Pid

Идентификатор процесса.

Image_path (ImagePath)

Путь к выполняемому файлу.

Command_line

Параметры командной строки.

Source_pid

Идентификатор процесса, который запрашивает RPC.

Source_image_path

Путь к родительскому выполняемому файлу процесса, который запрашивает RPC.

Source_command_line

Параметры командной строки для родительского выполняемого файла процесса, который запрашивает RPC.

Parent_pid

Идентификатор родительского процесса.

Parent_image_path

Путь к родительскому выполняемому файлу.

Parent_command_line

Параметры родительской командной строки.

Service_name

Название сервиса.

Service_path

Путь к файлу для сервисов.

Registry_key

Раздел реестра Windows (например, HKEY_LOCAL_MACHINE\ELAM\Windows Defender).

Registry_value_name

Имя значения реестра Windows (например, Name).

Registry_value

Значение реестра Windows (например, Data).

Loaded_image_path

Параметр Image_path измененного файла, который загружается для обработки.

Dropper_pid

Параметр Pid процесса, который изменил файл.

Dropper_image_path

Параметр Image_path процесса, который изменил файл.

File_path

Путь к файлу на диске.

Target_file_path

Путь к целевому файлу на диске.

Target_pid

Идентификатор целевого процесса.

Target_image_path

Путь к целевому выполняемому файлу.

Target_Command_line

Командная строка целевого процесса.

URL

Целевой веб-адрес.

Source_ip

Исходный IP-адрес.

Source_port

Номер порта источника.

Destination_ip

Целевой IP-адрес, может включать номер порта.

Destination_port

Номер порта назначения.

Protocol

Сетевой протокол.

String

Извлеченная строка из памяти выполненного процесса.

Pipe

Имя канала.

Privilege_name

Имя привилегии.

Timeout

Время спящего режима.