DeviceNetworkEvents

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

高度なハンティング スキーマのDeviceNetworkEvents テーブルには、ネットワーク接続と関連するイベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。

ヒント

テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime イベントが記録された日付と時刻
DeviceId string サービス内のデバイスの一意識別子
DeviceName string デバイスの完全修飾ドメイン名 (FQDN)
ActionType string イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください。
RemoteIP string に接続されていた IP アドレス
RemotePort int 接続先のリモート デバイス上の TCP ポート
RemoteUrl string に接続されていた URL または完全修飾ドメイン名 (FQDN)
LocalIP string 送信元 IP、または通信元の IP アドレス
LocalPort int 通信中に使用されるローカル デバイス上の TCP ポート
Protocol string 通信中に使用されるプロトコル
LocalIPType string IP アドレスの種類 (パブリック、プライベート、予約済み、ループバック、Teredo、FourToSixMapping、ブロードキャストなど)
RemoteIPType string IP アドレスの種類 (パブリック、プライベート、予約済み、ループバック、Teredo、FourToSixMapping、ブロードキャストなど)
InitiatingProcessSHA1 string イベントを開始したプロセス (イメージ ファイル) の SHA-1
InitiatingProcessSHA256 string イベントを開始したプロセス (イメージ ファイル) の SHA-256。 このフィールドは通常は入力されません。使用可能な場合は、SHA1 列を使用します。
InitiatingProcessMD5 string イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ
InitiatingProcessFileName string イベントを開始したプロセス ファイルの名前。使用できない場合は、イベントを開始したプロセスの名前が代わりに表示される可能性があります
InitiatingProcessFileSize long イベントを担当するプロセスを実行したファイルのサイズ
InitiatingProcessVersionInfoCompanyName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの会社名
InitiatingProcessVersionInfoProductName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品名
InitiatingProcessVersionInfoProductVersion string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン
InitiatingProcessVersionInfoInternalFileName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名
InitiatingProcessVersionInfoOriginalFileName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの元のファイル名
InitiatingProcessVersionInfoFileDescription string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明
InitiatingProcessId long イベントを開始したプロセスのプロセス ID (PID)
InitiatingProcessCommandLine string イベントを開始したプロセスの実行に使用されるコマンド ライン
InitiatingProcessCreationTime datetime イベントを開始したプロセスが開始された日時
InitiatingProcessFolderPath string イベントを開始したプロセス (イメージ ファイル) を含むフォルダー
InitiatingProcessParentFileName string イベントを担当するプロセスを生成した親プロセスの名前
InitiatingProcessParentId long イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)
InitiatingProcessParentCreationTime datetime イベントを担当するプロセスの親が開始された日時
InitiatingProcessAccountDomain string イベントを担当するプロセスを実行したアカウントのドメイン
InitiatingProcessAccountName string イベントを担当するプロセスを実行したアカウントのユーザー名。デバイスがMicrosoft Entra IDに登録されている場合は、イベントを担当するプロセスを実行したアカウントの Entra ID ユーザー名が代わりに表示される可能性があります
InitiatingProcessAccountSid string イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)
InitiatingProcessAccountUpn string イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。デバイスがMicrosoft Entra IDに登録されている場合は、イベントを担当するプロセスを実行したアカウントの Entra ID UPN が代わりに表示される可能性があります
InitiatingProcessAccountObjectId string Microsoft Entraイベントを担当するプロセスを実行したユーザー アカウントのオブジェクト ID
InitiatingProcessIntegrityLevel string イベントを開始したプロセスの整合性レベル。 Windows では、インターネットのダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。
InitiatingProcessTokenElevation string イベントを開始したプロセスに適用されるユーザー Access Control (UAC) 特権昇格の有無を示すトークンの種類
ReportId long 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。
AppGuardContainerId string ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子
AdditionalFields string JSON 配列形式のイベントに関する追加情報
InitiatingProcessSessionId long 開始プロセスの Windows セッション ID
IsInitiatingProcessRemoteSession bool 開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します
InitiatingProcessRemoteSessionDeviceName string 開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名
InitiatingProcessRemoteSessionIP string 開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。