| AzureTenantId |
строка |
Идентификатор клиента AAD, к которому принадлежит эта таблица DynamicSummary. |
| _BilledSize |
real |
Размер записи в байтах |
| CreatedBy |
по строкам |
Объект JSON с пользователем, создавшим сводку, включая идентификатор объекта, электронную почту и имя. |
| CreatedTimeUTC |
datetime |
Время создания сводки (UTC). |
| EventTimeUTC |
datetime |
Время (UTC) при первоначальном возникновении сводного элемента. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| ObservableType |
строка |
Наблюдаемые события — это свойства с отслеживанием состояния, связанные с операцией вычислительной системы, которые полезны при выявлении индикаторов компрометации. Например, имя входа. |
| ObservableValue |
строка |
Значение для наблюдаемого типа, например аномального действия RDP. |
| УпакованныйContent |
по строкам |
Объект JSON содержит упакованные столбцы, которые можно создать с помощью KQL pack_all(). |
| Query |
строка |
Это запрос, который использовался для создания результата. |
| QueryEndDate |
datetime |
События, произошедшие до этого даты и времени, будут включены в результат. |
| QueryStartDate |
datetime |
События, произошедшие после этого даты и времени, будут включены в результат. |
| RelationId |
строка |
Исходный идентификатор источника данных |
| RelationName |
строка |
Имя исходного источника данных. |
| SearchKey |
строка |
SearchKey используется для оптимизации производительности запросов при использовании DynamicSummary для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле для присоединения к другим таблицам событий по IP-адресу. |
| SourceInfo |
по строкам |
Объект JSON с информацией производителя данных, включая источник, имя, версию. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SummaryDataType |
строка |
Этот флаг используется для определения того, является ли запись сводной или сводной записью уровня элемента. |
| СводкаDescription |
строка |
Описание, предоставленное пользователем. |
| SummaryId |
строка |
Уникальный идентификатор сводки. |
| SummaryItemId |
строка |
Уникальный идентификатор элемента сводки. |
| SummaryName |
строка |
Отображаемое имя сводки, уникальное в рабочей области. |
| SummaryStatus |
строка |
Активный или удаленный. |
| Тактика |
по строкам |
Тактика MITRE ATT&CK — это то, что злоумышленники пытаются достичь. Например, эксфильтрация. |
| Techniques |
по строкам |
Методы MITRE ATT&CK — это то, как выполняются эти тактики. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Метка времени (UTC) о том, когда событие было приемлено в Azure Monitor. |
| Тип |
строка |
Имя таблицы. |
| ОбновленоBy |
по строкам |
Объект JSON с пользователем, который обновил сводку, включая идентификатор объекта, электронную почту и имя. |
| ОбновленоTimeUTC |
datetime |
Время (UTC) при обновлении сводки. |