Microsoft Sentinel の動作テーブル。 検出された脅威など、動作または観察に関係するエンティティ (ファイル、プロセス、デバイス、ユーザーなど) に関する情報が含まれます。
テーブル属性
| 特性 |
価値 |
|
リソースの種類 |
microsoft.securityinsights/securityinsights |
|
カテゴリ |
セキュリティ |
|
ソリューション |
セキュリティインサイト |
|
基本的なログ |
イエス |
|
データ取り込み時タイムトランスフォーメーション |
いいえ |
|
サンプル クエリ |
- |
列
| コラム |
タイプ |
Description |
| アカウントドメイン |
文字列 |
アカウントのドメイン。 |
| アカウント名 |
文字列 |
アカウントのユーザー名。 |
| AccountObjectId(アカウントのオブジェクトID) |
文字列 |
Microsoft Entra ID のアカウントの一意の識別子。 |
| AccountSid(アカウント識別子) |
文字列 |
アカウントのセキュリティ識別子 (SID)。 |
| AccountUpn |
文字列 |
アカウントのユーザー プリンシパル名 (UPN) |
| アクションタイプ |
文字列 |
動作の種類。 |
| 追加フィールド |
文字列 |
エンティティまたはイベントに関する追加情報。 |
| アプリケーション |
文字列 |
記録されたアクションを実行したアプリケーション。 |
| ApplicationId |
文字列 |
アプリケーションの一意識別子。 |
| BehaviorId |
文字列 |
動作の一意識別子。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| カテゴリ |
文字列 |
動作によって識別される脅威インジケーターまたは侵害アクティビティの種類。 |
| CloudPlatform |
文字列 |
リソースが属するクラウド プラットフォームは、Azure、アマゾン ウェブ サービス、または Google Cloud Platform です。 |
| CloudResource |
文字列 |
クラウド リソース名。 |
| CloudResourceId |
文字列 |
アクセスされたクラウド リソースの一意識別子。 |
| CloudResourceType |
文字列 |
クラウド リソースの種類。 |
| CloudSubscriptionId |
文字列 |
クラウド サービス サブスクリプションの一意識別子。 |
| DataSources |
文字列 |
動作に関する情報を提供した製品またはサービス。 |
| DetailedEntityRole |
文字列 |
動作におけるエンティティのロール。 |
| DetectionSource |
文字列 |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 |
| デバイスID |
文字列 |
サービス内でデバイスを識別する一意の識別子。 |
| デバイス名 |
文字列 |
デバイスの完全修飾ドメイン名 (FQDN)。 |
| EmailClusterId |
文字列 |
コンテンツのヒューリスティック分析に基づいてクラスター化された類似の電子メールのグループの識別子。 |
| EmailSubject |
文字列 |
メールの件名。 |
| EntityRole |
文字列 |
エンティティが影響を受けたか、単に関連しているかを示します。 |
| EntityType |
文字列 |
ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類。 |
| ファイル名 |
文字列 |
動作が適用されるファイルの名前。 |
| ファイルサイズ |
long |
動作が適用されるファイルのサイズ (バイト単位)。 |
| フォルダーパス |
文字列 |
動作が適用されるファイルを含むフォルダー。 |
| _IsBillable // 請求可能かどうかを示す |
文字列 |
データの取り込みが料金の対象になるかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| LocalIP |
文字列 |
通信中に使用されるローカル コンピューターに割り当てられた IP アドレス。 |
| NetworkMessageId |
文字列 |
Office 365 によって生成される UUID 形式の電子メールの一意識別子。 |
| OAuthApplicationId |
文字列 |
UUID 形式のサードパーティ OAuth アプリケーションの一意識別子。 |
| ProcessCommandLine |
文字列 |
新しいプロセスの作成に使用されるコマンド ライン。 |
| RegistryKey |
文字列 |
記録されたアクションが適用されたレジストリ キー。 |
| RegistryValueData |
文字列 |
記録されたアクションが適用されたレジストリ値のデータ。 |
| RegistryValueName |
文字列 |
記録されたアクションが適用されたレジストリ値の名前。 |
| RemoteIP |
文字列 |
接続先の IP アドレス。 |
| RemoteUrl |
文字列 |
接続先の URL または完全修飾ドメイン名 (FQDN)。 |
| _ResourceId(リソース識別子) |
文字列 |
レコードが紐づいているリソースのユニークな識別子 |
| ServiceSource |
文字列 |
動作を識別した製品またはサービス。 |
| SHA1 |
文字列 |
動作が適用されるファイルの SHA-256。 |
| SHA256 |
文字列 |
ファイルの SHA-256。 EntityType が "File" または "Process" でない場合は空です。 |
| ソースシステム |
文字列 |
イベントを収集したエージェントの種類を示す。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| _SubscriptionId(サブスクリプションID) |
文字列 |
レコードが紐付けられているサブスクリプションのユニークな識別子 |
| テナント識別子 |
文字列 |
Log AnalyticsのワークスペースID |
| ThreatFamily |
文字列 |
疑わしいファイルまたは悪意のあるファイルまたはプロセスが分類されているマルウェア ファミリ。 |
| タイムジェネレイテッド |
datetime |
レコードが生成された日時。 |
| タイプ |
文字列 |
テーブルの名前 |