| 액팅프로세스커맨드라인 (Acting Process Command Line) |
문자열 |
동작 프로세스를 실행하는 데 사용되는 명령줄입니다. |
| 프로세스 생성 시간 실행 |
날짜/시간 |
연기 프로세스가 시작된 날짜 및 시간입니다. |
| 액팅 프로세스 파일 회사 |
문자열 |
연기 프로세스 이미지 파일을 만든 회사입니다. |
| 행위처리파일설명 |
문자열 |
작동 중인 프로세스 이미지 파일의 버전 정보에 포함된 설명입니다. |
| 임시프로세스파일내부이름 |
문자열 |
작업 중인 프로세스 이미지 파일의 버전 정보에서 추출한 제품 내부 파일 이름입니다. |
| 액팅프로세스파일명 |
문자열 |
연기 프로세스 이미지 파일의 버전 정보에서 가져온 제품 파일 이름입니다. |
| 액팅프로세스파일원래이름 |
문자열 |
작동 중인 프로세스 이미지 파일에 있는 버전 정보의 제품 원본 파일 이름입니다. |
| 연기 처리 파일 제품 |
문자열 |
작동 중인 프로세스 이미지 파일에 있는 버전 정보의 제품 이름입니다. |
| 액팅프로세스파일크기 |
길다 |
작업 프로세스를 실행한 파일의 크기(바이트)입니다. |
| 액팅프로세스파일버전 |
문자열 |
실행 프로세스 이미지 파일의 버전 정보에서 추출된 제품 버전입니다. |
| 연기 프로세스 가이드 |
문자열 |
작업 프로세스의 GUID입니다. |
| 작동 프로세스 ID |
문자열 |
실행 중인 프로세스의 프로세스 ID입니다. |
| ActingProcessIMPHASH |
문자열 |
작업 프로세스에서 사용되는 모든 라이브러리 DLL의 가져오기 해시입니다. |
| 작동 프로세스 주입된 주소 |
문자열 |
책임 있는 작업 프로세스가 저장되는 메모리 주소입니다. |
| 운영 프로세스 무결성 수준 |
문자열 |
작동 프로세스에 대한 무결성 수준 |
| 작동 과정이 숨겨져 있습니다 |
bool |
연기 프로세스가 숨겨진 모드에 있는지 여부를 나타내는 표시입니다. |
| ActingProcessMD5 |
문자열 |
작업 프로세스 이미지 파일의 MD5 해시입니다. |
| 실행 프로세스 이름 |
문자열 |
연기 프로세스의 이름입니다. |
| ActingProcessSHA1 |
문자열 |
작업 프로세스 이미지 파일의 SHA-1 해시입니다. |
| ActingProcessSHA256 |
문자열 |
작업 프로세스 이미지 파일의 SHA-256 해시입니다. |
| ActingProcessSHA512 |
문자열 |
작업 프로세스 이미지 파일의 SHA-512 해시입니다. |
| ActingProcessTokenElevation |
문자열 |
작업 프로세스에 적용되는 UAC(사용자 액세스 제어) 권한 상승의 존재 여부 또는 부재를 나타내는 토큰입니다. |
| 배우원래사용자유형 |
문자열 |
보고 디바이스에서 보고한 사용자 유형입니다. |
| 액터스코프 |
문자열 |
ActorUserId 및 ActorUsername이 정의된 Azure AD 테넌트와 같은 범위입니다. |
| ActorScopeId |
문자열 |
ActorUserId 및 ActorUsername이 정의된 Azure AD 테넌트 ID와 같은 범위 ID입니다. |
| 배우 세션 ID |
문자열 |
행위자 로그인 세션의 고유 ID입니다. |
| ActorUserId |
문자열 |
컴퓨터에서 읽을 수 있는 영숫자, 행위자의 고유한 표현입니다. |
| 액터유저아이디타입 |
문자열 |
ActorUserId 필드에 저장된 ID의 형식입니다. |
| 액터유저네임 |
문자열 |
사용 가능한 경우 도메인 정보를 포함한 작업자의 사용자 이름입니다. |
| 액터유저네임타입 |
문자열 |
ActionUsername 필드에 지정된 행위자 사용자 이름의 형식입니다. |
| 액터사용자유형 |
문자열 |
행위자의 유형입니다. |
| 추가 필드 |
역동적 |
ASim에 매핑되지 않는 원본에서 제공하는 키 및 값 쌍을 사용하여 표시되는 추가 정보입니다. |
| _BilledSize |
진짜 |
레코드 크기(바이트) |
| 디브이씨액션 |
문자열 |
보안 시스템을 보고하기 위해 시스템에서 수행한 작업입니다. |
| DvcDescription (디바이스 설명) |
문자열 |
디바이스와 관련된 설명 텍스트입니다. |
| DvcDomain |
문자열 |
이벤트를 보고하는 디바이스의 도메인입니다. |
| Dvc도메인유형 |
문자열 |
DvcDomain 형식입니다. 가능한 값에는 "Windows" 및 "FQDN"이 포함됩니다. |
| DvcFQDN |
문자열 |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 호스트 이름입니다. |
| Dvc호스트이름 |
문자열 |
이벤트를 보고하는 디바이스의 호스트 이름입니다. |
| DvcId |
문자열 |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 ID입니다. |
| DvcIdType |
문자열 |
DvcId의 종류입니다. |
| DvcInterface |
문자열 |
데이터가 캡처된 네트워크 인터페이스입니다. |
| DvcIpAddr (디바이스 IP 주소) |
문자열 |
이벤트를 보고하는 디바이스의 IP 주소입니다. |
| DvcMacAddr (디바이스 MAC 주소) |
문자열 |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 MAC 주소입니다. |
| DvcOriginalAction |
문자열 |
보고 디바이스에서 제공한 원래 DvcAction입니다. |
| DvcOs |
문자열 |
이벤트가 발생했거나 이벤트를 보고한 디바이스에서 실행 중인 운영 체제입니다. |
| DvcOsVersion |
문자열 |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 운영 체제 버전입니다. |
| DvcScope |
문자열 |
디바이스가 속한 클라우드 플랫폼 범위입니다. DvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DvcScopeId |
문자열 |
디바이스가 속한 클라우드 플랫폼 범위 ID입니다. DvcScopeId는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| DvcZone |
문자열 |
이벤트가 발생했거나 이벤트를 보고한 네트워크입니다. |
| 이벤트 카운트 |
정수 (int) |
레코드에서 설명하는 이벤트 수입니다. |
| 이벤트 종료 시간 |
날짜/시간 |
이벤트가 종료된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 마지막 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| 이벤트 메시지 |
문자열 |
일반적인 메시지 또는 설명입니다. |
| 이벤트원본결과세부사항 |
문자열 |
원본에서 제공한 원본 결과 세부 정보입니다. |
| EventOriginalSeverity |
문자열 |
보고 디바이스에서 제공한 원래 심각도입니다. |
| 이벤트 원래 하위 유형 |
문자열 |
원본에서 제공한 경우 원래 이벤트 하위 형식 또는 ID입니다. |
| 이벤트오리지널타입 (EventOriginalType) |
문자열 |
소스에서 제공되는 경우, 원래의 이벤트 유형 또는 ID입니다. |
| EventOriginalUid (이벤트 원본 UID) |
문자열 |
원본에서 제공하는 경우 원래 레코드의 고유 ID입니다. |
| 이벤트 주최자 |
문자열 |
이벤트의 소유자는 일반적으로 해당 이벤트가 생성된 부서 또는 자회사입니다. |
| EventProduct |
문자열 |
이벤트를 생성하는 제품 |
| 이벤트 제품 버전 |
문자열 |
이벤트를 생성하는 제품의 버전입니다. |
| 이벤트 보고서 URL |
문자열 |
이벤트에 대한 자세한 정보를 제공하는 리소스에 대해 이벤트에 제공된 URL입니다. |
| 이벤트 결과 |
문자열 |
성공, 부분, 실패, NA(해당 없음) 값 중 하나로 표시되는 이벤트의 결과입니다. 이 값은 원본에서 직접 제공할 수 없습니다. 이 경우 EventResultDetails 필드와 같은 다른 이벤트 필드에서 파생됩니다. |
| 이벤트결과세부사항 |
문자열 |
EventResult 필드에 보고된 결과에 대한 이유 또는 세부 정보입니다. |
| 이벤트 스키마 버전 |
문자열 |
스키마의 버전입니다. |
| EventSeverity |
문자열 |
이벤트의 심각도입니다. 유효한 값은 정보, 낮음, 중간 또는 높음입니다. |
| 이벤트 시작 시간 |
날짜/시간 |
이벤트가 시작된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 첫 번째 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| 이벤트하위유형 |
문자열 |
EventType 필드에 보고된 작업의 세분화를 설명합니다. |
| 이벤트 유형 |
문자열 |
레코드에서 보고하는 작업을 설명합니다. |
| EventVendor |
문자열 |
이벤트를 생성하는 제품의 공급업체입니다. |
| _IsBillable (과금 가능 여부) |
문자열 |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| 부모 프로세스 생성 시간 |
날짜/시간 |
부모 프로세스가 시작된 날짜 및 시간입니다. |
| ParentProcessFileCompany |
문자열 |
부모 프로세스 이미지 파일을 만든 회사입니다. |
| 상위프로세스파일설명 |
문자열 |
부모 프로세스 이미지 파일의 버전 정보에 대한 설명입니다. |
| 부모 프로세스 파일 제품 |
문자열 |
부모 프로세스 이미지 파일의 버전 정보로부터 나온 제품 이름입니다. |
| 상위 프로세스 파일 버전 |
문자열 |
부모 프로세스 이미지 파일의 버전 정보에 있는 제품 버전입니다. |
| ParentProcessGuid |
문자열 |
부모 프로세스의 GUID입니다. |
| 부모프로세스ID |
문자열 |
부모 프로세스의 프로세스 ID입니다. |
| ParentProcessIMPHASH |
문자열 |
부모 프로세스에서 사용되는 모든 라이브러리 DLL의 가져오기 해시입니다. |
| 부모 프로세스 삽입된 주소 |
문자열 |
책임 있는 부모 프로세스가 저장되는 메모리 주소입니다. |
| 부모 프로세스 무결성 수준 |
문자열 |
부모 프로세스의 무결성 수준입니다. |
| 부모 프로세스가 숨겨져 있음 |
bool |
부모 프로세스가 숨겨진 모드인지 여부를 나타내는 표시입니다. |
| ParentProcessMD5 |
문자열 |
부모 프로세스 이미지 파일의 MD5 해시입니다. |
| 부모 프로세스 이름 |
문자열 |
부모 프로세스의 이름입니다. |
| ParentProcessSHA1 |
문자열 |
부모 프로세스 이미지 파일의 SHA-1 해시입니다. |
| ParentProcessSHA256 |
문자열 |
부모 프로세스 이미지 파일의 SHA-256 해시입니다. |
| ParentProcessSHA512 |
문자열 |
부모 프로세스 이미지 파일의 SHA-512 해시입니다. |
| ParentProcessTokenElevation |
문자열 |
부모 프로세스에 적용되는 UAC(사용자 액세스 제어) 권한 상승의 존재 여부 또는 부재를 나타내는 토큰입니다. |
| _리소스아이디 |
문자열 |
레코드가 연결된 리소스의 고유 식별자입니다. |
| 규칙명 |
문자열 |
검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| 규칙번호 |
정수 (int) |
검사 결과와 연결된 규칙의 수입니다. |
| SourceSystem |
문자열 |
이벤트가 수집된 에이전트의 유형입니다. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| _구독ID |
문자열 |
레코드가 연결된 구독의 고유 식별자 |
| 타겟원래사용자유형 |
문자열 |
보고 디바이스에서 보고한 사용자 유형입니다. |
| TargetProcessCommandLine |
문자열 |
대상 프로세스를 실행하는 데 사용되는 명령줄입니다. |
| 대상프로세스생성시간 |
날짜/시간 |
대상 프로세스가 시작된 날짜 및 시간입니다. |
| 타겟프로세스현재디렉토리 |
문자열 |
대상 프로세스가 실행되는 현재 디렉터리입니다. |
| 타겟프로세스파일컴퍼니 |
문자열 |
대상 프로세스 이미지 파일을 만든 회사입니다. |
| 대상 프로세스 파일 설명 |
문자열 |
대상 프로세스 이미지 파일의 버전 정보에 대한 설명입니다. |
| 대상프로세스파일내부이름 |
문자열 |
대상 프로세스 이미지 파일의 버전 정보에서 제품 내부 파일 이름입니다. |
| 대상프로세스파일명 |
문자열 |
대상 프로세스 이미지 파일의 버전 정보에서 제품 파일 이름입니다. |
| 대상 프로세스 파일 원래 이름 |
문자열 |
대상 프로세스 이미지 파일의 버전 정보에서 제품 원본 파일 이름입니다. |
| 타겟프로세스파일제품 |
문자열 |
대상 프로세스 이미지 파일의 버전 정보에서 제품 이름입니다. |
| 대상 프로세스 파일 크기 |
길다 |
이벤트를 담당하는 프로세스를 실행한 파일의 크기(바이트)입니다. |
| 타겟 프로세스 파일 버전 |
문자열 |
대상 프로세스 이미지 파일에 있는 버전 정보의 제품 버전입니다. |
| TargetProcessGuid |
문자열 |
대상 프로세스의 GUID입니다. |
| 대상 프로세스 ID |
문자열 |
대상 프로세스의 프로세스 ID입니다. |
| TargetProcessIMPHASH |
문자열 |
대상 프로세스에서 사용되는 모든 라이브러리 DLL의 가져오기 해시입니다. |
| 타깃 프로세스 삽입 주소 |
문자열 |
책임 있는 대상 프로세스가 저장되는 메모리 주소입니다. |
| 대상 프로세스 무결성 수준 |
문자열 |
대상 프로세스의 무결성 수준입니다. |
| 대상 프로세스가 숨겨져 있습니다 |
bool |
대상 프로세스가 숨겨진 모드인지 여부를 나타내는 표시입니다. |
| TargetProcessMD5 (타겟 프로세스 MD5) |
문자열 |
대상 프로세스 이미지 파일의 MD5 해시입니다. |
| TargetProcessName |
문자열 |
대상 프로세스의 이름입니다. |
| TargetProcessSHA1 |
문자열 |
대상 프로세스 이미지 파일의 SHA-1 해시입니다. |
| TargetProcessSHA256 |
문자열 |
대상 프로세스 이미지 파일의 SHA-256 해시입니다. |
| TargetProcessSHA512 |
문자열 |
대상 프로세스 이미지 파일의 SHA-512 해시입니다. |
| Target 프로세스 상태 코드 |
문자열 |
종료될 때 대상 프로세스에서 반환하는 종료 코드입니다. |
| 대상프로세스토큰승격 |
문자열 |
대상 프로세스에 적용되는 UAC(사용자 액세스 제어) 권한 상승의 존재 여부 또는 부재를 나타내는 토큰입니다. |
| 목표 범위 |
문자열 |
TargetUserId 및 TargetUsername이 정의된 Azure AD 테넌트와 같은 범위입니다. |
| TargetScopeId |
문자열 |
TargetUserId 및 TargetUsername이 정의된 Azure AD 테넌트 ID와 같은 범위 ID입니다. |
| 대상 사용자 ID |
문자열 |
컴퓨터에서 읽을 수 있는 영숫자, 행위자의 고유한 표현입니다. |
| 대상사용자ID유형 |
문자열 |
TargetUserId 필드에 저장된 ID 형식입니다. |
| 타겟사용자명 |
문자열 |
사용 가능한 경우 도메인 정보를 포함하여 대상 행위자의 사용자 이름입니다. |
| 대상사용자이름유형 |
문자열 |
TargetUsername 필드에 지정된 대상 행위자의 사용자 이름 형식입니다. |
| Target사용자세션GUID |
문자열 |
대상 행위자의 로그인 세션의 고유 GUID입니다. |
| 대상사용자세션ID |
문자열 |
대상 행위자의 로그인 세션의 고유 ID입니다. |
| 대상 사용자 유형 |
문자열 |
대상 행위자의 유형입니다. |
| 테넌트 ID |
문자열 |
Log Analytics 작업 영역 ID |
| 위협 범주 |
문자열 |
활동에서 식별된 위협 또는 맬웨어의 범주입니다. |
| 위협 신뢰도 |
정수 (int) |
식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatField |
문자열 |
위협이 식별된 필드입니다. |
| 위협 최초 보고 시간 |
날짜/시간 |
IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| 위협아이디 |
문자열 |
활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| 위협이 작동 중 |
bool |
식별된 위협은 True ID 시스템에서 활성 위협으로 간주됩니다. |
| 위협최종보고시간 |
날짜/시간 |
IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| 위협 이름 |
문자열 |
활동에서 식별된 위협 또는 맬웨어의 이름입니다. |
| 위협원본신뢰도 |
문자열 |
보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
| 위협원래위험수준 |
문자열 |
보고 디바이스에서 보고한 위험 수준입니다. |
| 위협 위험 수준 |
정수 (int) |
식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. |
| 타임제너레이티드 |
날짜/시간 |
이벤트가 생성된 시간을 반영하는 타임스탬프(UTC)입니다. |
| 유형 |
문자열 |
테이블의 이름입니다. |