アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイスが含まれます。
テーブル属性
| 属性 |
価値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ |
| ソリューション |
セキュリティインサイト |
| 基本的なログ |
はい |
| 取り込み時変換 |
はい |
| サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| アカウントドメイン |
ひも |
アカウントのドメイン。 |
| アカウント名 |
ひも |
アカウントのユーザー名。 |
| AccountObjectId(アカウントのオブジェクトID) |
ひも |
Azure Active Directory のアカウントの一意ID。 |
| AccountSid(アカウント識別子) |
ひも |
アカウントのセキュリティ識別子 (SID)。 |
| AccountUpn |
ひも |
アカウントのユーザー プリンシパル名 (UPN) |
| AdditionalFields |
ダイナミック |
JSON 配列形式のイベントに関する追加情報。 |
| AlertId |
ひも |
アラートの一意識別子。 |
| アプリケーション |
ひも |
記録されたアクションを実行したアプリケーション。 |
| ApplicationId |
整数 (int) |
アプリケーションの一意の識別子。 |
| 攻撃技術 |
ひも |
アラートをトリガーしたアクティビティに関連付けられている MITRE ATT&CK 手法。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| カテゴリ |
ひも |
情報が属するカテゴリの一覧 (JSON 配列形式)。 |
| CloudPlatform |
ひも |
リソースが属するクラウド プラットフォームは、Azure、アマゾン ウェブ サービス、または Google Cloud Platform です。 |
| CloudResource |
ひも |
クラウド リソース名。 |
| 検出元 |
ひも |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 |
| デバイスID |
ひも |
サービス内のデバイスの一意識別子。 |
| デバイス名 |
ひも |
マシンの完全修飾ドメイン名 (FQDN)。 |
| メール件名 |
ひも |
メールの件名。 |
| エンティティタイプ |
ひも |
ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類。 |
| EvidenceDirection |
ひも |
エンティティがネットワーク接続のソースか宛先かを示します。 |
| 証拠の役割 |
ひも |
エンティティがアラートに関与する方法。影響を受けたか、単に関連しているかを示します。 |
| ファイル名 |
ひも |
記録されたアクションが適用されたファイルの名前。 |
| ファイルサイズ |
長い |
ファイルのサイズ (バイト単位)。 |
| フォルダパス |
ひも |
記録されたアクションが適用されたファイルを含むフォルダー。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データのインジェストが請求対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ローカルIP |
ひも |
通信中に使用されるローカル デバイスに割り当てられた IP アドレス。 |
| ネットワークメッセージID |
ひも |
Office 365 によって生成された電子メールの一意の識別子。 |
| オーオースアプリケーションアイディー |
ひも |
サード パーティの OAuth アプリケーションの一意識別子。 |
| ProcessCommandLine |
ひも |
新しいプロセスの作成に使用されるコマンド ライン。 |
| リージストリキー |
ひも |
記録されたアクションが適用されたレジストリ キー。 |
| レジストリ値データ |
ひも |
記録されたアクションが適用されたレジストリ値のデータ。 |
| レジストリ値名 |
ひも |
記録されたアクションが適用されたレジストリ値の名前。 |
| リモートIP |
ひも |
接続先の IP アドレス。 |
| リモートURL |
ひも |
接続されていた先の URL または完全修飾ドメイン名 (FQDN)。 |
| ServiceSource |
ひも |
アラート情報を提供した製品またはサービス。 |
| 深刻さ |
ひも |
アラートによって識別される脅威インジケーターまたは侵害アクティビティの潜在的な影響 (高、中、または低) を示します。 |
| SHA1 |
ひも |
記録されたアクションが適用されたファイルの SHA-1。 |
| SHA256 |
ひも |
記録されたアクションが適用されたファイルの SHA-256。 通常、このフィールドには SHA1 列が設定されません。使用可能な場合は、SHA1 列を使用します。 |
| SourceSystem |
ひも |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| テナント識別子 |
ひも |
Log Analytics ワークスペース ID |
| ThreatFamily |
ひも |
疑わしいファイルまたは悪意のあるファイルまたはプロセスが分類されているマルウェア ファミリ。 |
| タイムジェネレイテッド |
datetime |
レコードが生成された日時 (UTC)。 |
| タイトル |
ひも |
アラートのタイトル。 |
| タイプ |
ひも |
テーブルの名前 |