
| SrcMacAddr |
string |
Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la connessione o la sessione. |
| SrcOriginalRiskLevel |
string |
Livello di rischio associato all'origine identificata come segnalato dal dispositivo di report. |
| SrcOriginalUserType |
string |
Tipo di utente di origine originale, se fornito dall'origine. |
| SrcPortNumber |
int |
Porta IP in cui il dispositivo ha comunicato, se applicabile. |
| SrcRiskLevel |
int |
Livello di rischio associato all'origine identificata. |
| SrcUserId |
string |
Rappresentazione univoca dell'utente leggibile, alfanumerica e leggibile dal computer. |
| SrcUserIdType |
string |
Tipo di SrcUserId. |
| SrcUsername |
string |
Nome utente dell'utente, incluse le informazioni sul dominio, se disponibili. |
| SrcUsernameType |
string |
Tipo di nome utente. |
| SrcUserScope |
string |
Tipo di nome utente. |
| SrcUserScopeId |
string |
ID ambito, ad esempio ID tenant di Azure AD, in cui sono definiti UserId e Username. |
| SrcUserSessionId |
string |
ID univoco della sessione di accesso dell'utente. |
| SrcUserType |
string |
Tipo di utente |
| SrcUserUid |
string |
ID utente Unix o Linux dell'utente. |
| _SubscriptionId |
string |
Identificatore univoco della sottoscrizione a cui è associato il record |
| TenantId |
string |
L'ID dell'area di lavoro Log Analytics |
| ThreatCategory |
string |
Categoria della minaccia o del malware identificato nell'attività. |
| ThreatConfidence |
int |
Livello di attendibilità della minaccia identificata, normalizzato in un valore compreso tra 0 e 100. |
| ThreatField |
string |
Campo per il quale è stata identificata una minaccia. |
| ThreatFirstReportedTime |
datetime |
La prima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatId |
string |
ID della minaccia o del malware identificato nell'attività. |
| ThreatIsActive |
bool |
True ID la minaccia identificata è considerata una minaccia attiva. |
| ThreatLastReportedTime |
datetime |
L'ultima volta che l'indirizzo IP o il dominio sono stati identificati come minaccia. |
| ThreatName |
string |
Nome della minaccia o del malware identificato nell'attività. |
| ThreatOriginalConfidence |
string |
Livello di attendibilità originale della minaccia identificata, come segnalato dal dispositivo di report. |
| ThreatOriginalRiskLevel |
string |
Livello di rischio segnalato dal dispositivo di report. |
| ThreatRiskLevel |
int |
Livello di rischio associato alla minaccia identificata. Il livello deve essere un numero compreso tra 0 e 100. |
| TimeGenerated |
datetime |
Timestamp (UTC) che riflette l'ora in cui è stato generato l'evento. |
| Type |
string |
Nome della tabella |