高度な捜索スキーマの概要Understand the advanced hunting schema

重要

Microsoft Threat Protection の新しい名前である Microsoft 365 Defender へようこそ。Welcome to Microsoft 365 Defender , the new name for Microsoft Threat Protection. Microsoft 365 Defender と他の更新プログラムに関する詳細情報は、こちら をご覧ください。Read more about this and other updates here.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

重要

一部の情報は、市販される前に大幅に変更される可能性がある prereleased 製品に関連しています。Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft makes no warranties, express or implied, with respect to the information provided here.Microsoft makes no warranties, express or implied, with respect to the information provided here.

高度な検索スキーマは、デバイス、アラート、id、およびその他のエンティティの種類に関するイベント情報または情報を提供する複数のテーブルで構成されています。The advanced hunting schema is made up of multiple tables that provide either event information or information about devices, alerts, identities, and other entity types. 複数のテーブルにまたがるクエリを効果的に構築するには、高度な捜索スキーマのテーブルと列を理解する必要があります。To effectively build queries that span multiple tables, you need to understand the tables and the columns in the advanced hunting schema.

セキュリティセンターでスキーマ情報を取得するGet schema information in the security center

クエリを作成する際には、組み込みスキーマ参照を使用して、スキーマ内の各テーブルに関する以下の情報をすばやく取得します。While constructing queries, use the built-in schema reference to quickly get the following information about each table in the schema:

  • [テーブルの説明]: テーブルに格納されているデータの種類と、そのデータのソース。Tables description—type of data contained in the table and the source of that data.
  • -表のすべての列。Columns—all the columns in the table.
  • アクションの種類-列で、 ActionType テーブルでサポートされているイベントの種類を表す値を指定できます。Action types—possible values in the ActionType column representing the event types supported by the table. この情報は、イベント情報を含むテーブルに対してのみ表示されます。This information is provided only for tables that contain event information.
  • サンプルクエリ-テーブルを使用する方法を示すクエリの例です。Sample query—example queries that feature how the table can be utilized.

スキーマリファレンスにアクセスするAccess the schema reference

スキーマ参照にすばやくアクセスするには、スキーマ表現のテーブル名の横にある [ 参照の表示 ] アクションを選択します。To quickly access the schema reference, select the View reference action next to the table name in the schema representation. [ スキーマ参照 ] を選択して、テーブルを検索することもできます。You can also select Schema reference to search for a table.

ポータル内スキーマリファレンスへのアクセス方法を示す画像Image showing how to access in-portal schema reference

スキーマテーブルについてLearn the schema tables

次の参照は、スキーマ内のすべてのテーブルを一覧表示します。The following reference lists all the tables in the schema. 各テーブル名は、そのテーブルの列名を説明するページにリンクします。Each table name links to a page describing the column names for that table. 詳細な検索画面のスキーマ表現の一部として、テーブルと列の名前もセキュリティセンターに表示されます。Table and column names are also listed in the security center as part of the schema representation on the advanced hunting screen.

テーブル名Table name 説明Description
AlertEvidenceAlertEvidence アラートに関連付けられているファイル、IP アドレス、Url、ユーザー、またはデバイスFiles, IP addresses, URLs, users, or devices associated with alerts
AlertInfoAlertInfo エンドポイントに関する Microsoft Defender、Microsoft Defender for Office 365、Microsoft Cloud App Security、および Id (重要度情報や脅威の分類を含む) に関する microsoft defender からの通知Alerts from Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity, including severity information and threat categorization
AppFileEventsAppFileEvents クラウドアプリとサービスのファイル関連アクティビティFile-related activities in cloud apps and services
CloudAppEventsCloudAppEvents Office 365 のアカウントとオブジェクトに関連するイベントとその他のクラウドアプリおよびサービスEvents involving accounts and objects in Office 365 and other cloud apps and services
DeviceEventsDeviceEvents Windows Defender ウイルス対策や Exploit Protection などのセキュリティ制御によりトリガーされたイベントを含むさまざまな種類のイベント Multiple event types, including events triggered by security controls such as Windows Defender Antivirus and exploit protection
DeviceFileCertificateInfoDeviceFileCertificateInfo エンドポイントの証明書検証イベントから取得された署名済みファイルの証明書情報Certificate information of signed files obtained from certificate verification events on endpoints
DeviceFileEventsDeviceFileEvents ファイルの作成、変更、およびその他のファイル システム イベントFile creation, modification, and other file system events
DeviceImageLoadEventsDeviceImageLoadEvents DLL の読み込みイベントDLL loading events
DeviceInfoDeviceInfo OS 情報を含むマシン情報Machine information, including OS information
DeviceLogonEventsDeviceLogonEvents デバイス上のサインインとその他の認証イベントSign-ins and other authentication events on devices
DeviceNetworkEventsDeviceNetworkEvents ネットワーク接続と関連イベントNetwork connection and related events
DeviceNetworkInfoDeviceNetworkInfo 物理アダプター、IP アドレス、MAC アドレス、および接続されたネットワークとドメインを含むデバイスのネットワークプロパティNetwork properties of devices, including physical adapters, IP and MAC addresses, as well as connected networks and domains
DeviceProcessEventsDeviceProcessEvents プロセスの作成と関連イベントProcess creation and related events
DeviceRegistryEventsDeviceRegistryEvents レジストリ エントリの作成と変更Creation and modification of registry entries
DeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessment デバイス上のさまざまなセキュリティ構成の状態を示す脅威および脆弱性管理の評価イベントThreat & Vulnerability Management assessment events, indicating the status of various security configurations on devices
DeviceTvmSecureConfigurationAssessmentKBDeviceTvmSecureConfigurationAssessmentKB 脅威および脆弱性管理によってデバイスを評価するために使用されるさまざまなセキュリティ構成に関するサポート技術情報 (さまざまな標準およびベンチマークへのマッピングを含む) Knowledge base of various security configurations used by Threat & Vulnerability Management to assess devices; includes mappings to various standards and benchmarks
DeviceTvmSoftwareInventoryVulnerabilitiesDeviceTvmSoftwareInventoryVulnerabilities デバイス上のソフトウェアのインベントリと、これらのソフトウェア製品の既知の脆弱性Inventory of software on devices and any known vulnerabilities in these software products
DeviceTvmSoftwareVulnerabilitiesKBDeviceTvmSoftwareVulnerabilitiesKB 悪用コードが公開されているかどうかなど、公開されている脆弱性のサポート技術情報Knowledge base of publicly disclosed vulnerabilities, including whether exploit code is publicly available
EmailAttachmentInfoEmailAttachmentInfo 電子メールに添付されたファイルに関する情報Information about files attached to emails
EmailEventsEmailEvents Microsoft 365 の電子メールイベント (電子メール配信およびブロックイベントを含む)Microsoft 365 email events, including email delivery and blocking events
EmailPostDeliveryEventsEmailPostDeliveryEvents Microsoft 365 がメールを受信者のメールボックスに配信した後の、配信後に発生するセキュリティイベントSecurity events that occur post-delivery, after Microsoft 365 has delivered the emails to the recipient mailbox
EmailUrlInfoEmailUrlInfo メールの Url に関する情報Information about URLs on emails
IdentityDirectoryEventsIdentityDirectoryEvents Active Directory (AD) を実行しているオンプレミスのドメインコントローラーに関係するイベント。Events involving an on-premises domain controller running Active Directory (AD). この表は、ドメインコントローラーの id 関連イベントとシステムイベントの範囲を示しています。This table covers a range of identity-related events and system events on the domain controller.
IdentityInfoIdentityInfo Azure Active Directory を含む、さまざまなソースからのアカウント情報Account information from various sources, including Azure Active Directory
IdentityLogonEventsIdentityLogonEvents Active Directory と Microsoft online services の認証イベントAuthentication events on Active Directory and Microsoft online services
IdentityQueryEventsIdentityQueryEvents ユーザー、グループ、デバイス、ドメインなどの Active Directory オブジェクトに対するクエリQueries for Active Directory objects, such as users, groups, devices, and domains