AlertEvidence
- [アーティクル]
-
-
アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイスが含まれます。
テーブル属性
属性 |
Value |
リソースの種類 |
- |
Categories (カテゴリ) |
セキュリティ |
ソリューション |
SecurityInsights |
基本的なログ |
いいえ |
インジェスト時間変換 |
はい |
サンプル クエリ |
はい |
列
列 |
タイプ |
説明 |
AccountDomain |
string |
アカウントのドメイン。 |
AccountName |
string |
アカウントのユーザー名。 |
AccountObjectId |
string |
Azure Active Directory のアカウントの一意識別子。 |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID)。 |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN)。 |
AdditionalFields |
動的 |
JSON 配列形式のイベントに関する追加情報。 |
AlertId |
string |
アラートの一意識別子。 |
アプリケーション |
string |
記録されたアクションを実行したアプリケーション。 |
ApplicationId |
int |
アプリケーションの一意識別子。 |
AttackTechniques |
string |
アラートをトリガーしたアクティビティに関連付けられている MITRE ATT&CK 手法。 |
_BilledSize |
real |
レコード サイズ (バイト単位) |
カテゴリ |
string |
情報が属するカテゴリの一覧 (JSON 配列形式)。 |
DetectionSource |
string |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 |
DeviceId |
string |
サービス内のデバイスの一意識別子。 |
DeviceName |
string |
マシンの完全修飾ドメイン名 (FQDN)。 |
EmailSubject |
string |
メールの件名。 |
EntityType |
string |
ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類。 |
EvidenceDirection |
string |
エンティティがネットワーク接続のソースか宛先かを示します。 |
EvidenceRole |
string |
エンティティがアラートに関与する方法。影響を受けたか、単に関連しているかを示します。 |
FileName |
string |
記録されたアクションが適用されたファイルの名前。 |
FileSize |
long |
ファイルのサイズ (バイト単位)。 |
FolderPath |
string |
記録されたアクションが適用されたファイルを含むフォルダー。 |
_IsBillable |
string |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
LocalIP |
string |
通信中に使用されるローカル デバイスに割り当てられた IP アドレス。 |
NetworkMessageId |
string |
Office 365 によって生成された電子メールの一意の識別子。 |
OAuthApplicationId |
string |
サード パーティの OAuth アプリケーションの一意識別子。 |
ProcessCommandLine |
string |
新しいプロセスの作成に使用されるコマンド ライン。 |
RegistryKey |
string |
記録されたアクションが適用されたレジストリ キー。 |
RegistryValueData |
string |
記録されたアクションが適用されたレジストリ値のデータ。 |
RegistryValueName |
string |
記録されたアクションが適用されたレジストリ値の名前。 |
RemoteIP |
string |
接続先の IP アドレス。 |
RemoteUrl |
string |
接続先の URL または完全修飾ドメイン名 (FQDN)。 |
ServiceSource |
string |
アラート情報を提供した製品またはサービス。 |
SHA1 |
string |
記録されたアクションが適用されたファイルの SHA-1。 |
SHA256 |
string |
記録されたアクションが適用されたファイルの SHA-256。 通常、このフィールドには SHA1 列が設定されません。使用可能な場合は、SHA1 列を使用します。 |
SourceSystem |
string |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux 、Azure Diagnostics の場合は Azure です |
TenantId |
string |
Log Analytics ワークスペース ID |
ThreatFamily |
string |
疑わしいファイルまたは悪意のあるファイルまたはプロセスが分類されているマルウェア ファミリ。 |
TimeGenerated |
datetime |
レコードが生成された日時 (UTC)。 |
Title |
string |
アラートのタイトル。 |
種類 |
string |
テーブルの名前 |