DataSecurityEvents (プレビュー)
適用対象:
- Microsoft Defender XDR
- Microsoft Purview
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度なハンティング スキーマのDataSecurityEvents テーブルには、Microsoft Purview ソリューション スイートのユーザー定義ポリシーまたは既定のポリシーに違反するユーザー アクティビティに関する情報が含まれています。 各ログは、独自の Microsoft 検出 (機密情報の種類など) と、ドメイン カテゴリ、秘密度ラベルなどのユーザー定義エンリッチメント ラベルでエンリッチされた 1 つのユーザー アクティビティを表します。
このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
ApplicationNames |
string |
イベントに使用または関連するアプリケーション名の一覧 |
DeviceId |
string |
Microsoft Defender for Endpointのデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
AadDeviceId |
guid |
Microsoft Entra IDのデバイスの一意識別子 |
IsManagedDevice |
bool |
デバイスがorganization (True) によって管理されているかどうかを示します (False) |
DlpPolicyMatchInfo |
string |
このイベントに一致するデータ損失防止 (DLP) ポリシーの一覧に関する情報 |
DlpPolicyEnforcementMode |
int |
適用されたデータ損失防止ポリシーを示します。値には、0 (なし)、1 (監査)、2 (警告)、3 (警告とバイパス)、4 (ブロック)、5 (許可) を指定できます。 |
DlpPolicyRuleMatchInfo |
dynamic |
このイベントと一致したデータ損失防止 (DLP) ルールの詳細。JSON 配列形式 |
FileRenameInfo |
string |
このイベントの前のファイル (ファイル名と拡張子) の詳細 |
PhysicalAccessPointId |
string |
物理アクセス ポイントの一意識別子 |
PhysicalAccessPointName |
string |
物理アクセス ポイントの名前 |
PhysicalAccessStatus |
string |
物理アクセスの状態(成功したか失敗したか) |
PhysicalAssetTag |
string |
Microsoft Insider Risk Management のグローバル設定で構成された資産に割り当てられたタグ |
RemovableMediaManufacturer |
string |
リムーバブル デバイスの製造元名 |
RemovableMediaModel |
string |
リムーバブル デバイスのモデル名 |
RemovableMediaSerialNumber |
string |
リムーバブル デバイスのシリアル番号 |
TeamsChannelName |
string |
Teams チャネルの名前 |
TeamsChannelType |
string |
Teams チャネルの種類 |
TeamsTeamName |
string |
Teams チームの名前 |
UserAlternateEmails |
string |
ユーザーの代替メールまたはエイリアス |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
Department |
string |
アカウント ユーザーが属している部署の名前 |
SourceCodeInfo |
string |
イベントに関連するソース コード リポジトリの詳細 |
CcPolicyMatchInfo |
dynamic |
コミュニケーション コンプライアンス ポリシーの詳細は、このイベントと一致します。JSON 配列形式 |
IPAddress |
string |
アクティビティが実行されたクライアントの IP アドレス。Microsoft Defender for Cloud Appsアラートに関連する場合は、複数の IP を含めることができます |
Timestamp |
datetime |
イベントが記録された日付と時刻 |
DeviceSourceLocationType |
int |
エンドポイント信号の送信元の場所の種類を示します。値には、0 (不明)、1 (ローカル)、2 (リモート)、3 (リムーバブル)、4 (クラウド)、5 (ファイル共有) を指定できます。 |
DeviceDestinationLocationType |
int |
エンドポイント信号が接続されている場所の種類を示します。値には、0 (不明)、1 (ローカル)、2 (リモート)、3 (リムーバブル)、4 (クラウド)、5 (ファイル共有) を指定できます。 |
IrmPolicyMatchInfo |
dynamic |
インサイダーリスク管理ポリシーの詳細は、イベントに関連するコンテンツと一致します。JSON 配列形式 |
UnallowedUrlDomains |
string |
Insider Risk Management のグローバル設定で [未適用] として構成されている、このイベントに関連する Web サイトまたはサービス URL |
ExternalUrlDomains |
string |
インサイダー リスク管理のグローバル設定で外部として分類される、このイベントに関連する Web サイトまたはサービス URL |
UrlDomainInfo |
string |
イベントに関連する Web サイトまたはサービス URL の詳細 |
SourceUrlDomain |
string |
デバイスと電子メールの信号が発信されたドメイン |
TargetUrlDomain |
string |
コンテンツが共有されたドメイン、またはユーザーが参照したドメイン |
EmailAttachmentCount |
int |
電子メールの添付ファイルの数 |
EmailAttachmentInfo |
dynamic |
電子メールの添付ファイルの詳細。JSON 配列形式 |
InternetMessageId |
string |
送信メール システムによって設定された電子メールまたは Teams メッセージの公開識別子 |
NetworkMessageId |
guid |
Microsoft 365 によって生成された電子メールの一意の識別子 |
EmailSubject |
string |
メールの件名 |
ObjectId |
string |
記録されたアクションが適用されたオブジェクトの一意識別子(ファイルの場合は拡張子が含まれます) |
ObjectName |
string |
記録されたアクションが適用されたオブジェクトの名前(ファイルの場合は拡張子が含まれます) |
ObjectType |
string |
記録されたアクションが適用されたオブジェクトの種類 (ファイルやフォルダーなど) |
ObjectSize |
int |
オブジェクトのサイズ (バイト単位) |
IsHidden |
bool |
ユーザーがコンテンツを非表示 (True) としてマークしたかどうかを示します (False) |
ActivityId |
guid |
アクティビティ ログの一意識別子 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類 |
SensitiveInfoTypeInfo |
dynamic |
影響を受けた資産で検出されたデータ損失防止の機密情報の種類の詳細 |
SensitivityLabelId |
string |
アイテムに関連付けられている現在の Microsoft Information Protection秘密度ラベル ID |
SharepointSiteSensitivityLabelIds |
string |
SharePoint アクティビティに関連するアイテムの親サイトに割り当てられている現在の Microsoft Information Protection秘密度ラベル ID |
PreviousSensitivityLabelId |
string |
以前の Microsoft Information Protection秘密度ラベルが変更されたアクティビティの場合に、アイテムに関連付けられている秘密度ラベル ID |
Operation |
string |
管理者アクティビティの名前 |
RecipientEmailAddress |
string |
受信者のメール アドレス、または配布リストの展開後の受信者のメール アドレス |
SiteUrl |
string |
ユーザーがアクセスしたファイルまたはフォルダーが配置されているサイトの URL |
SourceRelativeUrl |
string |
ユーザーがアクセスしたファイルを含むフォルダーの URL |
TargetFilePath |
string |
エンドポイント アクティビティのターゲット ファイル パス |
PrinterName |
string |
動作に関係するプリンターの一覧 |
Workload |
string |
イベントが発生した Microsoft 365 サービス |
IrmActionCategory |
enum |
Microsoft Purview インサイダー リスク管理のアクティビティ カテゴリを示す一意の列挙値 |
SequenceCorrelationId |
string |
シーケンス アクティビティの詳細 |
CloudAppAlertId |
string |
Microsoft Defender for Cloud Appsのアラートの一意識別子 |
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。