| AdditionalFields |
ダイナミック |
ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| DhcpCircuitId |
文字列 |
RFC3046で定義されている DHCP 回線 ID。 |
| DHCPリース期間 |
整数 (int) |
クライアントに付与されたリースの長さ (秒単位)。 |
| DHCPセッション期間 |
整数 (int) |
DHCP セッションの完了にかかる時間 (ミリ秒単位)。 |
| DhcpSessionId |
文字列 |
レポート デバイスによって報告されたセッション識別子。 Windows DHCP サーバーの場合は、これを TransactionID フィールドに設定します。 |
| DhcpSrcDHCId |
文字列 |
RFC4701で定義されている DHCP クライアント ID。 |
| DhcpSubscriberId |
文字列 |
RFC3993で定義されている DHCP サブスクライバー ID。 |
| DhcpUserClass (DHCPユーザークラス) |
文字列 |
RFC3004 で定義されているとおりの DHCP ユーザー クラス。 |
| DhcpUserClassId (DHCPユーザークラスID) |
文字列 |
RFC3004 で定義されているとおりの DHCP ユーザー クラス ID。 |
| DhcpVendorClass |
文字列 |
RFC3925 で定義されているとおりの DHCP ベンダー クラス。 |
| DhcpVendorClassId |
文字列 |
RFC3925 で定義されているとおりの DHCP ベンダー クラス ID。 |
| DvcAction |
文字列 |
セキュリティシステムの報告において、該当する場合にシステムが取るアクション。 |
| DvcDescription |
文字列 |
デバイスに関連付けられる説明のテキスト。 |
| DvcDomain |
文字列 |
スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスのドメイン |
| Dvcドメインタイプ |
文字列 |
DvcDomain の種類。 |
| DvcFQDN |
文字列 |
イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のホスト名。 |
| Dvcホスト名 |
文字列 |
イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) のホスト名。 |
| DvcId |
文字列 |
イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) の一意の ID。 |
| DvcIdType |
文字列 |
DvcId の種類。 |
| DvcInterface |
文字列 |
データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。 |
| DvcIpAddr |
文字列 |
イベントが発生した、またはイベントを報告したデバイス (スキーマによって異なります) の IP アドレス。 |
| DvcMacAddr |
文字列 |
イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 |
| DvcOriginalAction |
文字列 |
レポート デバイスによって提供された元の DvcAction。 |
| DvcOs |
文字列 |
イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。 |
| DvcOsVersion |
文字列 |
イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。 |
| DvcScope |
文字列 |
デバイスが属するクラウドプラットフォームの範囲。 Azure のサブスクリプション名と AWS のアカウント ID に DvcScope がマップされます。 |
| DvcScopeId |
文字列 |
デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| DvcZone |
文字列 |
イベントが発生した、またはイベントを報告したネットワーク (スキーマによって異なります)。 ゾーンは、レポート デバイスによって定義されます。 |
| イベント数 |
整数 (int) |
レコードによって記述されるイベントの数。 この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す可能性があるときに使用されます。 |
| イベント終了時間 |
datetime |
イベントが終了した時刻。 ソースが集計をサポートし、レコードが複数のイベントを表す場合、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントメッセージ |
文字列 |
レコードに含まれるか、レコードから生成された一般的なメッセージまたは説明。 |
| イベントの元の結果の詳細 |
文字列 |
ソースによって提供される元の結果の詳細。 この値は EventResultDetails を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 |
| EventOriginalSeverity |
文字列 |
レポート デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
| EventOriginalSubType |
文字列 |
元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 |
| EventOriginalType |
文字列 |
元のイベントの種類または ID (ソースによって提供されている場合)。 |
| イベントオリジナルUID (EventOriginalUid) |
文字列 |
元のレコードの一意の ID (ソースによって提供されている場合)。 |
| イベントオーナー |
文字列 |
イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
| EventProduct |
文字列 |
イベントを生成している製品。 値は、ベンダーと製品に表示されている値のいずれかである必要があります。 |
| EventProductVersion |
文字列 |
イベントを生成している製品のバージョン。 |
| イベントレポートURL |
文字列 |
イベントに関連する追加情報を提供するリソースのURL。 |
| イベント結果 |
文字列 |
イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 |
| イベント結果の詳細 |
文字列 |
EventResult でレポートされた結果の理由または詳細。 |
| イベントスキーマ |
文字列 |
イベントの正規化先のスキーマ。 各スキーマは、そのスキーマ名を文書化します。 |
| EventSchemaVersion |
文字列 |
スキーマのバージョン。 各スキーマは、その現在のバージョンを文書化します。 |
| EventSeverity |
文字列 |
イベントの重大度。 |
| イベント開始時間 |
datetime |
イベントが開始した時刻。 ソースが集計をサポートし、レコードが複数のイベントを表す場合、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
| イベントサブタイプ |
文字列 |
EventType フィールドでレポートされた操作を細分化して記述します。 |
| イベントタイプ |
文字列 |
レコードによって報告される操作を記述します。 |
| EventVendor |
文字列 |
イベントを生成している製品のベンダー。 値は、ベンダーと製品に表示されている値のいずれかである必要があります。 |
| _IsBillable // 請求可能かどうかを示す |
文字列 |
データの取り込みが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| 要求されたIPアドレス |
文字列 |
DHCP クライアントによって要求された IP アドレス (使用可能な場合)。 |
| _ResourceId(リソース識別子) |
文字列 |
記録が関連するリソースに一意に割り当てられた識別子 |
| ルール名 |
文字列 |
検査結果に関連付けられたルールの名前または ID。 |
| ルール番号 |
整数 (int) |
検査結果に関連付けられたルールの番号。 |
| SourceSystem |
文字列 |
イベントを収集したエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| SrcDescription |
文字列 |
デバイスに関連付けられる説明のテキスト。 |
| SrcDeviceType |
文字列 |
デバイスの種類。 |
| SrcDomain |
文字列 |
デバイスのドメイン。 |
| SrcDomainType |
文字列 |
ドメインの種類。 |
| SrcDvcId |
文字列 |
デバイスの ID。 |
| SrcDvcIdType |
文字列 |
DvcIdの種類。 |
| SrcDvcScope |
文字列 |
デバイスが属するクラウドプラットフォームの範囲。 |
| SrcDvcScopeId |
文字列 |
デバイスが属するクラウド プラットフォームのスコープ ID。 |
| SrcFQDN |
文字列 |
使用可能な場合は、ドメイン情報を含むデバイスのホスト名。 |
| SrcGeoCity |
文字列 |
発信元 IP アドレスに関連付けられている都市。 |
| SrcGeoCountry |
文字列 |
発信元 IP アドレスに関連付けられている国。 |
| SrcGeoLatitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
| SrcGeoLongitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の経度。 |
| SrcGeoRegion |
文字列 |
送信元 IP アドレスに関連付けられている国内のリージョン。. |
| SrcHostname |
文字列 |
ドメイン情報を除くデバイスのホスト名。 |
| SrcIpAddr |
文字列 |
ソース デバイスの IP アドレス。 |
| SrcMacAddr |
文字列 |
接続またはセッションの開始元のネットワーク インターフェイスの MAC アドレス。 |
| SrcOriginalRiskLevel |
文字列 |
レポート デバイスによって報告された、特定されたソースに関連付けられているリスク レベル。 |
| SrcOriginalUserType |
文字列 |
ソースによって提供されている場合、元のソース ユーザーの種類。 |
| SrcPortNumber |
整数 (int) |
デバイスが通信した IP ポート (該当する場合)。 |
| SrcRiskLevel |
整数 (int) |
識別されたソースに関連付けられているリスク レベル。 |
| SrcUserId |
文字列 |
マシンが判読できる、英数字で、ユーザーを一意に表現したもの。 |
| SrcUserIdType |
文字列 |
SrcUserId の型。 |
| SrcUsername |
文字列 |
使用可能な場合は、ドメイン情報を含むユーザーのユーザー名。 |
| SrcUsernameType |
文字列 |
ユーザー名の種類。 |
| ユーザー範囲 (SrcUserScope) |
文字列 |
ユーザー名の種類。 |
| SrcUserScopeId |
文字列 |
UserId とユーザー名が定義されているスコープ ID (Azure AD テナント ID など)。 |
| SrcUserSessionId |
文字列 |
ユーザーのサインイン セッションの一意の ID。 |
| SrcUserType |
文字列 |
ユーザーの種類 |
| SrcUserUid |
文字列 |
ユーザーの Unix または Linux ユーザー ID。 |
| _SubscriptionId(サブスクリプションID) |
文字列 |
レコードが関連付けられているサブスクリプションの一意識別子 |
| テナントID (TenantId) |
文字列 |
Log Analytics ワークスペース ID |
| 脅威カテゴリ |
文字列 |
アクティビティで特定された脅威またはマルウェアのカテゴリ。 |
| ThreatConfidence |
整数 (int) |
識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatField |
文字列 |
脅威が特定されたフィールド。 |
| 脅威初報告時間 |
datetime |
IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| 脅威識別子 |
文字列 |
アクティビティで識別された脅威またはマルウェアの ID。 |
| 脅威が活動中です |
ブール |
特定された脅威がアクティブな脅威と見なされる真の ID。 |
| 脅威最終報告時間 |
datetime |
最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
| ThreatName |
文字列 |
アクティビティで識別された脅威またはマルウェアの名前。 |
| ThreatOriginalConfidence |
文字列 |
レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatOriginalRiskLevel |
文字列 |
レポート デバイスによって報告されたリスク レベル。 |
| 脅威リスクレベル |
整数 (int) |
識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 |
| タイムジェネレイテッド |
datetime |
イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
| タイプ |
文字列 |
テーブルの名前 |