| ActingProcessCommandLine (アクティングプロセスコマンドライン) |
ひも |
実行プロセスを実行するために使用するコマンド ライン。 |
| ActingProcessCreationTime |
datetime |
演技プロセスが開始された日時。 |
| ActingProcessFileCompany |
ひも |
実行プロセス イメージ ファイルを作成した会社。 |
| ActingProcessFileDescription |
ひも |
実行プロセス イメージ ファイルのバージョン情報に埋め込まれた説明。 |
| ActingProcessFileInternalName |
ひも |
実行プロセス イメージ ファイルのバージョン情報からの製品内部ファイル名。 |
| 実行中プロセスファイル名 |
ひも |
処理プロセス イメージ ファイルのバージョン情報からのプロダクト ファイル名。 |
| ActingProcessFileOriginalName |
ひも |
実行プロセス イメージ ファイルのバージョン情報からの製品の元のファイル名。 |
| ActingProcessFileProduct |
ひも |
実行プロセス イメージ ファイルのバージョン情報からの製品名。 |
| ActingProcessFileSize |
長い |
処理プロセスを実行したファイルのサイズ (バイト単位)。 |
| ActingProcessFileVersion |
ひも |
実行プロセス イメージ ファイルのバージョン情報からの製品バージョン。 |
| アクティングプロセスガイド |
ひも |
実行プロセスの GUID。 |
| ActingProcessId |
ひも |
実行中のプロセスのプロセス ID。 |
| ActingProcessIMPHASH |
ひも |
実行プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| ActingProcessInjectedAddress |
ひも |
責任ある実行プロセスが格納されているメモリ アドレス。 |
| 実行プロセスの整合性レベル |
ひも |
処理プロセスの整合性レベル。 |
| アクションプロセスは非表示です |
ブール |
実行プロセスが非表示モードかどうかを示します。 |
| ActingProcessMD5 |
ひも |
実行プロセス イメージ ファイルの MD5 ハッシュ。 |
| 実行処理名 |
ひも |
演技プロセスの名前。 |
| ActingProcessSHA1 |
ひも |
実行プロセス イメージ ファイルの SHA-1 ハッシュ。 |
| ActingProcessSHA256 |
ひも |
実行プロセス イメージ ファイルの SHA-256 ハッシュ。 |
| ActingProcessSHA512 |
ひも |
実行プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| アクティングプロセストークンの昇格 |
ひも |
実行プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。 |
| ActorOriginalUserType (アクター元ユーザータイプ) |
ひも |
レポート デバイスによって報告されたユーザー タイプ。 |
| アクタースコープ |
ひも |
ActorUserId と ActorUsername が定義されているスコープ (Azure AD テナントなど)。 |
| アクタースコープID |
ひも |
ActorUserId と ActorUsername が定義されているスコープ ID (Azure AD テナント ID など)。 |
| ActorSessionId (アクターセッションID) |
ひも |
アクターのサインイン セッションの一意の ID。 |
| ActorUserId |
ひも |
コンピューターが読み取り可能な英数字、アクターの一意の表現。 |
| アクターユーザーIDタイプ |
ひも |
ActorUserId フィールドに格納されている ID の種類。 |
| ActorUsername |
ひも |
アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 |
| アクターユーザー名タイプ |
ひも |
ActionUsername フィールドで指定されたアクターのユーザー名の型 |
| アクターユーザータイプ |
ひも |
アクターの種類。 |
| AdditionalFields |
ダイナミック |
ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| DvcAction |
ひも |
セキュリティ システムを報告する場合、システムによって実行されるアクション。 |
| DvcDescription |
ひも |
デバイスに関連付けられる説明のテキスト。 |
| DvcDomain |
ひも |
イベントを報告するデバイスのドメイン。 |
| Dvcドメインタイプ |
ひも |
DvcDomain の種類。 指定できる値には、"Windows" と "FQDN" があります。 |
| DvcFQDN |
ひも |
イベントが発生した、またはイベントを報告したデバイスのホスト名。 |
| Dvcホスト名 |
ひも |
イベントを報告するデバイスのホスト名。 |
| DvcId |
ひも |
イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。 |
| DvcIdType |
ひも |
DvcId の種類。 |
| DvcInterface |
ひも |
データがキャプチャされたネットワーク インターフェイス。 |
| DvcIpAddr |
ひも |
イベントを報告するデバイスの IP アドレス。 |
| DvcMacAddr |
ひも |
イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 |
| DvcOriginalAction |
ひも |
レポート デバイスによって提供された元の DvcAction。 |
| DvcOs |
ひも |
イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。 |
| DvcOsVersion |
ひも |
イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。 |
| DvcScope |
ひも |
デバイスが属するクラウドプラットフォームの範囲。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcScopeId |
ひも |
デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcZone |
ひも |
イベントが発生したネットワーク、またはイベントを報告したネットワーク。 |
| イベント数 |
INT |
レコードによって記述されるイベントの数。 |
| イベント終了時間 |
datetime |
イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントメッセージ |
ひも |
一般的なメッセージまたは説明。 |
| イベントの元の結果の詳細 |
ひも |
ソースによって提供される元の結果の詳細。 |
| EventOriginalSeverity |
ひも |
報告装置によって提供された元の深刻度。 |
| EventOriginalSubType |
ひも |
元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 |
| EventOriginalType |
ひも |
元のイベントの種類または ID (ソースによって提供されている場合)。 |
| イベントオリジナルUID (EventOriginalUid) |
ひも |
元のレコードの一意の ID (ソースによって提供されている場合)。 |
| イベント主催者 |
ひも |
イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
| EventProduct |
ひも |
イベントを生成している製品。 |
| EventProductVersion |
ひも |
イベントを生成している製品のバージョン。 |
| イベント報告URL |
ひも |
リソースが提供する、イベントに関するさらなる情報を含む URL がイベントで提供されます。 |
| イベント結果 |
ひも |
イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。 |
| イベント結果の詳細 |
ひも |
EventResult でレポートされた結果の理由または詳細。 |
| EventSchemaVersion |
ひも |
スキーマのバージョン。 |
| EventSeverity |
ひも |
イベントの重大度。 有効な値は、Informational、Low、Medium、High です。 |
| イベント開始時間 |
datetime |
イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントサブタイプ |
ひも |
EventType フィールドでレポートされた操作を細分化して記述します。 |
| イベントタイプ |
ひも |
レコードによって報告される操作について説明します |
| EventVendor |
ひも |
イベントを生成している製品のベンダー。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データの取り込みが課金対象になるかどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ParentProcessCreationTime |
datetime |
親プロセスが開始された日時。 |
| ParentProcessFileCompany |
ひも |
親プロセス イメージ ファイルを作成した会社。 |
| 親プロセスファイルの説明 |
ひも |
親プロセス イメージ ファイルのバージョン情報からの説明。 |
| ParentProcessFileProduct |
ひも |
親プロセス イメージ ファイル内のバージョン情報の製品名。 |
| 親プロセスファイルバージョン |
ひも |
親プロセス イメージ ファイルのバージョン情報からの製品バージョン。 |
| ParentProcessGuid |
ひも |
親プロセスの GUID。 |
| ParentProcessId |
ひも |
親プロセスのプロセス ID。 |
| ParentProcessIMPHASH |
ひも |
親プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| ParentProcessInjectedAddress |
ひも |
責任ある親プロセスが格納されているメモリ アドレス。 |
| 親プロセスの整合性レベル |
ひも |
親プロセスの整合性レベル。 |
| ParentProcessIsHidden |
ブール |
親プロセスが非表示モードかどうかを示します。 |
| ParentProcessMD5 |
ひも |
親プロセス イメージ ファイルの MD5 ハッシュ。 |
| ParentProcessName |
ひも |
親プロセスの名前。 |
| ParentProcessSHA1 |
ひも |
親プロセス イメージ ファイルの SHA-1 ハッシュ。 |
| ParentProcessSHA256 |
ひも |
親プロセス イメージ ファイルの SHA-256 ハッシュ。 |
| ParentProcessSHA512 |
ひも |
親プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| ParentProcessTokenElevation |
ひも |
親プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。 |
| _ResourceId(リソース識別子) |
ひも |
レコードが関連付けられているリソースの一意識別子 |
| ルール名 |
ひも |
検査結果に関連付けられたルールの名前または ID。 |
| 規則番号 |
INT |
検査結果に関連付けられたルールの番号。 |
| SourceSystem |
ひも |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| _SubscriptionId(サブスクリプションID) |
ひも |
レコードが関連付けられているサブスクリプションの一意識別子 |
| ターゲット元ユーザータイプ |
ひも |
レポート デバイスによって報告されたユーザー タイプ。 |
| TargetProcessCommandLine |
ひも |
ターゲット プロセスを実行するために使用するコマンド ライン。 |
| TargetProcessCreationTime |
datetime |
ターゲット プロセスが開始された日時。 |
| TargetProcessCurrentDirectory |
ひも |
ターゲット プロセスが実行される現在のディレクトリ。 |
| ターゲットプロセスファイル株式会社 |
ひも |
ターゲット プロセス イメージ ファイルを作成した会社。 |
| ターゲットプロセスファイルの説明 |
ひも |
ターゲット プロセス イメージ ファイルのバージョン情報からの説明。 |
| ターゲットプロセスファイル内部名 |
ひも |
ターゲット プロセス イメージ ファイルのバージョン情報からの製品内部ファイル名。 |
| TargetProcessFilename |
ひも |
ターゲット プロセス イメージ ファイルのバージョン情報からのプロダクト ファイル名。 |
| ターゲットプロセスファイルオリジナル名 |
ひも |
ターゲット プロセス イメージ ファイルのバージョン情報からの製品の元のファイル名。 |
| TargetProcessFileProduct |
ひも |
ターゲット プロセス イメージ ファイル内のバージョン情報の製品名。 |
| ターゲットプロセスファイルサイズ |
長い |
イベントを担当するプロセスを実行したファイルのサイズ (バイト単位)。 |
| TargetProcessFileVersion |
ひも |
ターゲット プロセス イメージ ファイルのバージョン情報からの製品バージョン。 |
| TargetProcessGuid |
ひも |
ターゲット プロセスの GUID。 |
| ターゲットプロセスID |
ひも |
ターゲット プロセスのプロセス ID。 |
| TargetProcessIMPHASH |
ひも |
ターゲット プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
| TargetProcessInjectedAddress |
ひも |
責任あるターゲット プロセスが格納されているメモリ アドレス。 |
| ターゲットプロセスインテグリティレベル |
ひも |
ターゲット プロセスの整合性レベル。 |
| ターゲットプロセスは隠されています |
ブール |
ターゲット プロセスが非表示モードかどうかを示します。 |
| TargetProcessMD5 |
ひも |
ターゲット プロセス イメージ ファイルの MD5 ハッシュ。 |
| ターゲットプロセス名 |
ひも |
ターゲット プロセスの名前。 |
| TargetProcessSHA1 |
ひも |
ターゲット プロセス イメージ ファイルの SHA-1 ハッシュ。 |
| TargetProcessSHA256 |
ひも |
ターゲット プロセス イメージ ファイルの SHA-256 ハッシュ。 |
| TargetProcessSHA512 |
ひも |
ターゲット プロセス イメージ ファイルの SHA-512 ハッシュ。 |
| ターゲットプロセスステータスコード |
ひも |
終了時にターゲット プロセスによって返される終了コード。 |
| ターゲットプロセストークンの昇格 |
ひも |
ターゲット プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。 |
| ターゲットスコープ |
ひも |
TargetUserId と TargetUsername が定義されているスコープ (Azure AD テナントなど)。 |
| TargetScopeId |
ひも |
TargetUserId と TargetUsername が定義されているスコープ ID (Azure AD テナント ID など)。 |
| ターゲットユーザーID |
ひも |
コンピューターが読み取り可能な英数字、アクターの一意の表現。 |
| ターゲットユーザーIDタイプ |
ひも |
TargetUserId フィールドに格納されている ID の種類。 |
| ターゲットユーザーネーム |
ひも |
ターゲット アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 |
| ターゲットユーザー名タイプ |
ひも |
TargetUsername フィールドで指定されたターゲット アクターのユーザー名の型 |
| TargetUserSessionGuid |
ひも |
ターゲット アクターのサインイン セッションの一意の GUID。 |
| TargetUserSessionId |
ひも |
ターゲット アクターのサインイン セッションの一意の ID。 |
| ターゲットユーザータイプ |
ひも |
ターゲット アクターの型。 |
| テナントID |
ひも |
Log Analytics ワークスペース ID |
| 脅威カテゴリー |
ひも |
アクティビティで特定された脅威またはマルウェアのカテゴリ。 |
| ThreatConfidence |
INT |
識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatField |
ひも |
脅威が特定されたフィールド。 |
| 脅威初報告時間 |
datetime |
IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| 脅威識別子 |
ひも |
アクティビティで識別された脅威またはマルウェアの ID。 |
| 脅威が活動中です |
ブール |
特定された脅威がアクティブな脅威と見なされる真の ID。 |
| 脅威が最後に報告された時間 |
datetime |
最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatName |
ひも |
アクティビティで識別された脅威またはマルウェアの名前。 |
| ThreatOriginalConfidence |
ひも |
レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatOriginalRiskLevel |
ひも |
レポート デバイスによって報告されたリスク レベル。 |
| 脅威リスクレベル |
INT |
識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 |
| タイムジェネレイテッド |
DATETIME |
イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
| タイプ |
ひも |
テーブルの名前 |