Microsoft Defender for Endpoints (MDE) 動作のテーブル。 動作に関する情報が含まれています。Microsoft 365 Defender のコンテキストでは、1 つ以上の生イベントに基づく結論または分析情報を参照します。これは、アナリストが調査でより多くのコンテキストを提供できます。
テーブル属性
| 特性 |
価値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
安全 |
| ソリューション |
ログ管理 |
| 基本的なログ |
イエス |
| データ取り込み時タイムトランスフォーメーション |
いいえ |
| サンプル クエリ |
- |
列
| コラム |
タイプ |
説明 |
| AccountObjectId(アカウントのオブジェクトID) |
ひも |
Azure AD のアカウントの一意識別子。 |
| AccountUpn |
ひも |
アカウントのユーザー プリンシパル名 (UPN)。 |
| アクションタイプ |
ひも |
イベントをトリガーしたアクティビティの種類。 特定の MITRE ATT&CK 手法に関連付けられています。 |
| AdditionalFields |
ひも |
エンティティまたはイベントに関する追加情報。 |
| 攻撃技術 |
ひも |
アラートをトリガーしたアクティビティに関連付けられている MITRE ATT&CK 手法。 MITRE ATT&CK Matrix for Enterprise によって定義されます。 |
| BehaviorId |
ひも |
動作の一意識別子。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| カテゴリ |
ひも |
アラートによって識別される脅威インジケーターまたは侵害アクティビティの種類。 MITRE ATT&CK Matrix for Enterprise によって定義されます。 |
| データソース |
ひも |
動作に関する情報を提供した製品またはサービス。 |
| 説明 |
ひも |
動作の説明。 |
| 検出元 |
ひも |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 |
| デバイスID |
ひも |
サービス内でデバイスを識別する一意の識別子。 |
| 終了時間 |
datetime |
動作に関連する最後のアクティビティの日時。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データの取り込みが料金の対象になるかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ServiceSource |
ひも |
アラート情報を提供した製品またはサービス。 |
| SourceSystem |
ひも |
イベントを収集したエージェントの種類を示す。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| 開始時間 |
datetime |
動作に関連する最初のアクティビティの日時。 |
| テナント識別子 |
ひも |
Log Analytics のワークスペースID |
| タイムジェネレーテッド |
datetime |
レコードが生成された日時。 |
| タイプ |
ひも |
テーブルの名前 |