| ActingProcessCommandLine (アクティングプロセスコマンドライン) |
ひも |
実行プロセスを実行するために使用するコマンド ライン。 |
| アクティングプロセスガイド |
ひも |
実行中のプロセスの生成されたユニーク識別子(GUID)。 |
| ActingProcessId |
ひも |
実行プロセスのプロセス ID (PID)。 |
| 実行処理名 |
ひも |
演技プロセスの名前。 |
| ActorOriginalUserType (アクター元ユーザータイプ) |
ひも |
レポート デバイスによって提供された元のアクター ユーザーの種類。 |
| アクタースコープ |
ひも |
ActorUserId と ActorUsername が定義されているスコープ (Azure AD テナントなど)。 |
| アクタースコープID |
ひも |
ActorUserId と ActorUsername が定義されているスコープ ID (Azure AD ディレクトリ ID など)。 |
| ActorSessionId (アクターセッションID) |
ひも |
Actor のログイン セッションの一意の ID。 |
| ActorUserAadId (アクター ユーザー AAD ID) |
ひも |
アクターの Azure Active Directory ID。 |
| ActorUserId |
ひも |
コンピューターが読み取り可能な英数字、アクターの一意の表現。 |
| アクターユーザーIDタイプ |
ひも |
ActorUserId フィールドに格納されている ID の種類。 |
| ActorUsername |
ひも |
アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 |
| アクターユーザー名タイプ |
ひも |
ActorUsername フィールドに格納されているユーザー名の種類を指定します。 |
| ActorUserSid |
ひも |
アクターの Windows ユーザー ID (SID)。 |
| アクター利用者タイプ |
ひも |
アクターの種類。 |
| AdditionalFields |
ダイナミック |
ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| DvcAction |
ひも |
Web セッションで実行されるアクション。 |
| DvcDescription |
ひも |
デバイスに関連付けられる説明のテキスト。 |
| DvcDomain |
ひも |
イベントを報告するデバイスのドメイン。 |
| Dvcドメインタイプ |
ひも |
DvcDomain の種類。 有効な値には、"Windows" と "FQDN" が含まれます。 |
| DvcFQDN |
ひも |
イベントが発生した、またはイベントを報告したデバイスのホスト名。 |
| Dvcホスト名 |
ひも |
イベントを報告するデバイスのホスト名。 |
| DvcId |
ひも |
イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。 |
| DvcIdType |
ひも |
DvcId の種類。 |
| DvcInterface |
ひも |
レポート デバイスによって提供された元の DvcAction。 |
| DvcIpAddr |
ひも |
イベントを報告するデバイスの IP アドレス。 |
| DvcMacAddr |
ひも |
イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 |
| DvcOriginalAction |
ひも |
レポート デバイスによって提供された元の DvcAction。 |
| DvcOs |
ひも |
イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。 |
| DvcOsVersion |
ひも |
イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。 |
| DvcScope |
ひも |
デバイスが属するクラウド プラットフォームの範囲。 DvcScope は、Azure ではサブスクリプション名に、AWS ではアカウント ID にマップされます。 |
| DvcScopeId |
ひも |
デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcZone |
ひも |
イベントが発生した、またはイベントを報告したネットワーク (スキーマによって異なります)。 |
| イベント数 |
整数 (int) |
この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す可能性があるときに使用されます。 |
| イベント終了時間 |
datetime |
イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントメッセージ |
ひも |
一般的なメッセージまたは説明。 |
| イベントの元の結果の詳細 |
ひも |
ソースによって提供される元の結果の詳細。 この値は EventResultDetails を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 |
| EventOriginalSeverity |
ひも |
報告装置によって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
| EventOriginalSubType |
ひも |
元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 たとえば、このフィールドは元の Windows ログオンの種類を格納するために使用されます。 この値は EventSubType を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 |
| EventOriginalType |
ひも |
元のイベントの種類または ID (ソースによって提供されている場合)。 |
| イベントオリジナルUID (EventOriginalUid) |
ひも |
元のレコードの一意の ID (ソースによって提供されている場合)。 |
| イベントオーナー |
ひも |
イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
| EventProduct |
ひも |
イベントを生成している製品。 |
| EventProductVersion |
ひも |
イベントを生成している製品のバージョン。 |
| イベントレポートURL |
ひも |
イベントに関する詳細情報を提供するリソースのためにイベントで提供されたURL。 |
| イベント結果 |
ひも |
イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。 |
| イベント結果の詳細 |
ひも |
HTTP 状態コード。 |
| イベントスキーマ |
ひも |
イベントの正規化先のスキーマ。 各スキーマは、そのスキーマ名を文書化します。 |
| EventSchemaVersion |
ひも |
スキーマのバージョン。 |
| EventSeverity |
ひも |
イベントの重大度。 有効な値は、Informational、Low、Medium、High です。 |
| イベント開始時間 |
datetime |
イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントサブタイプ |
ひも |
イベントの種類の追加説明 (該当する場合)。 |
| イベントタイプ |
ひも |
レコードによって報告される操作。 |
| EventVendor |
ひも |
イベントを生成している製品のベンダー。 |
| ハッシュタイプ |
ひも |
ハッシュ エイリアス フィールドに格納されているハッシュの型。 |
| HTTPユーザーエージェント |
ひも |
HTTP または HTTPS を使用して操作が開始される際に、HTTP ユーザー エージェント ヘッダーが使用されます。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ネットワークアプリケーションプロトコル |
ひも |
操作がリモート システムによって開始されると、接続またはセッションによって使用されるアプリケーション層プロトコル。 |
| _ResourceId(リソース識別子) |
ひも |
レコードが関連付けられているリソースの一意識別子 |
| ルール名 |
ひも |
検査結果に関連付けられたルールの名前または ID。 |
| ルール番号 |
整数 (int) |
検査結果に関連付けられたルールの番号。 |
| SourceSystem |
ひも |
イベントが収集された際に使用されたエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| SrcDescription |
ひも |
デバイスに関連付けられる説明のテキスト。 |
| SrcDeviceType |
ひも |
ソース デバイスの種類。 |
| SrcDomain |
ひも |
ソース デバイスのドメイン。 |
| SrcDomainType |
ひも |
SrcDomain の種類。 |
| SrcDvcId |
ひも |
ソース デバイスの ID。 |
| SrcDvcIdType |
ひも |
SrcDvcId の種類。 |
| SrcDvcScope |
ひも |
デバイスが属するクラウド プラットフォームの範囲。 |
| SrcDvcScopeId |
ひも |
デバイスが属するクラウド プラットフォームのスコープ ID。 |
| SrcFileCreationTime |
datetime |
ソース ファイルが作成された時刻。 |
| SrcFileDirectory |
ひも |
ソース ファイルのフォルダーまたは場所。 |
| SrcFileExtension |
ひも |
ソース ファイルの拡張子。 |
| SrcFileMD5 |
ひも |
ソース ファイルの MD5 ハッシュ。 |
| SrcFileMimeType |
ひも |
ソース ファイルの MIME タイプまたはメディア タイプ。 |
| SrcFileName |
ひも |
パスまたは場所のないソース ファイルの名前。ただし、該当する場合は拡張子が付きます。 |
| SrcFilePath |
ひも |
フォルダーまたは場所、ファイル名、拡張子が含まれる、ソース ファイルの正規化されたフル パス。 |
| SrcFilePathType |
ひも |
SrcFilePath の型。 |
| SrcFileSHA1 |
ひも |
ソース ファイルの SHA-1 ハッシュ。 |
| SrcFileSHA256 |
ひも |
ソース ファイルの SHA-256 ハッシュ。 |
| SrcFileSHA512 |
ひも |
ソース ファイルの SHA-512 ハッシュ。 |
| SrcFileSize |
長い |
ソース ファイルのサイズ (バイト単位)。 |
| SrcFQDN |
ひも |
ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 |
| SrcGeoCity |
ひも |
発信元 IP アドレスに関連付けられている都市。 |
| SrcGeoCountry |
ひも |
発信元 IP アドレスに関連付けられている国。 |
| SrcGeoLatitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
| SrcGeoLongitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の経度。 |
| SrcGeoRegion |
ひも |
発信元 IP アドレスに関連付けられている国内の地域。 |
| SrcHostname |
ひも |
ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 |
| SrcIpAddr |
ひも |
操作がリモート システムによって開始されたときは、このシステムの IP アドレス。 |
| SrcMacAddr |
ひも |
ソース デバイスの MAC アドレス。 |
| SrcOriginalRiskLevel |
ひも |
ソースに関連付けられているリスク レベル。 レポート デバイスによって報告された、またはエンリッチされたもの。 |
| SrcPortNumber |
整数 (int) |
操作がリモート システムによって開始される場合、接続の開始元のポート番号。 |
| SrcRiskLevel |
整数 (int) |
ソースに関連付けられているリスク レベル。 |
| _SubscriptionId(サブスクリプションID) |
ひも |
レコードが紐付けられているサブスクリプションのユニークな識別子 |
| ターゲットアプリID |
ひも |
レポート デバイスによって報告された、ターゲット アプリケーションの ID。 |
| TargetAppName |
ひも |
ターゲット アプリケーションの名前。 |
| ターゲットアプリタイプ |
ひも |
ターゲット アプリケーションの種類。 |
| ターゲットファイル作成時刻 |
datetime |
ターゲット ファイルが作成された時刻。 |
| ターゲットファイルディレクトリ |
ひも |
ターゲット ファイルのフォルダーまたは場所。 |
| TargetFileExtension |
ひも |
ターゲット ファイルの拡張子。 |
| TargetFileMD5 |
ひも |
ターゲット ファイルの MD5 ハッシュ。 |
| ターゲットファイルMIMEタイプ |
ひも |
ターゲット ファイルの MIME またはメディアの種類。 |
| ターゲットファイル名 |
ひも |
パスまたは場所のないターゲット ファイルの名前。ただし、該当する場合は拡張子が付きます。 |
| ターゲットファイルパス |
ひも |
フォルダーまたは場所、ファイル名、拡張子が含まれる、ターゲット ファイルの正規化されたフル パス。 |
| ターゲットファイルパスタイプ |
ひも |
TargetFilePath の型。 |
| TargetFileSHA1 |
ひも |
ターゲット ファイルの SHA-1 ハッシュ。 |
| TargetFileSHA256 |
ひも |
ターゲット ファイルの SHA-256 ハッシュ。 |
| TargetFileSHA512 |
ひも |
ソース ファイルの SHA-512 ハッシュ。 |
| 目標ファイルサイズ |
長い |
ターゲット ファイルのサイズ (バイト単位)。 |
| ターゲット元アプリタイプ |
ひも |
レポート デバイスによって報告されるターゲット アプリケーションの種類。 |
| ターゲットURL |
ひも |
HTTP または HTTPS を使用して操作が開始されているときは、使用されている URL。 |
| テナントID |
ひも |
Log Analytics ワークスペース ID |
| 脅威カテゴリ |
ひも |
ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。 |
| ThreatConfidence |
整数 (int) |
識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatField |
ひも |
脅威が特定されたフィールド。 値は SrcFilePath または DstFilePath です。 |
| ThreatFilePath |
ひも |
脅威が識別されたファイル パス。 ThreatField フィールドには、ThreatFilePath が表すフィールドの名前が含まれています。 |
| 脅威最初報告時間 |
datetime |
IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| 脅威識別子 |
ひも |
ファイル アクティビティで識別された脅威またはマルウェアの ID。 |
| 脅威が活動中です |
ブール |
特定された脅威がアクティブな脅威と見なされる真の ID。 |
| 脅威最後報告時間 |
datetime |
最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatName |
ひも |
ファイル アクティビティで識別された脅威またはマルウェアの名前。 |
| ThreatOriginalConfidence |
ひも |
レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatOriginalRiskLevel |
ひも |
レポート デバイスによって報告されたリスク レベル。 |
| 脅威リスクレベル |
整数 (int) |
識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 |
| タイムジェネレイテッド |
DATETIME |
イベントが生成された時刻を反映するタイムスタンプ。 |
| タイプ |
ひも |
テーブルの名前 |