AlertEvidence
アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイスが含まれます。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | - |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | SecurityInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | はい |
列
| Column | Type | 説明 |
|---|---|---|
| AccountDomain | string | アカウントのドメイン。 |
| AccountName | string | アカウントのユーザー名。 |
| AccountObjectId | string | Azure Active Directory のアカウントの一意識別子。 |
| AccountSid | string | アカウントのセキュリティ識別子 (SID)。 |
| AccountUpn | string | アカウントのユーザー プリンシパル名 (UPN)。 |
| AdditionalFields | 動的 | JSON 配列形式のイベントに関する追加情報。 |
| AlertId | string | アラートの一意識別子。 |
| Application | string | 記録されたアクションを実行したアプリケーション。 |
| ApplicationId | INT | アプリケーションの一意識別子。 |
| AttackTechniques | string | MITRE ATT&アラートをトリガーしたアクティビティに関連付けられている CK 手法です。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| Categories | string | 情報が属するカテゴリの一覧 (JSON 配列形式)。 |
| DetectionSource | string | 注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 |
| deviceId | string | サービス内のデバイスの一意識別子。 |
| DeviceName | string | マシンの完全修飾ドメイン名 (FQDN)。 |
| EmailSubject | string | メールの件名。 |
| EntityType | string | ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類。 |
| EvidenceDirection | string | エンティティがネットワーク接続のソースか宛先かを示します。 |
| EvidenceRole | string | エンティティがアラートにどのように関与しているか。影響を受けたか、それとも単に関連しているかを示します。 |
| FileName | string | 記録されたアクションが適用されたファイルの名前。 |
| FileSize | long | ファイルのサイズ (バイト単位)。 |
| FolderPath | string | 記録されたアクションが適用されたファイルを含むフォルダー。 |
| _IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| LocalIP | string | 通信中に使用されるローカル デバイスに割り当てられた IP アドレス。 |
| NetworkMessageId | string | Office 365によって生成される電子メールの一意識別子。 |
| OAuthApplicationId | string | サードパーティの OAuth アプリケーションの一意識別子。 |
| ProcessCommandLine | string | 新しいプロセスの作成に使用されるコマンド ライン。 |
| RegistryKey | string | 記録されたアクションが適用されたレジストリ キー。 |
| RegistryValueData | string | 記録されたアクションが適用されたレジストリ値のデータ。 |
| RegistryValueName | string | 記録されたアクションが適用されたレジストリ値の名前。 |
| RemoteIP | string | 接続されていた IP アドレス。 |
| RemoteUrl | string | 接続されていた URL または完全修飾ドメイン名 (FQDN)。 |
| ServiceSource | string | アラート情報を提供した製品またはサービス。 |
| SHA1 | string | 記録されたアクションが適用されたファイルの SHA-1。 |
| SHA256 | string | 記録されたアクションが適用されたファイルの SHA-256。 このフィールドは通常設定されません。使用可能な場合は SHA1 列を使用します。 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| TenantId | string | Log Analytics ワークスペース ID |
| ThreatFamily | string | 疑わしいファイルまたは悪意のあるファイルまたはプロセスが分類されているマルウェア ファミリ。 |
| TimeGenerated | DATETIME | レコードが生成された日時 (UTC)。 |
| タイトル | string | アラートのタイトル。 |
| Type | string | テーブルの名前 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示