| ActionType |
string |
イベントをトリガーしたアクティビティの種類。 |
| AdditionalFields |
動的 |
エンティティまたはイベントに関する追加情報。 |
| AppGuardContainerId |
string |
ブラウザー アクティビティを分離するために Application Guard によって使用される仮想化コンテナーの識別子。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| DeviceId |
string |
サービス内のデバイスの一意識別子。 |
| DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN)。 |
| FileName |
string |
記録されたアクションが適用されたファイルの名前。 |
| FileOriginIP |
string |
ファイルのダウンロード先の IP アドレス。 |
| FileOriginReferrerUrl |
string |
ダウンロードしたファイルにリンクする Web ページの URL。 |
| FileOriginUrl |
string |
ファイルのダウンロード先の URL。 |
| FileSize |
long |
ファイルのサイズ (バイト単位)。 |
| FolderPath |
string |
記録されたアクションが適用されたファイルを含むフォルダー。 |
| InitiatingProcessAccountDomain |
string |
イベントを担当するプロセスを実行したアカウントのドメイン。 |
| InitiatingProcessAccountName |
string |
イベントを担当するプロセスを実行したアカウントのユーザー名。 |
| InitiatingProcessAccountObjectId |
string |
イベントを担当するプロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。 |
| InitiatingProcessAccountSid |
string |
イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)。 |
| InitiatingProcessAccountUpn |
string |
イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。 |
| InitiatingProcessCommandLine |
string |
イベントを開始したプロセスを実行するために使用されるコマンド ライン。 |
| InitiatingProcessCreationTime |
datetime |
イベントを開始したプロセスが開始された日時。 |
| InitiatingProcessFileName |
string |
イベントを開始したプロセスの名前。 |
| InitiatingProcessFileSize |
long |
イベントを開始したプロセス (イメージ ファイル) のサイズ (バイト単位)。 |
| InitiatingProcessFolderPath |
string |
イベントを開始したプロセス (イメージ ファイル) を含むフォルダー。 |
| InitiatingProcessId |
long |
イベントを開始したプロセスのプロセス ID (PID)。 |
| InitiatingProcessIntegrityLevel |
string |
イベントを開始したプロセスの整合性レベル。 Windows では、インターネット ダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。 |
| InitiatingProcessMD5 |
string |
イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ。 |
| InitiatingProcessParentCreationTime |
datetime |
イベントを担当するプロセスの親が開始された日時。 |
| InitiatingProcessParentFileName |
string |
イベントを担当するプロセスを生成した親プロセスの名前。 |
| InitiatingProcessParentId |
long |
イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)。 |
| InitiatingProcessRemoteSessionDeviceName |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名。 |
| InitiatingProcessRemoteSessionIP |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス。 |
| InitiatingProcessSessionId |
long |
開始プロセスの Windows セッション ID。 |
| InitiatingProcessSHA1 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ。 |
| InitiatingProcessSHA256 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 通常、このフィールドは設定されません。使用可能な場合は SHA1 列を使用します。 |
| InitiatingProcessTokenElevation |
string |
イベントを開始したプロセスに適用されるユーザー アクセス制御 (UAC) 特権昇格の有無を示すトークンの種類。 |
| InitiatingProcessVersionInfoCompanyName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報の会社名。 |
| InitiatingProcessVersionInfoFileDescription |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明。 |
| InitiatingProcessVersionInfoInternalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名。 |
| InitiatingProcessVersionInfoOriginalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報の元のファイル名。 |
| InitiatingProcessVersionInfoProductName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報の製品名。 |
| InitiatingProcessVersionInfoProductVersion |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン。 |
| IsAzureInfoProtectionApplied |
[bool] |
ファイルが Azure Information Protection によって暗号化されているかどうかを示します。 |
| _IsBillable |
string |
データ インジェストが課金対象かどうかを指定します。 _IsBillable false インジェストが Azure アカウントに課金されない場合 |
| IsInitiatingProcessRemoteSession |
[bool] |
開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します。 |
| MachineGroup |
string |
マシンのマシン グループ。 このグループは、マシンへのアクセスを決定するためにロールベースのアクセス制御によって使用されます。 |
| MD5 |
string |
記録されたアクションが適用されたファイルの MD5 ハッシュ。 |
| PreviousFileName |
string |
アクションの結果として名前が変更されたファイルの元の名前。 |
| PreviousFolderPath |
string |
記録されたアクションが適用される前のファイルを含む元のフォルダー。 |
| ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。 |
| RequestAccountDomain |
string |
アクティビティをリモートで開始するために使用されるアカウントのドメイン。 |
| RequestAccountName |
string |
アクティビティをリモートで開始するために使用されるアカウントのユーザー名。 |
| RequestAccountSid |
string |
アクティビティをリモートで開始するために使用されるアカウントのセキュリティ識別子 (SID)。 |
| RequestProtocol |
string |
ネットワーク プロトコル (該当する場合) は、アクティビティの開始に使用されます(不明、ローカル、SMB、NFS)。 |
| RequestSourceIP |
string |
アクティビティを開始したリモート デバイスの IPv4 または IPv6 アドレス。 |
| RequestSourcePort |
int |
アクティビティを開始したリモート デバイス上のソース ポート。 |
| SensitivityLabel |
string |
電子メール、ファイル、またはその他のコンテンツに適用され、情報保護のために分類されるラベル。 |
| SensitivitySubLabel |
string |
サブラベルは、電子メール、ファイル、またはその他のコンテンツに適用され、情報保護のために分類されます。秘密度サブラベルは秘密度ラベルの下にグループ化されますが、個別に扱われます。 |
| SHA1 |
string |
記録されたアクションが適用されたファイルの SHA-1 ハッシュ。 |
| SHA256 |
string |
記録されたアクションが適用されたファイルの SHA-256。 |
| ShareName |
string |
ファイルを含む共有フォルダーの名前。 |
| SourceSystem |
string |
イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの OpsManager 、直接接続または Operations Manager、すべての Linux エージェントの Linux 、Azure Diagnostics の Azure などです。 |
| TenantId |
string |
Log Analytics ワークスペース ID |
| TimeGenerated |
datetime |
エンドポイント上の MDE エージェントによってイベントが記録された日時。 |
| 種類 |
string |
テーブルの名前 |