次の方法で共有


ASimProcessEventLogs

Microsoft Sentinel プロセス イベント正規化テーブルには、プロセスの作成または終了に関連付けられたプロセス イベント ASIM 正規化スキーマを使用してイベントが格納されます。 このようなイベントは、オペレーティング システムと、EDR (エンドポイント検出と応答) システムなどのセキュリティ システムによって報告されます。

テーブル属性

属性 Value
リソースの種類 microsoft.securityinsights/processeventnormalized
Categories (カテゴリ) セキュリティ
ソリューション SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ -

タイプ 説明
ActingProcessCommandLine string 実行プロセスを実行するために使用するコマンド ライン。
ActingProcessCreationTime datetime 実行プロセスが開始された日時。
ActingProcessFileCompany string 実行プロセス イメージ ファイルを作成した会社。
ActingProcessFileDescription string 実行プロセス イメージ ファイルのバージョン情報に埋め込まれた説明。
ActingProcessFileInternalName string 実行プロセス イメージ ファイルのバージョン情報からの製品内部ファイル名。
ActingProcessFilename string 処理プロセス イメージ ファイルのバージョン情報からのプロダクト ファイル名。
ActingProcessFileOriginalName string 実行プロセス イメージ ファイルのバージョン情報からの製品の元のファイル名。
ActingProcessFileProduct string 実行プロセス イメージ ファイルのバージョン情報からの製品名。
ActingProcessFileSize long 処理プロセスを実行したファイルのサイズ (バイト単位)。
ActingProcessFileVersion string 実行プロセス イメージ ファイルのバージョン情報からの製品バージョン。
ActingProcessGuid string 処理プロセスの GUID。
ActingProcessId string 処理プロセスのプロセス ID。
ActingProcessIMPHASH string 実行プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。
ActingProcessInjectedAddress string 責任ある実行プロセスが格納されているメモリ アドレス。
ActingProcessIntegrityLevel string 処理プロセスの整合性レベル。
ActingProcessIsHidden [bool] 実行プロセスが非表示モードかどうかを示します。
ActingProcessMD5 string 実行プロセス イメージ ファイルの MD5 ハッシュ。
ActingProcessName string 実行プロセスの名前。
ActingProcessSHA1 string 実行プロセス イメージ ファイルの SHA-1 ハッシュ。
ActingProcessSHA256 string 実行プロセス イメージ ファイルの SHA-256 ハッシュ。
ActingProcessSHA512 string 実行プロセス イメージ ファイルの SHA-512 ハッシュ。
ActingProcessTokenElevation string 実行プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。
ActorOriginalUserType string レポート デバイスによって報告されたユーザー タイプ。
ActorScope string ActorUserId と ActorUsername が定義されているスコープ (Azure AD テナントなど)。
ActorScopeId string ActorUserId と ActorUsername が定義されているスコープ ID (Azure AD テナント ID など)。
ActorSessionId string アクターのサインイン セッションの一意の ID。
ActorUserId string コンピューターが読み取り可能な英数字、アクターの一意の表現。
ActorUserIdType string ActorUserId フィールドに格納されている ID の種類。
ActorUsername string アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。
ActorUsernameType string ActionUsername フィールドで指定されたアクターのユーザー名の型
ActorUserType string アクターの種類。
AdditionalFields 動的 ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。
_BilledSize real レコード サイズ (バイト単位)
DvcAction string セキュリティ システムを報告する場合、システムによって実行されるアクション。
DvcDescription string デバイスに関連付けられる説明のテキスト。
DvcDomain string イベントを報告するデバイスのドメイン。
DvcDomainType string DvcDomain の種類。 指定できる値には、"Windows" と "FQDN" があります。
DvcFQDN string イベントが発生した、またはイベントを報告したデバイスのホスト名。
DvcHostname string イベントを報告するデバイスのホスト名。
DvcId string イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。
DvcIdType string DvcId の種類。
DvcInterface string データがキャプチャされたネットワーク インターフェイス。
DvcIpAddr string イベントを報告するデバイスの IP アドレス。
DvcMacAddr string イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。
DvcOriginalAction string レポート デバイスによって提供された元の DvcAction。
DvcOs string イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。
DvcOsVersion string イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。
DvcScope string デバイスが属するクラウド プラットフォームのスコープ。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
DvcScopeId string デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。
DvcZone string イベントが発生したネットワーク、またはイベントを報告したネットワーク。
EventCount int レコードによって記述されるイベントの数。
EventEndTime datetime イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。
EventMessage string 一般的なメッセージまたは説明。
EventOriginalResultDetails string ソースによって提供される元の結果の詳細。
EventOriginalSeverity string レポート デバイスによって提供された元の重大度。
EventOriginalSubType string 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。
EventOriginalType string 元のイベントの種類または ID (ソースによって提供されている場合)。
EventOriginalUid string 元のレコードの一意の ID (ソースによって提供されている場合)。
EventOwner string イベントの所有者。通常は、イベントが生成された部門または子会社です。
EventProduct string イベントを生成している製品。
EventProductVersion string イベントを生成している製品のバージョン。
EventReportUrl string リソースのイベントで提供された、そのイベントに関する他の情報を提供する URL。
EventResult string イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。
EventResultDetails string EventResult でレポートされた結果の理由または詳細。
EventSchemaVersion string スキーマのバージョン。
EventSeverity string イベントの重大度。 有効な値は、Informational、Low、Medium、High です。
EventStartTime datetime イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。
EventSubType string EventType フィールドでレポートされた操作を細分化して記述します。
EventType string レコードによって報告される操作について説明します
EventVendor string イベントを生成している製品のベンダー。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
ParentProcessCreationTime datetime 親プロセスが開始された日時。
ParentProcessFileCompany string 親プロセス イメージ ファイルを作成した会社。
ParentProcessFileDescription string 親プロセス イメージ ファイルのバージョン情報からの説明。
ParentProcessFileProduct string 親プロセス イメージ ファイル内のバージョン情報の製品名。
ParentProcessFileVersion string 親プロセス イメージ ファイルのバージョン情報からの製品バージョン。
ParentProcessGuid string 親プロセスの GUID。
ParentProcessId string 親プロセスのプロセス ID。
ParentProcessIMPHASH string 親プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。
ParentProcessInjectedAddress string 責任ある親プロセスが格納されているメモリ アドレス。
ParentProcessIntegrityLevel string 親プロセスの整合性レベル。
ParentProcessIsHidden [bool] 親プロセスが非表示モードかどうかを示します。
ParentProcessMD5 string 親プロセス イメージ ファイルの MD5 ハッシュ。
ParentProcessName string 親プロセスの名前。
ParentProcessSHA1 string 親プロセス イメージ ファイルの SHA-1 ハッシュ。
ParentProcessSHA256 string 親プロセス イメージ ファイルの SHA-256 ハッシュ。
ParentProcessSHA512 string 親プロセス イメージ ファイルの SHA-512 ハッシュ。
ParentProcessTokenElevation string 親プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。
_ResourceId string レコードが関連付けられているリソースの一意識別子
RuleName string 検査結果に関連付けられたルールの名前または ID。
RuleNumber int 検査結果に関連付けられたルールの番号。
SourceSystem string イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
_SubscriptionId string レコードが関連付けられているサブスクリプションの一意識別子
TargetOriginalUserType string レポート デバイスによって報告されたユーザー タイプ。
TargetProcessCommandLine string ターゲット プロセスを実行するために使用するコマンド ライン。
TargetProcessCreationTime datetime ターゲット プロセスが開始された日時。
TargetProcessCurrentDirectory string ターゲット プロセスが実行される現在のディレクトリ。
TargetProcessFileCompany string ターゲット プロセス イメージ ファイルを作成した会社。
TargetProcessFileDescription string ターゲット プロセス イメージ ファイルのバージョン情報からの説明。
TargetProcessFileInternalName string ターゲット プロセス イメージ ファイルのバージョン情報からの製品内部ファイル名。
TargetProcessFilename string ターゲット プロセス イメージ ファイルのバージョン情報からのプロダクト ファイル名。
TargetProcessFileOriginalName string ターゲット プロセス イメージ ファイルのバージョン情報からの製品の元のファイル名。
TargetProcessFileProduct string ターゲット プロセス イメージ ファイル内のバージョン情報の製品名。
TargetProcessFileSize long イベントを担当するプロセスを実行したファイルのサイズ (バイト単位)。
TargetProcessFileVersion string ターゲット プロセス イメージ ファイルのバージョン情報からの製品バージョン。
TargetProcessGuid string ターゲット プロセスの GUID。
TargetProcessId string ターゲット プロセスのプロセス ID。
TargetProcessIMPHASH string ターゲット プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。
TargetProcessInjectedAddress string 責任あるターゲット プロセスが格納されているメモリ アドレス。
TargetProcessIntegrityLevel string ターゲット プロセスの整合性レベル。
TargetProcessIsHidden [bool] ターゲット プロセスが非表示モードかどうかを示します。
TargetProcessMD5 string ターゲット プロセス イメージ ファイルの MD5 ハッシュ。
TargetProcessName string ターゲット プロセスの名前。
TargetProcessSHA1 string ターゲット プロセス イメージ ファイルの SHA-1 ハッシュ。
TargetProcessSHA256 string ターゲット プロセス イメージ ファイルの SHA-256 ハッシュ。
TargetProcessSHA512 string ターゲット プロセス イメージ ファイルの SHA-512 ハッシュ。
TargetProcessStatusCode string 終了時にターゲット プロセスによって返される終了コード。
TargetProcessTokenElevation string ターゲット プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。
TargetScope string TargetUserId と TargetUsername が定義されているスコープ (Azure AD テナントなど)。
TargetScopeId string TargetUserId と TargetUsername が定義されているスコープ ID (Azure AD テナント ID など)。
TargetUserId string コンピューターが読み取り可能な英数字、アクターの一意の表現。
TargetUserIdType string TargetUserId フィールドに格納されている ID の種類。
TargetUsername string ターゲット アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。
TargetUsernameType string TargetUsername フィールドで指定されたターゲット アクターのユーザー名の型
TargetUserSessionGuid string ターゲット アクターのサインイン セッションの一意の GUID。
TargetUserSessionId string ターゲット アクターのサインイン セッションの一意の ID。
TargetUserType string ターゲット アクターの型。
TenantId string Log Analytics ワークスペース ID
ThreatCategory string アクティビティで特定された脅威またはマルウェアのカテゴリ。
ThreatConfidence int 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。
ThreatField string 脅威が特定されたフィールド。
ThreatFirstReportedTime datetime IP アドレスまたはドメインが脅威として初めて識別された場合。
ThreatId string アクティビティで識別された脅威またはマルウェアの ID。
ThreatIsActive [bool] 特定された脅威がアクティブな脅威と見なされる真の ID。
ThreatLastReportedTime datetime 最後に IP アドレスまたはドメインが脅威として識別された時刻。
ThreatName string アクティビティで識別された脅威またはマルウェアの名前。
ThreatOriginalConfidence string レポート デバイスによって報告される、特定された脅威の元の信頼レベル。
ThreatOriginalRiskLevel string レポート デバイスによって報告されたリスク レベル。
ThreatRiskLevel int 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。
TimeGenerated datetime イベントが生成された時刻を反映するタイムスタンプ (UTC)。
種類 string テーブルの名前