次の方法で共有


DeviceEvents

この表は、Azure Sentinel を使用した Microsoft Defender for Endpoints の一部です。 この表には、Windows Defender ウイルス対策やエクスプロイト保護などのセキュリティ コントロールによってトリガーされるイベントを含む、複数のイベントの種類が含まれています。

テーブル属性

属性 Value
リソースの種類 -
Categories (カテゴリ) セキュリティ
ソリューション SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ -

タイプ 説明
AccountDomain string アカウントのドメイン。
AccountName string アカウントのユーザー名。
AccountSid string アカウントのセキュリティ識別子 (SID)。
ActionType string イベントをトリガーしたアクティビティの種類。
AdditionalFields 動的 エンティティまたはイベントに関する追加情報。
AppGuardContainerId string ブラウザー アクティビティを分離するために Application Guard によって使用される仮想化コンテナーの識別子。
_BilledSize real レコード サイズ (バイト単位)
CreatedProcessSessionId long 作成されたプロセスの Windows セッション ID。
DeviceId string サービス内のデバイスの一意識別子。
DeviceName string デバイスの完全修飾ドメイン名 (FQDN)。
FileName string アカウントのドメイン。
FileOriginIP string ファイルのダウンロード先の IP アドレス。
FileOriginUrl string ファイルのダウンロード先の URL。
FileSize long ファイルのサイズ (バイト単位)。
FolderPath string アカウントのドメイン。
InitiatingProcessAccountDomain string イベントを担当するプロセスを実行したアカウントのドメイン。
InitiatingProcessAccountName string イベントを担当するプロセスを実行したアカウントのユーザー名。
InitiatingProcessAccountObjectId string イベントを担当するプロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。
InitiatingProcessAccountSid string イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)。
InitiatingProcessAccountUpn string イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。
InitiatingProcessCommandLine string イベントを開始したプロセスを実行するために使用されるコマンド ライン。
InitiatingProcessCreationTime datetime イベントを開始したプロセスが開始された日時。
InitiatingProcessFileName string イベントを開始したプロセスの名前。
InitiatingProcessFileSize long イベントを担当するプロセスを実行したファイルのサイズ (バイト単位)。
InitiatingProcessFolderPath string イベントを開始したプロセス (イメージ ファイル) を含むフォルダー。
InitiatingProcessId long イベントを開始したプロセスのプロセス ID (PID)。
InitiatingProcessLogonId long イベントを開始したプロセスのログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。
InitiatingProcessMD5 string イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ。
InitiatingProcessParentCreationTime datetime イベントを担当するプロセスの親が開始された日時。
InitiatingProcessParentFileName string イベントを担当するプロセスを生成した親プロセスの名前。
InitiatingProcessParentId long イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)。
InitiatingProcessRemoteSessionDeviceName string 開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名。
InitiatingProcessRemoteSessionIP string 開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス。
InitiatingProcessSessionId long 開始プロセスの Windows セッション ID。
InitiatingProcessSHA1 string イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ。
InitiatingProcessSHA256 string イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 通常、このフィールドは設定されません。使用可能な場合は SHA1 列を使用します。
InitiatingProcessVersionInfoCompanyName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報の会社名。
InitiatingProcessVersionInfoFileDescription string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明。
InitiatingProcessVersionInfoInternalFileName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名。
InitiatingProcessVersionInfoOriginalFileName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報の元のファイル名。
InitiatingProcessVersionInfoProductName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報の製品名。
InitiatingProcessVersionInfoProductVersion string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable false インジェストが Azure アカウントに課金されない場合
IsInitiatingProcessRemoteSession [bool] 開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します。
IsProcessRemoteSession [bool] 作成されたプロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します。
LocalIP string 通信中に使用されるローカル コンピューターに割り当てられた IP アドレス。
LocalPort int 通信中に使用されるローカル コンピューター上の TCP ポート。
LogonId long ログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。
MachineGroup string マシンのマシン グループ。 このグループは、マシンへのアクセスを決定するためにロールベースのアクセス制御によって使用されます。
MD5 string 記録されたアクションが適用されたファイルの MD5 ハッシュ。
ProcessCommandLine string 新しいプロセスの作成に使用されるコマンド ライン。
ProcessCreationTime datetime プロセスが作成された日時。
ProcessId long 新しく作成されたプロセスのプロセス ID (PID)。
ProcessRemoteSessionDeviceName string 作成されたプロセスの RDP セッションが開始されたリモート デバイスのデバイス名。
ProcessRemoteSessionIP string 作成されたプロセスの RDP セッションが開始されたリモート デバイスの IP アドレス。
ProcessTokenElevation string 新しく作成されたプロセスに適用されるユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークンの種類。
RegistryKey string 記録されたアクションが適用されたレジストリ キー。
RegistryValueData string 記録されたアクションが適用されたレジストリ値のデータ。
RegistryValueName string 記録されたアクションが適用されたレジストリ値の名前。
RemoteDeviceName string 影響を受けるコンピューターでリモート操作を実行したデバイスの名前。 報告されるイベントに応じて、この名前は完全修飾ドメイン名 (FQDN)、NetBIOS 名、またはドメイン情報のないホスト名になります。
RemoteIP string 接続先の IP アドレス。
リモート ポート int 接続先のリモート デバイス上の TCP ポート。
RemoteUrl string 接続先の URL または完全修飾ドメイン名 (FQDN)。
ReportId long 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。
SHA1 string 記録されたアクションが適用されたファイルの SHA-1 ハッシュ。
SHA256 string 記録されたアクションが適用されたファイルの SHA-256。
SourceSystem string イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの OpsManager 、直接接続または Operations Manager、すべての Linux エージェントの Linux 、Azure Diagnostics の Azure などです。
TenantId string Log Analytics ワークスペース ID
TimeGenerated datetime エンドポイント上の MDE エージェントによってイベントが記録された日時。
種類 string テーブルの名前