高度な捜索スキーマの概要
適用対象:
- Microsoft Defender XDR
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度なハンティング スキーマは、イベント情報またはデバイス、アラート、ID、およびその他のエンティティ型に関する情報を提供する複数のテーブルで構成されます。 複数のテーブルにまたがるクエリを効果的にビルドするには、高度な追求スキーマのテーブルと列を理解する必要があります。
スキーマ情報を取得する
クエリを作成するときに、組み込みのスキーマ参照を使用して、スキーマ内の各テーブルに関する次の情報をすばやく取得します。
- テーブルの説明 - テーブルに含まれるデータの種類とそのデータのソース。
- [列] - テーブル内のすべての列。
- アクションの種類 - テーブルで
ActionTypeサポートされているイベントの種類を表す列の値。 この情報は、イベント情報を含むテーブルに対してのみ提供されます。 - サンプル クエリ — テーブルを利用する方法を特徴とするクエリの例。
スキーマ参照にアクセスする
スキーマ参照にすばやくアクセスするには、スキーマ表現のテーブル名の横にある [参照の表示 ] アクションを選択します。 [ スキーマ参照 ] を選択してテーブルを検索することもできます。
![Microsoft Defender ポータルの [高度なハンティング] ページの [スキーマリファレンス] ページ](/ja-jp/defender/media/understand-schema-1.png#lightbox)
スキーマ テーブルについて学習する
次の参照は、スキーマ内のすべてのテーブルを一覧表示します。 各テーブル名は、そのテーブルの列名を説明するページにリンクします。 テーブル名と列名は、高度なハンティング画面のスキーマ表現の一部として、Microsoft Defender XDRにも一覧表示されます。
| テーブル名 | 説明 |
|---|---|
| AADSignInEventsBeta | 対話型サインインと非対話型サインインのMicrosoft Entra |
| AADSpnSignInEventsBeta | Microsoft Entra サービス プリンシパルとマネージド ID サインイン |
| AlertEvidence | アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイス |
| AlertInfo | Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps、Microsoft Defender for Identityからのアラート、重大度情報、脅威の分類を含む |
| BehaviorEntities | Microsoft Defender for Cloud Appsでの動作データ型 |
| BehaviorInfo | Microsoft Defender for Cloud Appsからのアラート |
| CloudAppEvents | Office 365 およびその他のクラウド アプリとサービスのアカウントとオブジェクトに関連するイベント |
| DeviceEvents | Microsoft Defenderウイルス対策やエクスプロイト保護などのセキュリティ コントロールによってトリガーされるイベントを含む、複数のイベントの種類 |
| DeviceFileCertificateInfo | エンドポイント上の証明書検証イベントから取得した署名済みファイルの証明書情報 |
| DeviceFileEvents | ファイルの作成、変更、およびその他のファイル システム イベント |
| DeviceImageLoadEvents | DLL の読み込みイベント |
| DeviceInfo | OS 情報を含むマシン情報 |
| DeviceLogonEvents | サインインおよびデバイス上のその他のイベント |
| DeviceNetworkEvents | ネットワーク接続と関連イベント |
| DeviceNetworkInfo | 物理アダプタ、IP アドレス、MAC アドレス、および接続されたネットワークとドメインなど、デバイスのネットワーク プロパティ |
| DeviceProcessEvents | プロセスの作成と関連イベント |
| DeviceRegistryEvents | レジストリ エントリの作成と変更 |
| DeviceTvmHardwareFirmware | Defender 脆弱性管理によってチェックされたデバイスのハードウェアとファームウェアの情報 |
| DeviceTvmInfoGathering | 構成と攻撃領域の状態を含む Defender 脆弱性管理評価イベント |
| DeviceTvmInfoGatheringKB | テーブルに収集された評価イベントの DeviceTvmInfogathering メタデータ |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender 脆弱性の管理評価イベント。デバイス上のさまざまなセキュリティ構成の状態を示します |
| DeviceTvmSecureConfigurationAssessmentKB | デバイスを評価するためにMicrosoft Defender 脆弱性の管理によって使用されるさまざまなセキュリティ構成のナレッジ ベース。さまざまな標準とベンチマークへのマッピングが含まれます |
| DeviceTvmSoftwareEvidenceBeta | デバイスで特定のソフトウェアが検出された場所に関する証拠情報 |
| DeviceTvmSoftwareInventory | デバイスにインストールされているソフトウェアのインベントリ (バージョン情報とサポート終了の状態を含む) |
| DeviceTvmSoftwareVulnerabilities | デバイスで見つかったソフトウェアの脆弱性と、各脆弱性に対処する利用可能なセキュリティ更新プログラムの一覧 |
| DeviceTvmSoftwareVulnerabilitiesKB | 悪用コードが公開されているかどうかなど、公開されている脆弱性のサポート技術情報 |
| EmailAttachmentInfo | メールに添付されたファイルに関する情報 |
| EmailEvents | メールの配信やブロック イベントなど、Microsoft 365 のメール イベント |
| EmailPostDeliveryEvents | Microsoft 365 が受信者メールボックスに電子メールを配信した後に配信後に発生するセキュリティ イベント |
| EmailUrlInfo | メールの URL に関する情報 |
| ExposureGraphEdges | Microsoft Security Exposure Management の露出グラフエッジ情報により、グラフ内のエンティティと資産間の関係が可視化されます |
| ExposureGraphNodes | 組織のエンティティとそのプロパティに関する Microsoft Security Exposure Management 露出グラフ ノード情報 |
| IdentityDirectoryEvents | Active Directory (AD) を実行しているオンプレミス ドメイン コントローラーに関連するイベント。 このテーブルでは、ドメイン コントローラー上の ID 関連のイベントとシステム イベントの範囲を説明しています。 |
| IdentityInfo | Microsoft Entra IDを含むさまざまなソースからのアカウント情報 |
| IdentityLogonEvents | Active Directory および Microsoft オンライン サービスでの認証イベント |
| IdentityQueryEvents | ユーザー、グループ、デバイス、ドメインなどの Active Directory オブジェクトのクエリ |
| UrlClickEvents | メール メッセージ、Teams、Office 365 アプリからの安全なリンクのクリック |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示