DeviceFileEventsDeviceFileEvents

重要

改善された Microsoft 365 セキュリティ センターがパブリック プレビューで利用できるようになりました。The improved Microsoft 365 security center is now available in public preview. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. セキュリティ チームは、別の製品ポータルに移動することなく、すべてのエンドポイント、メール、製品間の調査、構成、修復を管理できるようになりました。Security teams can now manage all endpoint, email and cross product investigations, configuration and remediation without the need to navigate to separate product portals. 変更点についての詳細情報 はこちらを参照してください。Learn more about what's changed.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

高度 DeviceFileEvents な検索スキーマの には、ファイルの作成、変更、その他のファイル システム イベントに関する情報が含まれている。The DeviceFileEvents table in the advanced hunting schema contains information about file creation, modification, and other file system events. このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。Use this reference to construct queries that return information from this table.

ヒント

テーブルでサポートされるイベントの種類 (値) の詳細については、セキュリティ センターで使用できる組み込みのスキーマ参照 ActionType を使用します。For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。For information on other tables in the advanced hunting schema, see the advanced hunting reference.

列名Column name データ型Data type 説明Description
Timestamp 日付型datetime イベントが記録された日付と時刻Date and time when the event was recorded
DeviceId 文字列string コンピューターの一意識別子Unique identifier for the machine in the service
DeviceName 文字列string コンピューターの完全修飾ドメイン名 (FQDN)Fully qualified domain name (FQDN) of the machine
ActionType 文字列string イベントをトリガーしたアクティビティの種類。Type of activity that triggered the event. 詳細については 、ポータル内スキーマリファレンス を参照してください。See the in-portal schema reference for details
FileName 文字列string 記録されたアクションが適用されたファイルの名前Name of the file that the recorded action was applied to
FolderPath 文字列string 記録されたアクションが適用されたファイルを含むフォルダーFolder containing the file that the recorded action was applied to
SHA1 文字列string 記録されたアクションが適用されたファイルの SHA-1SHA-1 of the file that the recorded action was applied to
SHA256 文字列string 記録されたアクションが適用されたファイルの SHA-256SHA-256 of the file that the recorded action was applied to. このフィールドは通常は入力されません。使用可能な場合は、SHA1 列を使用します。This field is usually not populated — use the SHA1 column when available.
MD5 文字列型string 記録されたアクションが適用されたファイルの MD5 ハッシュMD5 hash of the file that the recorded action was applied to
FileOriginUrl 文字列string ファイルがダウンロードされた URLURL where the file was downloaded from
FileOriginReferrerUrl 文字列string ダウンロードしたファイルにリンクする Web ページの URLURL of the web page that links to the downloaded file
FileOriginIP 文字列string ファイルがダウンロードされた IP アドレスIP address where the file was downloaded from
PreviousFolderPath 文字列string 記録されたアクションが適用される前のファイルを含む元のフォルダーOriginal folder containing the file before the recorded action was applied
PreviousFileName 文字列string アクションの結果として名前が変更されたファイルの元の名前Original name of the file that was renamed as a result of the action
FileSize longlong ファイルのサイズ (バイト単位)Size of the file in bytes
InitiatingProcessAccountDomain 文字列string イベントを担当するプロセスを実行したアカウントのドメインDomain of the account that ran the process responsible for the event
InitiatingProcessAccountName 文字列string イベントを担当するプロセスを実行したアカウントのユーザー名User name of the account that ran the process responsible for the event
InitiatingProcessAccountSid 文字列string イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)Security Identifier (SID) of the account that ran the process responsible for the event
InitiatingProcessAccountUpn 文字列string イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)User principal name (UPN) of the account that ran the process responsible for the event
InitiatingProcessAccountObjectId 文字列string Azure ADを実行したユーザー アカウントのオブジェクト ID を指定します。Azure AD object ID of the user account that ran the process responsible for the event
InitiatingProcessMD5 文字列string イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュMD5 hash of the process (image file) that initiated the event
InitiatingProcessSHA1 文字列string イベントを開始したプロセス (イメージ ファイル) の SHA-1SHA-1 of the process (image file) that initiated the event
InitiatingProcessSHA256 文字列string イベントを開始したプロセス (イメージ ファイル) の SHA-256。SHA-256 of the process (image file) that initiated the event. このフィールドは通常は入力されません。使用可能な場合は、SHA1 列を使用します。This field is usually not populated — use the SHA1 column when available.
InitiatingProcessFolderPath 文字列型string イベントを開始したプロセス (イメージ ファイル) を含むフォルダーFolder containing the process (image file) that initiated the event
InitiatingProcessFileName 文字列string イベントを開始したプロセスの名前Name of the process that initiated the event
InitiatingProcessFileSize longlong イベントを開始したプロセス (イメージ ファイル) のサイズSize of the process (image file) that initiated the event
InitiatingProcessVersionInfoCompanyName 文字列string イベントを担当するプロセスのバージョン情報 (イメージ ファイル) からの会社名Company name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductName 文字列string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品名Product name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoProductVersion 文字列string イベントを担当するプロセスのバージョン情報 (イメージ ファイル) からの製品バージョンProduct version from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoInternalFileName 文字列string イベントを担当するプロセスのバージョン情報 (イメージ ファイル) からの内部ファイル名Internal file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoOriginalFileName 文字列string イベントを担当するプロセスのバージョン情報 (イメージ ファイル) からの元のファイル名Original file name from the version information of the process (image file) responsible for the event
InitiatingProcessVersionInfoFileDescription 文字列string イベントを担当するプロセス (イメージ ファイル) のバージョン情報の説明Description from the version information of the process (image file) responsible for the event
InitiatingProcessId intint イベントを開始したプロセスのプロセス ID (PID)Process ID (PID) of the process that initiated the event
InitiatingProcessCommandLine 文字列string イベントを開始したプロセスの実行に使用されるコマンド ラインCommand line used to run the process that initiated the event
InitiatingProcessCreationTime 日付型datetime イベントを開始したプロセスが開始された日時Date and time when the process that initiated the event was started
InitiatingProcessIntegrityLevel 文字列string イベントを開始したプロセスの整合性レベル。Integrity level of the process that initiated the event. Windows は、インターネットダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルを割り当てる。Windows assigns integrity levels to processes based on certain characteristics, such as if they were launched from an internet download. これらの整合性レベルは、リソースへのアクセス許可に影響を与えますThese integrity levels influence permissions to resources
InitiatingProcessTokenElevation 文字列string イベントを開始したプロセスに適用されるユーザー アクセス制御 (UAC) 特権昇格の有無を示すトークンの種類Token type indicating the presence or absence of User Access Control (UAC) privilege elevation applied to the process that initiated the event
InitiatingProcessParentId intint イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)Process ID (PID) of the parent process that spawned the process responsible for the event
InitiatingProcessParentFileName 文字列string イベントを担当するプロセスを生成した親プロセスの名前Name of the parent process that spawned the process responsible for the event
InitiatingProcessParentCreationTime 日付型datetime イベントを担当するプロセスの親が開始された日時Date and time when the parent of the process responsible for the event was started
RequestProtocol 文字列string ネットワーク プロトコル (該当する場合) を使用してアクティビティを開始します。不明、ローカル、SMB、または NFSNetwork protocol, if applicable, used to initiate the activity: Unknown, Local, SMB, or NFS
RequestSourceIP 文字列string アクティビティを開始したリモート デバイスの IPv4 または IPv6 アドレスIPv4 or IPv6 address of the remote device that initiated the activity
RequestSourcePort 文字列string アクティビティを開始したリモート デバイスの送信元ポートSource port on the remote device that initiated the activity
RequestAccountName 文字列string アクティビティをリモートで開始するために使用されるアカウントのユーザー名User name of account used to remotely initiate the activity
RequestAccountDomain 文字列string アクティビティをリモートで開始するために使用されるアカウントのドメインDomain of the account used to remotely initiate the activity
RequestAccountSid 文字列string アクティビティをリモートで開始するために使用されるアカウントのセキュリティ識別子 (SID)Security Identifier (SID) of the account used to remotely initiate the activity
ShareName 文字列string ファイルを含む共有フォルダーの名前Name of shared folder containing the file
InitiatingProcessFileSize longlong イベントの処理を実行したファイルのサイズSize of the file that ran the process responsible for the event
SensitivityLabel 文字列string 電子メール、ファイル、または他のコンテンツに適用されるラベルを情報保護のために分類するLabel applied to an email, file, or other content to classify it for information protection
SensitivitySubLabel 文字列string 電子メール、ファイル、または他のコンテンツに適用されるサブラベルを、情報保護のために分類します。感度サブラベルは、感度ラベルの下でグループ化されますが、個別に処理されます。Sublabel applied to an email, file, or other content to classify it for information protection; sensitivity sublabels are grouped under sensitivity labels but are treated independently
IsAzureInfoProtectionApplied booleanboolean ファイルが Azure Information Protection によって暗号化されているかどうかを示します。Indicates whether the file is encrypted by Azure Information Protection
ReportId longlong 繰り返しカウンターに基づくイベント識別子。Event identifier based on a repeating counter. 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。To identify unique events, this column must be used in conjunction with the DeviceName and Timestamp columns.
AppGuardContainerId 文字列string ブラウザーのアクティビティを分離するために Application Guard が使用する仮想化コンテナーの識別子Identifier for the virtualized container used by Application Guard to isolate browser activity
AdditionalFields 文字列string エンティティまたはイベントに関する追加情報Additional information about the entity or event

注意

ファイル ハッシュ情報は、利用可能なときに常に表示されます。File hash information will always be shown when it is available. ただし、SHA1、SHA256、または MD5 を計算できない理由はいくつか考えられる。However, there are several possible reasons why a SHA1, SHA256, or MD5 cannot be calculated. たとえば、ファイルがリモート ストレージに置かれているか、別のプロセスによってロックされている、圧縮されている、または仮想としてマークされている可能性があります。For instance, the file might be located in remote storage, locked by another process, compressed, or marked as virtual. これらのシナリオでは、ファイル ハッシュ情報は空に表示されます。In these scenarios, the file hash information appears empty.