DeviceEvents
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
高度なハンティング スキーマ内のその他のデバイス イベントまたはDeviceEvents テーブルには、Microsoft Defenderウイルス対策やエクスプロイト保護など、セキュリティコントロールによってトリガーされるイベントなど、さまざまなイベントの種類に関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
ActionType |
string |
イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください。 |
FileName |
string |
記録されたアクションが適用されたファイルの名前 |
FolderPath |
string |
記録されたアクションが適用されたファイルを含むフォルダー |
SHA1 |
string |
記録されたアクションが適用されたファイルの SHA-1 |
SHA256 |
string |
記録されたアクションが適用されたファイルの SHA-256 このフィールドは通常は入力されません。使用可能な場合は、SHA1 列を使用します。 |
MD5 |
string |
記録されたアクションが適用されたファイルの MD5 ハッシュ |
FileSize |
long |
ファイルのサイズ (バイト単位) |
AccountDomain |
string |
アカウントのドメイン |
AccountName |
string |
アカウントのユーザー名。デバイスがMicrosoft Entra IDに登録されている場合は、代わりにアカウントの Entra ID ユーザー名が表示される可能性があります |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID) |
RemoteUrl |
string |
に接続されていた URL または完全修飾ドメイン名 (FQDN) |
RemoteDeviceName |
string |
影響を受けるデバイスでリモート操作を実行したデバイスの名前。 報告されるイベントに応じて、この名前は完全修飾ドメイン名 (FQDN)、NetBIOS 名、またはドメイン情報のないホスト名です。 |
ProcessId |
long |
新しく作成されたプロセスのプロセス ID (PID) |
ProcessCommandLine |
string |
新しいプロセスの作成に使用されるコマンド ライン |
ProcessCreationTime |
datetime |
プロセスが作成された日付と時刻 |
ProcessTokenElevation |
string |
新しく作成されたプロセスに適用されるトークン昇格の種類を示します。 使用可能な値: TokenElevationTypeLimited (restricted)、TokenElevationTypeDefault (standard)、TokenElevationTypeFull (管理者特権) |
LogonId |
long |
ログオン セッションの識別子。 この識別子は、再起動の間にのみ同じデバイスで一意です。 |
RegistryKey |
string |
記録されたアクションが適用されたレジストリ キー |
RegistryValueName |
string |
記録されたアクションが適用されたレジストリ値の名前 |
RegistryValueData |
string |
記録されたアクションが適用されたレジストリ値のデータ |
RemoteIP |
string |
に接続されていた IP アドレス |
RemotePort |
int |
接続先のリモート デバイス上の TCP ポート |
LocalIP |
string |
通信中に使用されるローカル デバイスに割り当てられた IP アドレス |
LocalPort |
int |
通信中に使用されるローカル デバイス上の TCP ポート |
FileOriginUrl |
string |
ファイルのダウンロード元の URL |
FileOriginIP |
string |
ファイルのダウンロード元の IP アドレス |
InitiatingProcessSHA1 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-1 |
InitiatingProcessSHA256 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-256。 このフィールドは通常は入力されません。使用可能な場合は、SHA1 列を使用します。 |
InitiatingProcessMD5 |
string |
イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ |
InitiatingProcessFileName |
string |
イベントを開始したプロセス ファイルの名前。使用できない場合は、イベントを開始したプロセスの名前が代わりに表示される可能性があります |
InitiatingProcessFileSize |
long |
イベントを担当するプロセスを実行したファイルのサイズ |
InitiatingProcessFolderPath |
string |
イベントを開始したプロセス (イメージ ファイル) を含むフォルダー |
InitiatingProcessId |
long |
イベントを開始したプロセスのプロセス ID (PID) |
InitiatingProcessCommandLine |
string |
イベントを開始したプロセスの実行に使用されるコマンド ライン |
InitiatingProcessCreationTime |
datetime |
イベントを開始したプロセスが開始された日時 |
InitiatingProcessAccountDomain |
string |
イベントを担当するプロセスを実行したアカウントのドメイン |
InitiatingProcessAccountName |
string |
イベントを担当するプロセスを実行したアカウントのユーザー名。デバイスがMicrosoft Entra IDに登録されている場合は、イベントを担当するプロセスを実行したアカウントの Entra ID ユーザー名が代わりに表示される可能性があります |
InitiatingProcessAccountSid |
string |
イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID) |
InitiatingProcessAccountUpn |
string |
イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。デバイスがMicrosoft Entra IDに登録されている場合は、イベントを担当するプロセスを実行したアカウントの Entra ID UPN が代わりに表示される可能性があります |
InitiatingProcessAccountObjectId |
string |
Microsoft Entraイベントを担当するプロセスを実行したユーザー アカウントのオブジェクト ID |
InitiatingProcessVersionInfoCompanyName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの会社名 |
InitiatingProcessVersionInfoProductName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品名 |
InitiatingProcessVersionInfoProductVersion |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン |
InitiatingProcessVersionInfoInternalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名 |
InitiatingProcessVersionInfoOriginalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの元のファイル名 |
InitiatingProcessVersionInfoFileDescription |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明 |
InitiatingProcessParentId |
long |
イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID) |
InitiatingProcessParentFileName |
string |
イベントを担当するプロセスを生成した親プロセスの名前または完全パス |
InitiatingProcessParentCreationTime |
datetime |
イベントを担当するプロセスの親が開始された日時 |
InitiatingProcessLogonId |
long |
イベントを開始したプロセスのログオン セッションの識別子。 この識別子は、再起動の間にのみ同じデバイスで一意です。 |
ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
AppGuardContainerId |
string |
ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子 |
AdditionalFields |
string |
JSON 配列形式のイベントに関する追加情報 |
InitiatingProcessSessionId |
long |
開始プロセスの Windows セッション ID |
IsInitiatingProcessRemoteSession |
bool |
開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します |
InitiatingProcessRemoteSessionDeviceName |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名 |
InitiatingProcessRemoteSessionIP |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス |
CreatedProcessSessionId |
long |
作成されたプロセスの Windows セッション ID |
IsProcessRemoteSession |
bool |
作成されたプロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します |
ProcessRemoteSessionDeviceName |
string |
作成されたプロセスの RDP セッションが開始されたリモート デバイスのデバイス名 |
ProcessRemoteSessionIP |
string |
作成されたプロセスの RDP セッションが開始されたリモート デバイスの IP アドレス |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。