DynamicEventCollection
Defender for Endpoint エージェントによって収集されたデータの汎用 Windows イベント テーブル
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | - |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | AzureSentinelDSRE |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | - |
列
| Column | Type | 説明 |
|---|---|---|
| AccountSid | string | アカウントのセキュリティ識別子 (SID)。 |
| AdditionalFields | 動的 | エンティティまたはイベントに関する追加情報。 |
| AppGuardContainerId | string | ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| deviceId | string | サービス内のデバイスの一意識別子。 |
| DeviceName | string | デバイスの完全修飾ドメイン名 (FQDN)。 |
| EventId | long | 一意のイベント識別子を格納します。 |
| InitiatingProcessAccountDomain | string | イベントを担当するプロセスを実行したアカウントのドメイン。 |
| InitiatingProcessAccountName | string | イベントを担当するプロセスを実行したアカウントのユーザー名。 |
| InitiatingProcessAccountObjectId | string | イベントを担当するプロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。 |
| InitiatingProcessAccountSid | string | イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)。 |
| InitiatingProcessAccountUpn | string | イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。 Active Directory では、UPN は電子メール アドレス形式のシステム ユーザーの名前です (例: john.doe@domain.com) |
| InitiatingProcessFolderPath | string | イベントを開始したプロセス (イメージ ファイル) を含むフォルダー。 |
| InitiatingProcessId | long | イベントを開始したプロセスのプロセス ID (PID)。 |
| InitiatingProcessLogonId | long | イベントを開始したプロセスのログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。 |
| InitiatingProcessMD5 | string | イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ。 |
| InitiatingProcessParentFileName | string | イベントを担当するプロセスを生成した親プロセスの名前。 |
| InitiatingProcessParentId | long | イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)。 |
| InitiatingProcessSHA1 | string | イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ。 |
| _IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| LocalIP | string | 通信中に使用されるローカル コンピューターに割り当てられた IP アドレス。 |
| ローカル ポート | INT | 通信中に使用されるローカル コンピューター上の TCP ポート。 |
| MachineGroup | string | マシンのマシン グループ。 このグループは、マシンへのアクセスを決定するために、ロールベースのアクセス制御によって使用されます。 |
| ProcessCommandLine | string | 新しいプロセスの作成に使用されるコマンド ライン。 |
| RemoteDeviceName | string | 影響を受けるコンピューターでリモート操作を実行したデバイスの名前。 報告されるイベントに応じて、この名前には完全修飾ドメイン名 (FQDN)、NetBIOS 名、またはドメイン情報のないホスト名を指定できます。 |
| RemoteIP | string | 接続されている IP アドレス。 |
| リモート ポート | INT | 接続先のリモート デバイス上の TCP ポート。 |
| ReportId | long | イベントの一意識別子。 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| TenantId | string | Log Analytics ワークスペース ID |
| TimeGenerated | DATETIME | レコードが生成された日時 (UTC)。 |
| Type | string | テーブルの名前 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示