MDECustomCollectionDeviceFileEvents
この表は、カスタム コレクション シナリオのエンドポイントのMicrosoft Defenderの一部です。 このテーブルには、顧客がコレクション用に明示的に要求したものに対するファイルの作成、変更、およびその他のファイル システム イベントが含まれています。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | - |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | LogManagement |
| 基本的なログ | いいえ |
| インジェスト時間変換 | いいえ |
| サンプル クエリ | - |
列
| Column | Type | 説明 |
|---|---|---|
| ActionType | string | イベントをトリガーしたアクティビティの種類。 |
| AdditionalFields | 動的 | エンティティまたはイベントに関する追加情報。 |
| AppGuardContainerId | string | ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| deviceId | string | サービス内のデバイスの一意識別子。 |
| DeviceName | string | デバイスの完全修飾ドメイン名 (FQDN)。 |
| FileName | string | 記録されたアクションが適用されたファイルの名前。 |
| FileOriginIP | string | ファイルのダウンロード元の IP アドレス。 |
| FileOriginReferrerUrl | string | ダウンロードしたファイルにリンクする Web ページの URL。 |
| FileOriginUrl | string | ファイルのダウンロード元の URL。 |
| FileSize | long | ファイルのサイズ (バイト単位)。 |
| FolderPath | string | 記録されたアクションが適用されたファイルを含むフォルダー。 |
| InitProcessAccountDomain | string | イベントを担当するプロセスを実行したアカウントのドメイン。 |
| InitProcessAccountName | string | イベントを担当するプロセスを実行したアカウントのユーザー名。 |
| InitProcessAccountObjectId | string | イベントを担当するプロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。 |
| InitProcessAccountSid | string | イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)。 |
| InitProcessAccountUpn | string | イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。 |
| InitProcessCommandLine | string | イベントを開始したプロセスを実行するために使用されるコマンド ライン。 |
| InitProcessCreationTime | DATETIME | イベントを開始したプロセスが開始された日時。 |
| InitProcessFileName | string | イベントを開始したプロセスの名前。 |
| InitProcessFileSize | long | イベントを開始したプロセス (イメージ ファイル) のサイズ (バイト単位)。 |
| InitProcessFolderPath | string | イベントを開始したプロセス (イメージ ファイル) を含むフォルダー。 |
| InitProcessId | long | イベントを開始したプロセスのプロセス ID (PID)。 |
| InitProcessIntegrityLevel | string | イベントを開始したプロセスの整合性レベル。 Windows は、インターネットダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルを割り当てます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。 |
| InitProcessMD5 | string | イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ。 |
| InitProcessParentCreationTime | DATETIME | イベントを担当するプロセスの親が開始された日時。 |
| InitProcessParentFileName | string | イベントを担当するプロセスを生成した親プロセスの名前。 |
| InitProcessParentId | long | イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)。 |
| InitProcessSHA1 | string | イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ。 |
| InitProcessSHA256 | string | イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 このフィールドは通常設定されません。使用可能な場合は SHA1 列を使用します。 |
| InitProcessTokenElevation | string | イベントを開始したプロセスに適用されるユーザー Access Control (UAC) 特権の昇格の有無を示すトークンの種類。 |
| InitProcessVersionInfoCompanyName | string | イベントを担当するプロセス (イメージ ファイル) のバージョン情報の会社名。 |
| InitProcessVersionInfoFileDescription | string | イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明。 |
| InitProcessVersionInfoInternalFileName | string | イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名。 |
| InitProcessVersionInfoOriginalFileName | string | イベントを担当するプロセス (イメージ ファイル) のバージョン情報の元のファイル名。 |
| InitProcessVersionInfoProductName | string | イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品名。 |
| InitProcessVersionInfoProductVersion | string | イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン。 |
| IsAzureInfoProtectionApplied | [bool] | ファイルが Azure Information Protection によって暗号化されているかどうかを示します。 |
| _IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| MachineGroup | string | マシンのマシン グループ。 このグループは、マシンへのアクセスを決定するために、ロールベースのアクセス制御によって使用されます。 |
| MD5 | string | 記録されたアクションが適用されたファイルの MD5 ハッシュ。 |
| PreviousFileName | string | アクションの結果として名前が変更されたファイルの元の名前。 |
| PreviousFolderPath | string | 記録されたアクションが適用される前のファイルを含む元のフォルダー。 |
| ReportId | long | 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。 |
| RequestAccountDomain | string | アクティビティをリモートで開始するために使用されるアカウントのドメイン。 |
| RequestAccountName | string | アクティビティをリモートで開始するために使用されるアカウントのユーザー名。 |
| RequestAccountSid | string | アクティビティをリモートで開始するために使用されるアカウントのセキュリティ識別子 (SID)。 |
| RequestProtocol | string | ネットワーク プロトコル (該当する場合) は、アクティビティの開始に使用されます(不明、ローカル、SMB、NFS)。 |
| RequestSourceIP | string | アクティビティを開始したリモート デバイスの IPv4 または IPv6 アドレス。 |
| RequestSourcePort | INT | アクティビティを開始したリモート デバイス上のソース ポート。 |
| SensitivityLabel | string | 情報保護のために分類するために、電子メール、ファイル、またはその他のコンテンツに適用されるラベル。 |
| SensitivitySubLabel | string | サブラベルは、電子メール、ファイル、またはその他のコンテンツに適用され、情報保護のために分類されます。秘密度サブラベルは秘密度ラベルの下にグループ化されますが、個別に扱われます。 |
| SHA1 | string | 記録されたアクションが適用されたファイルの SHA-1 ハッシュ。 |
| SHA256 | string | 記録されたアクションが適用されたファイルの SHA-256。 |
| ShareName | string | ファイルを含む共有フォルダーの名前。 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| TenantId | string | Log Analytics ワークスペース ID |
| TimeGenerated | DATETIME | エンドポイント上の MDE エージェントによってイベントが記録された日時。 |
| Type | string | テーブルの名前 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示