アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイスが含まれます。
テーブル属性
| 属性 |
価値 |
|
リソースの種類 |
- |
|
Categories (カテゴリ) |
セキュリティ |
|
ソリューション |
セキュリティインサイト |
|
基本的なログ |
はい |
|
取り込み時変換 |
はい |
|
サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| アカウントドメイン |
文字列 |
アカウントのドメイン。 |
| アカウント名 |
文字列 |
アカウントのユーザー名。 |
| AccountObjectId(アカウントのオブジェクトID) |
文字列 |
Azure Active Directory のアカウントの一意ID。 |
| AccountSid(アカウント識別子) |
文字列 |
アカウントのセキュリティ識別子 (SID)。 |
| AccountUpn |
文字列 |
アカウントのユーザー プリンシパル名 (UPN) |
| AdditionalFields |
ダイナミック |
JSON 配列形式のイベントに関する追加情報。 |
| AlertId |
文字列 |
アラートの一意識別子。 |
| アプリケーション |
文字列 |
記録されたアクションを実行したアプリケーション。 |
| ApplicationId |
整数 (int) |
アプリケーションの一意の識別子。 |
| 攻撃技術 |
文字列 |
アラートをトリガーしたアクティビティに関連付けられている MITRE ATT&CK 手法。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| カテゴリ |
文字列 |
情報が属するカテゴリの一覧 (JSON 配列形式)。 |
| CloudPlatform |
文字列 |
リソースが属するクラウド プラットフォームは、Azure、アマゾン ウェブ サービス、または Google Cloud Platform です。 |
| CloudResource |
文字列 |
クラウド リソース名。 |
| 検出元 |
文字列 |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー。 |
| デバイスID |
文字列 |
サービス内のデバイスの一意識別子。 |
| デバイス名 |
文字列 |
マシンの完全修飾ドメイン名 (FQDN)。 |
| メール件名 |
文字列 |
メールの件名。 |
| エンティティタイプ |
文字列 |
ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類。 |
| EvidenceDirection |
文字列 |
エンティティがネットワーク接続のソースか宛先かを示します。 |
| 証拠の役割 |
文字列 |
エンティティがアラートに関与する方法。影響を受けたか、単に関連しているかを示します。 |
| ファイル名 |
文字列 |
記録されたアクションが適用されたファイルの名前。 |
| ファイルサイズ |
長い |
ファイルのサイズ (バイト単位)。 |
| フォルダパス |
文字列 |
記録されたアクションが適用されたファイルを含むフォルダー。 |
| _IsBillable // 請求可能かどうかを示す |
文字列 |
データのインジェストが請求対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ローカルIP |
文字列 |
通信中に使用されるローカル デバイスに割り当てられた IP アドレス。 |
| ネットワークメッセージID |
文字列 |
Office 365 によって生成された電子メールの一意の識別子。 |
| オーオースアプリケーションアイディー |
文字列 |
サード パーティの OAuth アプリケーションの一意識別子。 |
| ProcessCommandLine |
文字列 |
新しいプロセスの作成に使用されるコマンド ライン。 |
| リージストリキー |
文字列 |
記録されたアクションが適用されたレジストリ キー。 |
| レジストリ値データ |
文字列 |
記録されたアクションが適用されたレジストリ値のデータ。 |
| レジストリ値名 |
文字列 |
記録されたアクションが適用されたレジストリ値の名前。 |
| リモートIP |
文字列 |
接続先の IP アドレス。 |
| リモートURL |
文字列 |
接続されていた先の URL または完全修飾ドメイン名 (FQDN)。 |
| ServiceSource |
文字列 |
アラート情報を提供した製品またはサービス。 |
| 深刻さ |
文字列 |
アラートによって識別される脅威インジケーターまたは侵害アクティビティの潜在的な影響 (高、中、または低) を示します。 |
| SHA1 |
文字列 |
記録されたアクションが適用されたファイルの SHA-1。 |
| SHA256 |
文字列 |
記録されたアクションが適用されたファイルの SHA-256。 通常、このフィールドには SHA1 列が設定されません。使用可能な場合は、SHA1 列を使用します。 |
| SourceSystem |
文字列 |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| テナント識別子 |
文字列 |
Log Analytics ワークスペース ID |
| ThreatFamily |
文字列 |
疑わしいファイルまたは悪意のあるファイルまたはプロセスが分類されているマルウェア ファミリ。 |
| タイムジェネレイテッド |
datetime |
レコードが生成された日時 (UTC)。 |
| タイトル |
文字列 |
アラートのタイトル。 |
| タイプ |
文字列 |
テーブルの名前 |