Microsoft Defender for Endpoints (MDE) 動作のテーブル。 検出された脅威など、動作または観察に関係するエンティティ (ファイル、プロセス、デバイス、ユーザーなど) に関する情報が含まれています。
テーブル属性
| 特性 |
価値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
安全 |
| ソリューション |
ログ管理 |
| 基本的なログ |
イエス |
| 取り込み時点変換 |
いいえ |
| サンプル クエリ |
- |
列
| コラム |
タイプ |
説明 |
| アカウントドメイン |
ひも |
アカウントのドメイン。 |
| アカウント名 |
ひも |
アカウントのユーザー名。 |
| AccountObjectId |
ひも |
Azure AD のアカウントの一意識別子。 |
| AccountSid |
ひも |
アカウントのセキュリティ識別子 (SID)。 |
| AccountUpn |
ひも |
アカウントのユーザー プリンシパル名 (UPN)。 |
| アクションタイプ |
ひも |
イベントをトリガーしたアクティビティの種類。 特定の MITRE ATT&CK 手法に関連付けられています。 |
| AdditionalFields |
ひも |
エンティティまたはイベントに関する追加情報。 |
| アプリケーション |
ひも |
記録されたアクションを実行したアプリケーション。 |
| ApplicationId |
ひも |
アプリケーションの一意識別子。 |
| BehaviorId |
ひも |
動作の一意識別子。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| カテゴリ |
ひも |
アラートによって識別される脅威インジケーターまたは侵害アクティビティの種類。 MITRE ATT&CK Matrix for Enterprise によって定義されます。 |
| データソース |
ひも |
動作に関する情報を提供した製品またはサービス。 |
| DetailedEntityRole |
ひも |
動作におけるエンティティのロール |
| 検出元 |
ひも |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 |
| デバイスID |
ひも |
サービス内のデバイスの一意識別子。 |
| デバイス名 |
ひも |
デバイスの完全修飾ドメイン名 (FQDN)。 |
| EmailClusterId (メールクラスターID) |
ひも |
コンテンツのヒューリスティック分析に基づいてクラスター化された類似する電子メールのグループの識別子。 |
| メール件名 |
ひも |
メールの件名。 |
| EntityRole |
ひも |
エンティティが影響を受けたか、関連しているだけかを示します。 |
| エンティティタイプ |
ひも |
ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類。 |
| ファイル名 |
ひも |
アラートに含まれるファイルの名前。 EntityType が "ファイル" または "プロセス" でない場合は空です。 |
| ファイルサイズ |
long |
ファイルのサイズ (バイト単位)。 EntityType が "ファイル" または "プロセス" でない場合は空です |
| フォルダパス |
ひも |
ファイルを含むフォルダー。 EntityType が "ファイル" または "プロセス" でない場合は空です。 |
| _IsBillable |
ひも |
データの取り込みが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ローカルIP |
ひも |
通信中に使用されるローカル コンピューターに割り当てられた IP アドレス。 |
| ネットワークメッセージID |
ひも |
Office 365 によって生成される、UUID 形式の電子メールの一意識別子。 |
| OAuthApplicationId |
ひも |
UUID 形式のサード パーティの OAuth アプリケーションの一意識別子。 |
| ProcessCommandLine |
ひも |
新しいプロセスを作成するために使用されるコマンド ライン。 |
| レジストリキー |
ひも |
記録されたアクションが適用されたレジストリ キー。 |
| レジストリ値データ |
ひも |
記録されたアクションが適用されたレジストリ 値のデータ。 |
| レジストリ値名 |
ひも |
記録されたアクションが適用されたレジストリ 値の名前。 |
| リモートIPアドレス |
ひも |
接続されていた先の IP アドレス。 |
| リモートURL |
ひも |
接続されていた先の URL または完全修飾ドメイン名 (FQDN)。 |
| ServiceSource |
ひも |
アラート情報を提供した製品またはサービス。 |
| SHA1 |
ひも |
ファイルの SHA-1 ハッシュ。 EntityType が "ファイル" または "プロセス" でない場合は空です。 |
| SHA256 |
ひも |
ファイルの SHA-256。 EntityType が "ファイル" または "プロセス" でない場合は空です。 |
| SourceSystem |
ひも |
イベントを収集したエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| テナント識別子 |
ひも |
Log Analytics ワークスペース ID |
| ThreatFamily |
ひも |
疑わしいまたは悪意のあるファイルまたはプロセスが分類されているマルウェア ファミリ。 |
| タイムジェネレーテッド |
datetime |
レコードが生成された日付と時刻。 |
| タイプ |
ひも |
テーブルの名前 |