高度な検索スキーマについてUnderstand the advanced hunting schema

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

エンドポイントの Defender を使用する場合Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

重要

一部の情報はリリース前の製品に関することであり、正式版がリリースされるまでに大幅に変更される可能性があります。Some information relates to prereleased product which may be substantially modified before it's commercially released. ここに記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。Microsoft makes no warranties, express or implied, with respect to the information provided here.

高度な検索スキーマは、イベント情報またはデバイスやその他のエンティティに関する情報を提供する複数のテーブルで構成されています。The advanced hunting schema is made up of multiple tables that provide either event information or information about devices and other entities. 複数のテーブルにわたるクエリを効率的に作成するには、高度な検索スキーマのテーブルと列について理解しておく必要があります。To effectively build queries that span multiple tables, you need to understand the tables and the columns in the advanced hunting schema.

セキュリティセンターでスキーマ情報を取得するGet schema information in the security center

クエリの作成中に、組み込みのスキーマ参照を使って、スキーマの各テーブルに関する次の情報をすばやく取得します。While constructing queries, use the built-in schema reference to quickly get the following information about each table in the schema:

  • テーブルの説明: テーブルとそのデータのソースに含まれるデータの種類。Tables description—type of data contained in the table and the source of that data.
  • : テーブル内のすべての列。Columns—all the columns in the table.
  • アクションの種類: ActionType テーブルでサポートされているイベントの種類を表す列の値を使用できます。Action types—possible values in the ActionType column representing the event types supported by the table. これは、イベント情報が含まれるテーブルに対してのみ提供されます。This is provided only for tables that contain event information.
  • サンプルクエリ: テーブルの使用方法を示すクエリの例です。Sample query—example queries that feature how the table can be utilized.

スキーマ参照にアクセスするAccess the schema reference

スキーマ参照にすばやくアクセスするには、スキーマ表現のテーブル名の横にある [ 参照の表示 ] アクションを選択します。To quickly access the schema reference, select the View reference action next to the table name in the schema representation. [ スキーマ参照 ] を選択して、テーブルを検索することもできます。You can also select Schema reference to search for a table.

ポータルでのスキーマリファレンスへのアクセス方法を示す画像

スキーマテーブルについてLearn the schema tables

次の参照には、高度な検索スキーマのすべてのテーブルが一覧表示されています。The following reference lists all the tables in the advanced hunting schema. 各テーブル名は、そのテーブルの列名を説明するページにリンクされます。Each table name links to a page describing the column names for that table.

テーブル名と列名は、[Microsoft Defender セキュリティセンター] の [高度な検索] 画面のスキーマ表現にも一覧表示されます。Table and column names are also listed within the Microsoft Defender Security Center, in the schema representation on the advanced hunting screen.

テーブル名Table name 説明Description
DeviceAlertEventsDeviceAlertEvents Microsoft Defender セキュリティセンターの警告Alerts on Microsoft Defender Security Center
DeviceInfoDeviceInfo OS 情報を含むデバイス情報Device information, including OS information
DeviceNetworkInfoDeviceNetworkInfo アダプター、IP アドレス、MAC アドレス、接続されているネットワーク、ドメインなど、デバイスのネットワークプロパティNetwork properties of devices, including adapters, IP and MAC addresses, as well as connected networks and domains
DeviceProcessEventsDeviceProcessEvents プロセスの作成と関連イベントProcess creation and related events
DeviceNetworkEventsDeviceNetworkEvents ネットワーク接続と関連イベントNetwork connection and related events
DeviceFileEventsDeviceFileEvents ファイルの作成、変更、その他のファイルシステムイベントFile creation, modification, and other file system events
DeviceRegistryEventsDeviceRegistryEvents レジストリエントリの作成と変更Creation and modification of registry entries
DeviceLogonEventsDeviceLogonEvents [サインインとその他の認証イベント]Sign-ins and other authentication events
DeviceImageLoadEventsDeviceImageLoadEvents DLL 読み込みイベントDLL loading events
DeviceEventsDeviceEvents Microsoft Defender ウイルス対策および exploit protection などのセキュリティコントロールによってトリガーされるイベントを含む、複数のイベントの種類Multiple event types, including events triggered by security controls such as Microsoft Defender Antivirus and exploit protection
DeviceFileCertificateInfoDeviceFileCertificateInfo エンドポイントの証明書確認イベントから取得された署名済みファイルの証明書情報Certificate information of signed files obtained from certificate verification events on endpoints
DeviceTvmSoftwareInventoryVulnerabilitiesDeviceTvmSoftwareInventoryVulnerabilities デバイスのソフトウェアのインベントリ、およびこれらのソフトウェア製品の既知の脆弱性Inventory of software on devices as well as any known vulnerabilities in these software products
DeviceTvmSoftwareVulnerabilitiesKBDeviceTvmSoftwareVulnerabilitiesKB 公開された脆弱性の技術ベース (エクスプロイトコードが公開されているかどうかなど)Knowledge base of publicly disclosed vulnerabilities, including whether exploit code is publicly available
DeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessment 脅威 & 脆弱性管理評価イベント。デバイス上のさまざまなセキュリティ構成の状態を示します。Threat & Vulnerability Management assessment events, indicating the status of various security configurations on devices
DeviceTvmSecureConfigurationAssessmentKBDeviceTvmSecureConfigurationAssessmentKB 脅威 & 脆弱性管理によって使用されるさまざまなセキュリティ構成の知識ベースで、デバイスの評価を行います。さまざまな標準およびベンチマークへのマッピングが含まれていますKnowledge base of various security configurations used by Threat & Vulnerability Management to assess devices; includes mappings to various standards and benchmarks

関連トピックRelated topics