Microsoft Graph Security (プレビュー)

結果コード

メッセージ

結果サブ コード

返された TiIndicator の数

返された TiIndicator

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

返されたサブスクリプションの数

返されたサブスクリプション エンティティ

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

返されたアラートの数

返されたアラートの数

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

結果コード

メッセージ

結果サブ コード

更新された TiIndicators

送信された TiIndicators

返されたアラートの数

返されたアラートの数

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

返されたアラートの数

返されたアラートの数

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

Azure サブスクリプション ID。このアラートが Azure リソースに関連している場合に表示されます。

アラートに適用でき、フィルター条件として機能できるユーザー定義可能なラベル (例: 「HVA」、「SAW」など)。

プロバイダーが生成した GUID/一意識別子。

Microsoft Entra ID のテナント ID。

このアラートの原因となる活動グループ (攻撃者) の名前またはエイリアス。

トリアージ、調査、または修復のためにアラートが割り当てられているアナリストの名前。

アラートのカテゴリ (例: credentialTheft、ランサムウェアなど)。

アラートが閉じられた時刻 (UTC)。

顧客が提供したアラートに関するコメント (顧客アラート管理)。

検出ロジックの信頼度 (1 〜 100 の パーセンテージ)。

アラートが作成された時刻 (UTC)。

アラートの説明。

このアラート エンティティに関連するアラートのセット。

アラートを生成するためのトリガーとして機能したイベントが発生した時刻 (UTC)。

アラートに関するアナリストのフィードバック。 指定できる値: unknown、truePositive、falsePositive、benignPositive。

アラート エンティティが最後に修正されたときの時刻 (UTC)。

アラートの結果として実行するベンダー/プロバイダーの推奨アクション (例: コンピューターを隔離、enforce2FA、ホストの再イメージ化など)。

アラートの重大度 - ベンダー/プロバイダーによって設定されます。 値: (high、medium、low、Informational) 「情報」は、アラートがアクション可能ではないと推測します。

アラートに関連するソース資料へのハイパーリンク (URI)、(例: プロバイダー調査 UI など)。

アラート ライフサイクル ステータス (ステージ)。 値: (unknown、newAlert、inProgress、resolved)。

アラートのタイトル。

特定のプロバイダー (製品/サービス - ベンダーの会社ではありません); たとえば、WindowsDefenderATP。

プロバイダーまたはサブプロバイダーのバージョン。

特定のサブプロバイダー (集約プロバイダーの下); たとえば、WindowsDefenderATP.SmartScreen。

アラート ベンダーの名前 (たとえば、Microsoft、Dell、FireEye)。

このアラートに関連するクラウド アプリケーションに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

クラウドアプリ/サービスへの接続の宛先 IP アドレス。

宛先クラウド アプリ/サービス名。

クラウド アプリケーション/サービスのプロバイダー生成/計算されたリスク スコア。

このアラートに関連するファイルに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

ファイル名 (パスなし)。

ファイルの完全なファイル パス/imageFile。

アラート ファイルのプロバイダー生成/計算されたリスク スコア。

ファイル ハッシュの種類。 指定できる値: unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。

ファイル ハッシュの値。

このアラートに関連するホストに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

ホスト FQDN (完全修飾ドメイン FQDN 名)。

ホストが Microsoft Entra ID ドメイン サービスに参加している場合は True。

ホストが Microsoft Entra ID デバイス登録 (例: BYOD) で登録されている場合は True - エンタープライズによって完全に管理されていません。

ホストがオンプレミスの Microsoft Entra ID ドメインにドメイン参加している場合は True。

DNS ドメイン名のないローカル ホスト名。

ホスト オペレーティング システム。

アラート時のプライベート (ルーティング不可) IPv4 または IPv6 アドレス。

アラート時の公開ルーティング可能な IPv4 または IPv6 アドレス。

ホストのプロバイダー生成/計算されたリスク スコア。

このアラートに関連するマルウェアに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

プロバイダーが生成したマルウェア カテゴリ (例: トロイ、ランサムウェアなど)。

プロバイダーが生成したマルウェア家族 (例: 「wannacry」、「notpetya」など)。

プロバイダーが生成したマルウェアのバリアント名 (例: Trojan:Win32/Powessere.H)。

このマルウェアのプロバイダーが決定した重大度。

検出されたファイル (マルウェア/脆弱性) が検出時に実行されていたか、ディスク上で保存中に検出されたかを示します。

このアラートに関連するファイルに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

ネットワーク接続を管理するアプリケーションの名前 (例: Facebook、SMTP など)。

ネットワーク接続の宛先 IP アドレス。

宛先 URL の宛先ドメイン部分。(例: 「www.contoso.com」)。

ネットワーク接続の宛先ポート。

ネットワーク接続 URL/URI 文字列 - パラメータを除く。

ネットワーク接続方向。 指定できる値: unknown、inbound、outbound。

宛先ドメインが登録された日付 (UTC)。

ホストのローカル DNS キャッシュに表示されるローカル DNS 名解決 (例: 「hosts」ファイルが改ざんされた場合)。

ネットワーク アドレス変換の宛先 IP アドレス。

ネットワーク アドレス変換の宛先ポート。

ネットワーク アドレス変換のソース IP アドレス。

ネットワーク アドレス変換のソース ポート。

ネットワーク プロトコル。 指定できる値: unknown、ip、icmp、igmp、ggp、ipv4、tcp、pup、udp、idp、ipv6、ipv6RoutingHeader、ipv6FragmentHeader、 ipSecEncapsulatingSecurityPayload、ipSecAuthenticationHeader、icmpV6、ipv6NoNextHeader、ipv6DestinationOptions、nd、raw、ipx、spx、spxII。

ネットワーク接続のプロバイダー生成/計算されたリスク スコア。

ネットワーク接続のソース (例: 発生元) IP アドレス。

ネットワーク接続のソース (例: 発生元) IP ポート。

ネットワーク接続の状態。 指定できる値: unknown、attempted、succeeded、blocked、failed。

文字列としての宛先 URL のパラメーター (接尾辞)。

このアラートに関連するプロセスに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

ユーザー アカウント識別子 (プロセスが実行されたユーザー アカウント コンテキスト) (例: AccountName、SID など)。

すべてのパラメーターを含む完全なプロセス呼び出しコマンドライン。

親プロセスが開始された DateTime (UTC)。

プロセスの整合性レベル。 指定できる値: unknown、untrusted、low、medium、high、system。

プロセスが上昇されている場合は True。

プロセスの画像ファイルの名前。

プロセスが開始された時刻 (UTC)。

親プロセスのプロセス ID (PID)。

親プロセスの画像ファイルの名前。

filename 名を含む完全なパス。

プロセスのプロセス ID (PID)。

ファイル ハッシュの種類。 指定できる値: unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。

ファイル ハッシュの値。

このアラートに関連するレジストリ キーに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

レジストリ キーを変更したプロセスのプロセスID (PID) (プロセスの詳細はアラート「プロセス」コレクションに表示されます)。

レジストリ キーの名前や値を変更した操作 (追加、変更、削除)。

レジストリ キーの値の種類。 指定できる値: unknown、binary、dword、dwordLittleEndian、dwordBigEndian、expandSz、link、multiSz、none、qword、qwordlittleEndian、sz。

Windows レジストリ ハイブ。 指定できる値: unknown、currentConfig、currentUser、localMachineSam、localMachineSamSoftware、localMachineSystem、usersDefault。

現在の (変更された) レジストリ キー (HIVE を除く)。

現在の (変更された) レジストリ キー値の名前。

現在の (変更された) レジストリ キー値のデータ (コンテンツ)。

以前の (変更前の) レジストリ キー (HIVE を除く)。

以前の (変更前の) レジストリ キー値の名前。

以前の (変更前の) レジストリ キー値のデータ (コンテンツ)。

アラートをトリガーした特定のプロパティ (アラートに表示されるプロパティ) に関するセキュリティ関連の情報。 アラートには、複数のユーザー、ホスト、ファイル、IP アドレスに関する情報が含まれる場合があります。 このフィールドは、アラートの生成をトリガーしたプロパティを示します。

検出トリガーとして機能するプロパティの名前。

解釈のためのキーと値のペアの属性の種類 (例: String、Boolean など)。

検出トリガーとして機能する属性の値。

このアラートに関連するログオン中のユーザーに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

Microsoft Entra ID ユーザー オブジェクト識別子 (GUID) - 物理/複数アカウント ユーザー エンティティを表します。

ユーザーアカウントのアカウント名 (Microsoft Entra ID ドメインまたは DNS ドメインなし) - ("mailNickName" とも呼ばれます)。

ユーザー アカウントの Microsoft Entra ID ドメイン �(例: domain\account 形式)。

メール関連のアラートの場合 - ユーザー アカウントのメールのロール。

ユーザーが VPN を通じてログオンしたかどうかを示します。

ログオンが発生したときの時刻 (UTC)。

ユーザー サインイン ID。

発信元のログオン要求の IP アドレス。

このユーザーによるユーザー サインイン イベントに関連付けられた場所 (IP アドレス マッピングによる)。

ユーザー サインインの方法。 指定できる値: unknown、interactive、remoteInteractive、network、batch、service。

ユーザーの Microsoft Entra ID (オンプレミス) セキュリティ識別子 (SID)。

ユーザー アカウントのプロバイダー生成/計算されたリスク スコア。

Windows 定義ごとのユーザー アカウントの種類 (グループ メンバーシップ)。 指定できる値: unknown、standard、power、administrator。

ユーザー サインイン名 - インターネット形式: @。

このアラートに関連する 1 つ以上の脆弱性に関連する脅威インテリジェンス。

脆弱性の一般的な脆弱性と脅威 (CVE)。

検出された脆弱性 (ファイル) が検出時に実行されていたか、ディスク上で保存中にファイルが検出されたかを示します。

この脆弱性の基本共通脆弱性評価システム (CVSS) 重大度スコア。

サブスクリプションの一意識別子。

変更を監視するリソースを指定します。

サブスクリプションの作成に使用されるアプリケーションの識別子。

通知を発生させるサブスクライブされたリソースの変更の種類を示します。

各通知でサービスによって送信される clientState プロパティの値を指定します。 最大長は 128 文字です。 クライアントは、サブスクリプションで送信された clientState プロパティの値を、各通知で受信された clientState プロパティの値と比較することにより、通知がサービスから送信されたことを確認できます。

通知を受信するエンドポイントの URL。 この URL は HTTPS プロトコルを使用する必要があります。

webhook サブスクリプションの有効期限が切れる日時 (UTC) を指定します。

サブスクリプションを作成したユーザーまたはサービス プリンシパルの識別子。 アプリが委任されたアクセス許可を使用してサブスクリプションを作成した場合、このフィールドには、アプリが代わりに呼び出したサインインしたユーザーの ID が含まれます。 アプリがアプリケーションのアクセス許可を使用している場合、このフィールドには、アプリに対応するサービス プリンシパルの ID が含まれます。

targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。

脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。

他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある

送信クライアントの Microsoft Entra ID テナント。

検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。

TiIndicator の説明 (100 文字以下)。

このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。

インジケーターの有効期限が切れる時刻 (UTC)。

インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。

インジケーターが取り込まれたときにシステムによって作成されます。 生成された GUID/一意識別子。

インジケーターが取り込まれる時刻です (UTC)。

既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。

このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。

インジケーターが誤検知を引き起こす可能性があるシナリオ。

インジケーターが最後に表示された時刻です (UTC)。

インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。

インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。

インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。

インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。

各インジケーターには、有効なインジケーター脅威の種類が必要です。 指定できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。

インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。

メールで使用されるテキスト エンコードの種類。

メールの言語。

受信者メール アドレス。

攻撃者|犠牲者のメール アドレス。

攻撃者|被害者の表示名。

メールで使用されているドメイン。

メールのソース IP アドレス。

メールの件名行。

メールで使用される X-Mailer 値。

ファイルがコンパイルされた DateTime。

ファイルが作成された DateTime。

fileHashValue に格納されているハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。

ファイル ハッシュ値。

ファイル ベースの検出で使用されるミューテックス名。

インジケーターがファイル ベースの場合のファイルの名前。

問題のファイルをビルドするために使用されたパッカー。

侵害を示すファイルのパス。 Windows または *nix スタイルのパスである可能性があります。

ファイルのサイズ (バイト数)。

ファイルの種類のテキスト説明。 たとえば、「Word 文書」や「バイナリ」などです。

このインジケーターに関連付けられているドメイン名。

このインジケーターで参照されるネットワークの CIDR ブロック表記表現。

インジケーターで参照されているネットワークの宛先自律システム識別子。

このインジケーターの宛先ネットワークの CIDR ブロック表記表現。

IPv4 IP アドレスの宛先。

IPv6 IP アドレスの宛先。

TCP ポート先。

IPv4 IP アドレス。

IPv6 IP アドレス。

TCP ポート。

IPv4 ヘッダーのプロトコル フィールドの 10 進数表現。

インジケーターで参照されているネットワークのソース自律システム識別子。

このインジケーターのソース ネットワークの CIDR ブロック表記表現。

IPv4 IP アドレス ソース。

IPv6 IP アドレス ソース。

TCP ポート ソース。

Uniform Resource Locator。

侵害を示す可能性のある Web 要求からのユーザー エージェント文字列。