次の方法で共有

MDECustomCollectionDeviceFileEvents

この表は、カスタム コレクション シナリオの Microsoft Defender for Endpoints の一部です。 このテーブルには、顧客がコレクションのために明示的に要求したあらゆるファイルの作成、変更、およびその他のファイル システム イベントが含まれています。

テーブル属性

属性 価値
リソースの種類 -
Categories (カテゴリ) セキュリティ
ソリューション ログ管理
基本的なログ イエス
インジェスト時の変換 いいえ
サンプル クエリ -

タイプ 説明
アクションタイプ ひも イベントをトリガーしたアクティビティの種類。
AdditionalFields ダイナミック エンティティまたはイベントに関する追加情報。
AppGuardContainerId ひも ブラウザー アクティビティを分離するために Application Guard によって使用される仮想化コンテナーの識別子。
_請求額サイズ real レコード サイズ (バイト単位)
デバイスID ひも サービス内のデバイスのユニークな識別子。
デバイス名 ひも デバイスの完全修飾ドメイン名 (FQDN)。
ファイル名 ひも 記録されたアクションが適用されたファイルの名前。
ファイルの発信元IP ひも ファイルのダウンロード先の IP アドレス。
ファイル元参照URL ひも ダウンロードしたファイルにリンクする Web ページの URL。
ファイル元URL ひも ファイルのダウンロード先の URL。
ファイルサイズ 長い ファイルのサイズ (バイト単位)。
フォルダーパス ひも 記録されたアクションが適用されたファイルを含むフォルダー。
イニットプロセスアカウントドメイン ひも イベントを担当するプロセスを実行したアカウントのドメイン。
InitProcessAccountName ひも イベントを担当するプロセスを実行したアカウントのユーザー名。
InitProcessAccountObjectId ひも イベントを担当するプロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。
InitProcessAccountSid ひも イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)。
InitProcessAccountUpn ひも イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。
InitProcessCommandLine(初期プロセスコマンドライン) ひも イベントを開始したプロセスを実行するために使用されるコマンド ライン。
InitProcessCreationTime datetime イベントを開始したプロセスが開始された日時。
InitProcessFileName ひも イベントを開始したプロセスの名前。
InitProcessFileSize 長い イベントを開始したプロセス (イメージ ファイル) のサイズ (バイト単位)。
InitProcessFolderPath ひも イベントを開始したプロセス (イメージ ファイル) を含むフォルダー。
InitProcessId 長い イベントを開始したプロセスのプロセス ID (PID)。
InitProcessIntegrityLevel ひも イベントを開始したプロセスの整合性レベル。 Windows では、インターネット ダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。
InitProcessMD5 ひも イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ。
InitProcessParentCreationTime DATETIME イベントを担当するプロセスの親が開始された日時。
InitProcessParentFileName ひも イベントを担当するプロセスを生成した親プロセスの名前。
InitProcessParentId 長い イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)。
InitProcessSHA1 ひも イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ。
InitProcessSHA256 ひも イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 通常、このフィールドは設定されません。使用可能な場合は SHA1 列を使用します。
InitProcessTokenElevation ひも イベントを開始したプロセスに適用されるユーザー アクセス制御 (UAC) 特権昇格の有無を示すトークンの種類。
InitProcessVersionInfoCompanyName ひも イベントを担当するプロセス (イメージ ファイル) のバージョン情報の会社名。
InitProcessVersionInfoFileDescription ひも イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明。
InitProcessVersionInfoInternalFileName ひも イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名。
InitProcessVersionInfoOriginalFileName ひも イベントを担当するプロセス (イメージ ファイル) のバージョン情報の元のファイル名。
InitProcessVersionInfoProductName ひも イベントを担当するプロセス (イメージ ファイル) のバージョン情報の製品名。
InitProcessVersionInfoProductVersion ひも イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン。
Azure情報保護が適用されているか ブール (bool) ファイルが Azure Information Protection によって暗号化されているかどうかを示します。
_IsBillable // 請求可能かどうかを示す ひも データの取り込みが課金されるかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
MachineGroup ひも マシンのコンピューター グループ。 このグループは、マシンへのアクセスを決定するためにロールベースのアクセス制御によって使用されます。
MD5 ひも 記録されたアクションが適用されたファイルの MD5 ハッシュ。
前のファイル名 ひも アクションの結果として名前が変更されたファイルの元の名前。
以前のフォルダパス ひも 記録されたアクションが適用される前のファイルを含む元のフォルダー。
ReportId 長い 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。
アカウントドメインのリクエスト ひも アクティビティをリモートで開始するために使用されるアカウントのドメイン。
アカウント名を要求 ひも アクティビティをリモートで開始するために使用されるアカウントのユーザー名。
アカウントSIDを要求する ひも アクティビティをリモートで開始するために使用されるアカウントのセキュリティ識別子 (SID)。
リクエストプロトコル ひも ネットワーク プロトコル (該当する場合) は、アクティビティの開始に使用されます(不明、ローカル、SMB、NFS)。
RequestSourceIP (リクエスト元IP) ひも アクティビティを開始したリモート デバイスの IPv4 または IPv6 アドレス。
リクエストソースポート (RequestSourcePort) 整数 (int) アクティビティを開始したリモート デバイス上のソース ポート。
感度ラベル ひも 電子メール、ファイル、またはその他のコンテンツに適用され、情報保護のために分類されるラベル。
SensitivitySubLabel ひも サブラベルは、電子メール、ファイル、またはその他のコンテンツに適用され、情報保護のために分類されます。秘密度サブラベルは秘密度ラベルの下にグループ化されますが、個別に扱われます。
SHA1 ひも 記録されたアクションが適用されたファイルの SHA-1 ハッシュ。
SHA256 ひも 記録されたアクションが適用されたファイルの SHA-256。
ShareName ひも ファイルを含む共有フォルダーの名前。
SourceSystem ひも イベントを収集したエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
テナントID ひも Log Analytics のワークスペースID
タイムジェネレイテッド datetime エンドポイント上の MDE エージェントによってイベントが記録された日時。
タイプ ひも テーブルの名前