DeviceProcessEvents
エンドポイント (MDE) デバイス プロセス イベントのMicrosoft Defenderテーブル。 この表には、エンドポイントでのプロセスの作成と関連イベントに関する情報が含まれています。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | - |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | - |
列
Column | Type | 説明 |
---|---|---|
AccountDomain | string | アカウントのドメイン。 |
AccountName | string | アカウントのユーザー名。 |
AccountObjectId | string | Azure AD のアカウントの一意識別子。 |
AccountSid | string | アカウントのセキュリティ識別子 (SID)。 |
AccountUpn | string | アカウントのユーザー プリンシパル名 (UPN)。 |
ActionType | string | イベントをトリガーしたアクティビティの種類。 |
AdditionalFields | 動的 | エンティティまたはイベントに関する追加情報。 |
AppGuardContainerId | string | ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子。 |
_BilledSize | real | レコード サイズ (バイト単位) |
deviceId | string | サービス内のデバイスの一意識別子。 |
DeviceName | string | デバイスの完全修飾ドメイン名 (FQDN)。 |
FileName | string | 記録されたアクションが適用されたファイルの名前。 |
FileSize | long | ファイルのサイズ (バイト単位)。 |
FolderPath | string | 記録されたアクションが適用されたファイルを含むフォルダー。 |
InitiatingProcessAccountDomain | string | イベントを担当するプロセスを実行したアカウントのドメイン。 |
InitiatingProcessAccountName | string | イベントを担当するプロセスを実行したアカウントのユーザー名。 |
InitiatingProcessAccountObjectId | string | イベントを担当するプロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。 |
InitiatingProcessAccountSid | string | イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)。 |
InitiatingProcessAccountUpn | string | イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。 |
InitiatingProcessCommandLine | string | イベントを開始したプロセスを実行するために使用されるコマンド ライン。 |
InitiatingProcessCreationTime | DATETIME | イベントを開始したプロセスが開始された日時。 |
InitiatingProcessFileName | string | イベントを開始したプロセスの名前。 |
InitiatingProcessFileSize | long | イベントを担当するプロセスを実行したファイルのサイズ (バイト)。 |
InitiatingProcessFolderPath | string | イベントを開始したプロセス (イメージ ファイル) を含むフォルダー。 |
InitiatingProcessId | long | イベントを開始したプロセスのプロセス ID (PID)。 |
InitiatingProcessIntegrityLevel | string | イベントを開始したプロセスの整合性レベル。 Windows では、インターネットダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。. |
InitiatingProcessLogonId | long | イベントを開始したプロセスのログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。 |
InitiatingProcessMD5 | string | イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ。 |
InitiatingProcessParentCreationTime | DATETIME | イベントを担当するプロセスの親が開始された日時。 |
InitiatingProcessParentFileName | string | イベントを担当するプロセスを生成した親プロセスの名前。 |
InitiatingProcessParentId | long | イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)。 |
InitiatingProcessSHA1 | string | イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ。 |
InitiatingProcessSHA256 | string | イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 場合によっては、この列が設定されない場合があります。代わりに InitiatingProcessSHA1 列を使用してください。 |
InitiatingProcessSignatureStatus | string | イベントを開始したプロセス (イメージ ファイル) の署名状態に関する情報。 |
InitiatingProcessSignerType | string | イベントを開始したプロセス (イメージ ファイル) のファイル署名者の種類。 |
InitiatingProcessTokenElevation | string | イベントを開始したプロセスに適用されたユーザー Access Control (UAC) 特権の昇格の有無を示すトークンの種類。 |
InitiatingProcessVersionInfoCompanyName | string | イベントを担当するバージョン情報 (イメージ ファイル) の会社名。 |
InitiatingProcessVersionInfoFileDescription | string | イベントを担当するバージョン情報 (イメージ ファイル) の説明。 |
InitiatingProcessVersionInfoInternalFileName | string | イベントを担当するバージョン情報 (イメージ ファイル) 内の内部ファイル名。 |
InitiatingProcessVersionInfoOriginalFileName | string | イベントを担当するバージョン情報 (イメージ ファイル) の元のファイル名。 |
InitiatingProcessVersionInfoProductName | string | イベントを担当するバージョン情報 (イメージ ファイル) の製品名。 |
InitiatingProcessVersionInfoProductVersion | string | イベントを担当するバージョン情報 (イメージ ファイル) の製品バージョン。 |
_IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
LogonId | long | ログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。 |
MachineGroup | string | マシンのマシン グループ。 このグループは、マシンへのアクセスを決定するために、ロールベースのアクセス制御によって使用されます。 |
MD5 | string | 記録されたアクションが適用されたファイルの MD5 ハッシュ。 |
ProcessCommandLine | string | 新しいプロセスの作成に使用されるコマンド ライン。 |
ProcessCreationTime | DATETIME | プロセスが作成された日時。 |
ProcessId | long | 新しく作成されたプロセスのプロセス ID (PID)。 |
ProcessIntegrityLevel | string | 新しく作成されたプロセスの整合性レベル。 Windows では、ダウンロードしたインターネットから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。. |
ProcessTokenElevation | string | 新しく作成されたプロセスに適用されるユーザー Access Control (UAC) 特権の昇格の有無を示すトークンの種類。 |
ProcessVersionInfoCompanyName | string | 新しく作成されたプロセスのバージョン情報の会社名。 |
ProcessVersionInfoFileDescription | string | 新しく作成されたプロセスのバージョン情報からの説明。 |
ProcessVersionInfoInternalFileName | string | 新しく作成されたプロセスのバージョン情報からの内部ファイル名。 |
ProcessVersionInfoOriginalFileName | string | 新しく作成されたプロセスのバージョン情報からの元のファイル名。 |
ProcessVersionInfoProductName | string | 新しく作成されたプロセスのバージョン情報からの製品名。 |
ProcessVersionInfoProductVersion | string | 新しく作成されたプロセスのバージョン情報からの製品バージョン。 |
ReportId | long | 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。 |
SHA1 | string | 記録されたアクションが適用されたファイルの SHA-1 ハッシュ。 |
SHA256 | string | 記録されたアクションが適用されたファイルの SHA-256。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
TenantId | string | Log Analytics ワークスペース ID |
TimeGenerated | DATETIME | エンドポイント上の MDE エージェントによってイベントが記録された日時。 |
Type | string | テーブルの名前 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示