| AccountDomain |
string |
Dominio dell'account. |
| AccountName |
string |
Nome utente dell'account. |
| AccountObjectId |
string |
Identificatore univoco per l'account in Azure AD. |
| AccountSid |
string |
ID di sicurezza (SID) dell'account. |
| AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account. |
| ActionType |
string |
Tipo di attività che ha attivato l'evento. |
| Campi aggiuntivi |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento. |
| AppGuardContainerId |
string |
Identificatore del contenitore virtualizzato usato da Application Guard per isolare l'attività del browser. |
| _BilledSize |
real |
Dimensioni del record in byte |
| CreatedProcessSessionId |
long |
ID sessione di Windows del processo creato. |
| DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio. |
| DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo. |
| FileName |
string |
Nome del file a cui è stata applicata l'azione registrata. |
| FileSize |
long |
Dimensioni del file, in byte. |
| FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata. |
| AvvioprocessAccountDomain |
string |
Dominio dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountName |
string |
Nome utente dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountObjectId |
string |
ID oggetto di Azure AD dell'account utente che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountSid |
string |
ID di sicurezza (SID) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessCommandLine |
string |
Riga di comando usata per eseguire il processo che ha avviato l'evento. |
| AvvioprocessCreationTime |
datetime |
Data e ora dell'avvio del processo che ha avviato l'evento. |
| AvvioprocessFileName |
string |
Nome del processo che ha avviato l'evento. |
| AvvioprocessFileSize |
long |
Dimensioni del file (byte) che ha eseguito il processo responsabile dell'evento. |
| AvvioprocessFolderPath |
string |
Cartella contenente il processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessId |
long |
ID processo (PID) del processo che ha avviato l'evento. |
| AvvioprocessIntegrityLevel |
string |
Livello di integrità del processo che ha avviato l'evento. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se sono state avviate da un download Internet. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| StartingProcessLogonId |
long |
Identificatore per una sessione di accesso del processo che ha avviato l'evento. Questo identificatore è univoco nello stesso computer solo tra restarts.. |
| AvvioprocessMD5 |
string |
Hash MD5 del processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessParentCreationTime |
datetime |
Data e ora dell'avvio dell'elemento padre del processo responsabile dell'evento. |
| AvvioprocessParentFileName |
string |
Nome del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioprocessParentId |
long |
ID processo (PID) del processo padre che ha generato il processo responsabile dell'evento. |
| AvvioProcessRemoteSessionDeviceName |
string |
Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio. |
| AvvioprocessRemoteSessionIP |
string |
Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo di avvio. |
| AvvioprocessSessionId |
long |
ID sessione di Windows del processo di avvio. |
| Avvio diProcessSHA1 |
string |
Hash SHA-1 del processo (file di immagine) che ha avviato l'evento. |
| Avvio diProcessSHA256 |
string |
Hash SHA-256 del processo (file di immagine) che ha avviato l'evento. In alcuni casi questa colonna potrebbe non essere popolata. Usare invece la colonna AvvioProcessSHA1. |
| AvvioprocessSignatureStatus |
string |
Informazioni sullo stato della firma del processo (file di immagine) che ha avviato l'evento. |
| AvvioprocessSignerType |
string |
Tipo di firmatario di file del processo (file di immagine) che ha avviato l'evento. |
| Avvio diProcessTokenElevation |
string |
Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo che ha avviato l'evento. |
| AvvioprocessVersionInfoCompanyName |
string |
Nome della società nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoFileDescription |
string |
Descrizione nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoInternalFileName |
string |
Nome file interno nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoOriginalFileName |
string |
Nome del file originale nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoProductName |
string |
Nome del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| AvvioprocessVersionInfoProductVersion |
string |
Versione del prodotto nelle informazioni sulla versione (file di immagine) responsabile dell'evento. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| IsInitiatingProcessRemoteSession |
bool |
Indica se il processo di avvio è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false). |
| IsProcessRemoteSession |
bool |
Indica se il processo creato è stato eseguito in una sessione RDP (Remote Desktop Protocol) (true) o localmente (false). |
| LogonId |
long |
Identificatore per una sessione di accesso. Questo identificatore è univoco nello stesso computer solo tra i riavvii. |
| MachineGroup |
string |
Gruppo di computer del computer. Questo gruppo viene usato dal controllo degli accessi in base al ruolo per determinare l'accesso al computer. |
| MD5 |
string |
Hash MD5 del file a cui è stata applicata l'azione registrata. |
| ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo. |
| ProcessCreationTime |
datetime |
Data e ora di creazione del processo. |
| ProcessId |
long |
ID processo (PID) del processo appena creato. |
| ProcessIntegrityLevel |
string |
Livello di integrità del processo appena creato. Windows assegna livelli di integrità ai processi in base a determinate caratteristiche, ad esempio se fossero state avviate da internet scaricate. Questi livelli di integrità influiscono sulle autorizzazioni per le risorse. |
| ProcessRemoteSessionDeviceName |
string |
Nome del dispositivo remoto da cui è stata avviata la sessione RDP del processo creato. |
| ProcessRemoteSessionIP |
string |
Indirizzo IP del dispositivo remoto da cui è stata avviata la sessione RDP del processo creato. |
| ProcessTokenElevation |
string |
Tipo di token che indica la presenza o l'assenza dell'elevazione dei privilegi user Controllo di accesso (UAC) applicata al processo appena creato. |
| ProcessVersionInfoCompanyName |
string |
Nome della società dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoFileDescription |
string |
Descrizione delle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoInternalFileName |
string |
Nome file interno dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoOriginalFileName |
string |
Nome file originale dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoProductName |
string |
Nome del prodotto dalle informazioni sulla versione del processo appena creato. |
| ProcessVersionInfoProductVersion |
string |
Versione del prodotto dalle informazioni sulla versione del processo appena creato. |
| ReportId |
long |
Identificatore di evento basato su un contatore ripetuto. Per identificare gli eventi univoci, questa colonna deve essere utilizzata insieme alle colonne ComputerName e EventTime. |
| SHA1 |
string |
Hash SHA-1 del file a cui è stata applicata l'azione registrata. |
| SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| TenantId |
string |
L'ID dell'area di lavoro Log Analytics |
| TimeGenerated |
datetime |
Data e ora in cui l'evento è stato registrato dall'agente MDE nell'endpoint. |
| Type |
string |
Nome della tabella |