次の方法で共有


MDCFileIntegrityMonitoringEvents

Windows および Linux ファイルの変更と、ソフトウェア レジストリ キーの変更を表示します。 この表のイベントは、Microsoft Defender for Endpoint (MDE) によって収集されます。

テーブル属性

属性 Value
リソースの種類 -
Categories (カテゴリ) セキュリティ
ソリューション LogManagement
基本的なログ はい
インジェスト時間変換 いいえ
サンプル クエリ -

タイプ 説明
AADTenantID string 監視対象エンティティが作成、名前変更、変更、または削除されたサブスクリプションの AAD テナント ID。
AzureResourceId string 監視対象エンティティが作成、名前変更、変更、または削除されたリソースの Azure リソース ID。
_BilledSize real レコード サイズ (バイト単位)
ChangeType string エンティティで発生した変更の種類。 'File' エンティティの場合は、'Created'、'Modified'、'Renamed'、または 'Deleted' のいずれかである必要があります。 'Registry' エンティティの場合は、'RegistryKeyCreated'、'RegistryKeyDeleted'、'RegistryValueSet'、'RegistryValueDeleted'、'RegistryKeyRenamed' のいずれかである必要があります。
CloudIdentifier string リソースのクラウド識別子。
CloudProvider string リソースのクラウド プロバイダー。
CloudResourceType string クラウド リソースの種類。
Computer string 監視対象エンティティが作成、名前変更、変更、または削除されたコンピューターの名前。
FileMd5 string "File" 監視対象エンティティの種類に関連します。 変更、作成、または削除されたファイルの MD5 を保持します。
FileName string "File" 監視対象エンティティの種類に関連します。 作成、名前変更、変更、または削除されたファイルの名前を保持します。
FilePath string "File" 監視対象エンティティの種類に関連します。 作成、名前変更、変更、または削除されたファイルのパスを保持します。
FileSha1 string "File" 監視対象エンティティの種類に関連します。 変更、作成、または削除されたファイルの SHA1 を保持します。
FileSha256 string "File" 監視対象エンティティの種類に関連します。 変更、作成、または削除されたファイルの SHA256 を保持します。
FileSize long "File" 監視対象エンティティの種類に関連します。 作成、名前変更、変更、または削除されたファイルの現在のサイズ (バイト単位) を保持します。
FileType string "File" 監視対象エンティティの種類に関連します。 作成、名前変更、変更、または削除されたファイルの種類を保持します。 使用可能な値の例: Zip、PDF、Xar など。
InitiatingProcessAccountDomainName string 監視対象エンティティ イベントの原因となった開始プロセスのアカウント ドメイン名を保持します。
InitiatingProcessAccountName string 監視対象エンティティ イベントの原因となった開始プロセスのアカウント名を保持します。
InitiatingProcessAccountSid string 監視対象エンティティ イベントの原因となった開始プロセスのアカウント SID を保持します。
InitiatingProcessCreationTime datetime 監視対象エンティティ イベントの原因となった開始プロセスの作成時間を保持します。
InitiatingProcessFirstSeen datetime 監視対象エンティティ イベントの原因となった開始プロセスの最初の表示時間を保持します。
InitiatingProcessId long 監視対象エンティティ イベントの原因となった開始プロセスのプロセス ID を保持します。
InitiatingProcessImageFileName string 監視対象のエンティティ イベントの原因となった開始プロセスのイメージ ファイル名を保持します。
InitiatingProcessImageFilePath string 監視対象エンティティ イベントの原因となった開始プロセスのイメージ ファイル パスを保持します。
InitiatingProcessImageFileType string 監視対象エンティティ イベントの原因となった開始プロセスのイメージ ファイルの種類を保持します。
InitiatingProcessName string 監視対象エンティティ イベントの原因となった開始プロセスの名前を保持します。
InitiatingProcessSessionId long 監視対象エンティティ イベントの原因となった開始プロセスのセッション ID を保持します。
InitiatingProcessSource string 監視対象のエンティティ イベントの原因となった開始プロセスのソースを保持します。
InitProcImageCreationTimeUtc datetime 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ作成時間を保持します。
InitProcImageFileSizeInBytes long 監視対象エンティティ イベントの原因となった開始プロセスのイメージ ファイル サイズ (バイト単位) を保持します。
InitProcImageLastAccessTimeUtc datetime 監視対象のエンティティ イベントの原因となった開始プロセスのイメージのイメージの最終アクセス時間を保持します。
InitProcImageLastWriteTimeUtc datetime 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージの最終書き込み時間を保持します。
InitProcImageLsHash string 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ LS ハッシュを保持します。
InitProcImageMd5 string 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ MD5 を保持します。
InitProcImagePeTimestampUtc datetime 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ PE 時間を保持します。
InitProcImageSha1 string 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ SHA 1 を保持します。
InitProcImageSha256 string 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ SHA 256 を保持します。
InitProcVersionInfoCompanyName string 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報会社名を保持します。
InitProcVersionInfoFileDescription string 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報ファイルの説明を保持します。
InitProcVersionInfoInternalFileName string 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報の内部ファイル名を保持します。
InitProcVersionInfoOriginalFileName string 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報の元のファイル名を保持します。
InitProcVersionInfoProductName string 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報製品名を保持します。
InitProcVersionInfoProductVersion string 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報製品バージョンを保持します。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
MonitoredEntityType string 作成、名前変更、変更、または削除された監視対象エンティティの型。 'File' または 'Registry' を指定できます。
NewValueData string "レジストリ" で監視されるエンティティ型に関連します。 新しいレジストリ値データを保持します。
NewValueName string "レジストリ" で監視されるエンティティ型に関連します。 新しいレジストリ値の名前を保持します。
NewValueType string "レジストリ" で監視されるエンティティ型に関連します。 新しいレジストリ値の種類を保持します。
OldValueData string "レジストリ" で監視されるエンティティ型に関連します。 以前のレジストリ値データを保持します。
OldValueFullRegistryKey string "レジストリ" で監視されるエンティティ型に関連します。 以前の完全なレジストリ キーを保持します。
OldValueName string "レジストリ" で監視されるエンティティ型に関連します。 以前のレジストリ値の名前を保持します。
OldValueType string "レジストリ" で監視されるエンティティ型に関連します。 以前のレジストリ値の型を保持します。
OriginalFileName string 'File' の監視対象エンティティ型と 'Rename' 変更の種類に関連します。 名前の変更が行われる前に、名前が変更されたファイルの元の名前を保持します。
OriginalFilePath string 'File' の監視対象エンティティ型と 'Rename' 変更の種類に関連します。 名前の変更が行われる前に、名前が変更されたファイルの元のパスを保持します。
RegistryHive string "レジストリ" で監視されるエンティティ型に関連します。 オペレーティング システムとアプリケーションのグループ化構成設定を保持します。
RegistryKey string "レジストリ" で監視されるエンティティ型に関連します。 作成されたレジストリの完全なレジストリ キー、または名前が変更されたレジストリの新しいレジストリ キーを保持します。
RequestAccountDomain string "File" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントのドメインを保持します。
RequestAccountName string "File" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントの名前を保持します。
RequestAccountSid string "File" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントの SID を保持します。
RequestSource string "File" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントのソースを保持します。 たとえば、Local/SMB/NFS です。
RequestSourceIP string "File" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントのソース IP を保持します。 リモート ファイルの場合、要求が送信された IP。
RequestSourcePort string "File" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントのソース ポートを保持します。 リモート ファイルの場合、要求の送信元のポート。
SourceSystem string イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
TenantId string Log Analytics ワークスペース ID
TimeGenerated datetime 監視対象エンティティが作成、名前変更、変更、または削除された時刻 (UTC)。
種類 string テーブルの名前