次の方法で共有


高度な捜索スキーマの概要

適用対象:

  • Microsoft Defender XDR

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

高度なハンティング スキーマは、イベント情報またはデバイス、アラート、ID、およびその他のエンティティ型に関する情報を提供する複数のテーブルで構成されます。 複数のテーブルにまたがるクエリを効果的にビルドするには、高度な追求スキーマのテーブルと列を理解する必要があります。

スキーマ情報を取得する

クエリを作成するときに、組み込みのスキーマ参照を使用して、スキーマ内の各テーブルに関する次の情報をすばやく取得します。

  • テーブルの説明 - テーブルに含まれるデータの種類とそのデータのソース。
  • [列] - テーブル内のすべての列。
  • アクションの種類 - テーブルでサポートされているイベントの種類を表す ActionType 列の値。 この情報は、イベント情報を含むテーブルに対してのみ提供されます。
  • サンプル クエリ — テーブルを利用する方法を特徴とするクエリの例。

スキーマ参照にアクセスする

スキーマ参照にすばやくアクセスするには、スキーマ表現のテーブル名の横にある [参照の表示 ] アクションを選択します。 [ スキーマ参照 ] を選択してテーブルを検索することもできます。

Microsoft Defender ポータルの [高度なハンティング] ページの [スキーマリファレンス] ページ

スキーマ テーブルについて学習する

次の参照は、スキーマ内のすべてのテーブルを一覧表示します。 各テーブル名は、そのテーブルの列名を説明するページにリンクします。 テーブル名と列名は、高度なハンティング画面のスキーマ表現の一部として、Microsoft Defender XDRにも一覧表示されます。

テーブル名 説明
AADSignInEventsBeta 対話型サインインと非対話型サインインのMicrosoft Entra
AADSpnSignInEventsBeta Microsoft Entra サービス プリンシパルとマネージド ID サインイン
AlertEvidence アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイス
AlertInfo Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps、Microsoft Defender for Identityからのアラート、重大度情報、脅威の分類を含む
BehaviorEntities (プレビュー) Microsoft Defender for Cloud Appsの動作データ型 (GCC では使用できません)
BehaviorInfo (プレビュー) Microsoft Defender for Cloud Appsからのアラート (GCC では使用できません)
CloudAppEvents Office 365 およびその他のクラウド アプリとサービスのアカウントとオブジェクトに関連するイベント
CloudAuditEvents (プレビュー) organizationのクラウド用Microsoft Defenderによって保護されたさまざまなクラウド プラットフォームのクラウド監査イベント
CloudProcessEvents (プレビュー) organizationのコンテナーのMicrosoft Defenderによって保護されるさまざまなクラウド プラットフォームのクラウド プロセス イベント
DeviceBaselineComplianceAssessment (プレビュー) ベースライン コンプライアンス評価スナップショット。デバイス上のベースライン プロファイルに関連するさまざまなセキュリティ構成の状態を示します
DeviceBaselineComplianceAssessmentKB (プレビュー) ベースライン コンプライアンスによってデバイスを評価するために使用されるさまざまなセキュリティ構成に関する情報
DeviceBaselineComplianceProfiles (プレビュー) デバイス ベースライン コンプライアンスの監視に使用されるベースライン プロファイル
DeviceEvents Microsoft Defenderウイルス対策やエクスプロイト保護などのセキュリティ コントロールによってトリガーされるイベントを含む、複数のイベントの種類
DeviceFileCertificateInfo エンドポイント上の証明書検証イベントから取得した署名済みファイルの証明書情報
DeviceFileEvents ファイルの作成、変更、およびその他のファイル システム イベント
DeviceImageLoadEvents DLL の読み込みイベント
DeviceInfo OS 情報を含むマシン情報
DeviceLogonEvents サインインおよびデバイス上のその他のイベント
DeviceNetworkEvents ネットワーク接続と関連イベント
DeviceNetworkInfo 物理アダプタ、IP アドレス、MAC アドレス、および接続されたネットワークとドメインなど、デバイスのネットワーク プロパティ
DeviceProcessEvents プロセスの作成と関連イベント
DeviceRegistryEvents レジストリ エントリの作成と変更
DeviceTvmBrowserExtensions (プレビュー) Microsoft Defender 脆弱性の管理からデバイスで見つかったブラウザー拡張機能のインストール
DeviceTvmBrowserExtensionsKB (プレビュー) Microsoft Defender 脆弱性の管理ブラウザー拡張機能ページで使用されるブラウザー拡張機能の詳細とアクセス許可情報
DeviceTvmCertificateInfo (プレビュー) Microsoft Defender 脆弱性の管理からのorganization内のデバイスの証明書情報
DeviceTvmHardwareFirmware Defender 脆弱性の管理によってチェックされるデバイスのハードウェアとファームウェアの情報
DeviceTvmInfoGathering 構成と攻撃領域の状態を含むDefender 脆弱性の管理評価イベント
DeviceTvmInfoGatheringKB DeviceTvmInfogathering テーブルで収集された評価イベントのメタデータ
DeviceTvmSecureConfigurationAssessment Microsoft Defender 脆弱性の管理評価イベント。デバイス上のさまざまなセキュリティ構成の状態を示します
DeviceTvmSecureConfigurationAssessmentKB デバイスを評価するためにMicrosoft Defender 脆弱性の管理によって使用されるさまざまなセキュリティ構成のナレッジ ベース。さまざまな標準とベンチマークへのマッピングが含まれます
DeviceTvmSoftwareEvidenceBeta デバイスで特定のソフトウェアが検出された場所に関する証拠情報
DeviceTvmSoftwareInventory デバイスにインストールされているソフトウェアのインベントリ (バージョン情報とサポート終了の状態を含む)
DeviceTvmSoftwareVulnerabilities デバイスで見つかったソフトウェアの脆弱性と、各脆弱性に対処する利用可能なセキュリティ更新プログラムの一覧
DeviceTvmSoftwareVulnerabilitiesKB 悪用コードが公開されているかどうかなど、公開されている脆弱性のサポート技術情報
EmailAttachmentInfo メールに添付されたファイルに関する情報
EmailEvents メールの配信やブロック イベントなど、Microsoft 365 のメール イベント
EmailPostDeliveryEvents Microsoft 365 が受信者メールボックスに電子メールを配信した後に配信後に発生するセキュリティ イベント
EmailUrlInfo メールの URL に関する情報
ExposureGraphEdges Microsoft セキュリティ露出管理露出グラフのエッジ情報を使用すると、グラフ内のエンティティと資産間のリレーションシップを可視化できます
ExposureGraphNodes 組織エンティティとそのプロパティに関する露出グラフ ノード情報のMicrosoft セキュリティ露出管理
IdentityDirectoryEvents Active Directory (AD) を実行しているオンプレミス ドメイン コントローラーに関連するイベント。 このテーブルでは、ドメイン コントローラー上の ID 関連のイベントとシステム イベントの範囲を説明しています。
IdentityInfo Microsoft Entra IDを含むさまざまなソースからのアカウント情報
IdentityLogonEvents Active Directory および Microsoft オンライン サービスでの認証イベント
IdentityQueryEvents ユーザー、グループ、デバイス、ドメインなどの Active Directory オブジェクトのクエリ
UrlClickEvents メール メッセージ、Teams、Office 365 アプリからの安全なリンクのクリック

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。