| アカウントドメイン |
ひも |
アカウントのドメイン。 |
| アカウント名 |
ひも |
アカウントのユーザー名。 |
| AccountObjectId(アカウントのオブジェクトID) |
ひも |
Azure AD のアカウントの一意識別子。 |
| AccountSid(アカウント識別子) |
ひも |
アカウントのセキュリティ識別子 (SID)。 |
| AccountUpn |
ひも |
アカウントのユーザー プリンシパル名 (UPN) |
| アクションタイプ |
ひも |
イベントをトリガーしたアクティビティの種類。 |
| AdditionalFields |
ダイナミック |
エンティティまたはイベントに関する追加情報。 |
| AppGuardContainerId |
ひも |
ブラウザー アクティビティを分離するために Application Guard によって使用される仮想化コンテナーの識別子。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| プロセスセッションIDの作成 |
長い |
作成されたプロセスの Windows セッション ID。 |
| デバイスID |
ひも |
サービスにおけるデバイスの一意の識別子。 |
| デバイス名 |
ひも |
デバイスの完全修飾ドメイン名 (FQDN)。 |
| ファイル名 |
ひも |
記録されたアクションが適用されたファイルの名前。 |
| ファイルサイズ |
長い |
ファイルのサイズ (バイト単位)。 |
| フォルダーパス |
ひも |
記録されたアクションが適用されたファイルを含むフォルダー。 |
| InitiatingProcessAccountDomain |
ひも |
イベントを担当するプロセスを実行したアカウントのドメイン。 |
| イニシエートプロセスアカウント名 |
ひも |
イベントを担当するプロセスを実行したアカウントのユーザー名。 |
| InitiatingProcessAccountObjectId |
ひも |
イベントを担当するプロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。 |
| InitiatingProcessAccountSid |
ひも |
イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)。 |
| InitiatingProcessAccountUpn |
ひも |
イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。 |
| 開始処理コマンドライン |
ひも |
イベントを開始したプロセスを実行するために使用されるコマンド ライン。 |
| InitiatingProcessCreationTime |
datetime |
イベントを開始したプロセスが開始された日時。 |
| 開始処理ファイル名 |
ひも |
イベントを開始したプロセスの名前。 |
| 開始プロセスファイルサイズ |
長い |
イベントを担当するプロセスを実行したファイル (バイト) のサイズ。 |
| InitiatingProcessFolderPath (イニシエーティングプロセスフォルダパス) |
ひも |
イベントを開始したプロセス (イメージ ファイル) を含むフォルダー。 |
| InitiatingProcessId |
長い |
イベントを開始したプロセスのプロセス ID (PID)。 |
| InitiatingProcessIntegrityLevel |
ひも |
イベントを開始したプロセスの整合性レベル。 Windows では、インターネット ダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。. |
| InitiatingProcessLogonId |
長い |
イベントを開始したプロセスのログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。. |
| InitiatingProcessMD5 |
ひも |
イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ。 |
| InitiatingProcessParentCreationTime |
datetime |
イベントを担当するプロセスの親が開始された日時。 |
| InitiatingProcessParentFileName |
ひも |
イベントを担当するプロセスを生成した親プロセスの名前。 |
| InitiatingProcessParentId |
長い |
イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)。 |
| 起動プロセス リモートセッション デバイス名 |
ひも |
開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名。 |
| InitiatingProcessRemoteSessionIP |
ひも |
開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス。 |
| InitiatingProcessSessionId |
長い |
開始プロセスの Windows セッション ID。 |
| InitiatingProcessSHA1 |
ひも |
イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ。 |
| InitiatingProcessSHA256 |
ひも |
イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 場合によっては、この列が設定されない場合があります。代わりに InitiatingProcessSHA1 列を使用してください。 |
| InitiatingProcessSignatureStatus |
ひも |
イベントを開始したプロセス (イメージ ファイル) の署名の状態に関する情報。 |
| InitiatingProcessSignerType |
ひも |
イベントを開始したプロセス (イメージ ファイル) のファイル署名者の種類。 |
| プロセストークン昇格の開始 |
ひも |
イベントを開始したプロセスに適用されるユーザー アクセス制御 (UAC) 特権昇格の有無を示すトークンの種類。 |
| InitiatingProcessUniqueId |
ひも |
開始プロセスの一意識別子。これは、Windows デバイスのプロセス開始キーと同じです。 |
| InitiatingProcessVersionInfoCompanyName |
ひも |
イベントを担当するバージョン情報 (イメージ ファイル) 内の会社名。 |
| InitiatingProcessVersionInfoFileDescription |
ひも |
イベントを担当するバージョン情報 (イメージ ファイル) の説明。 |
| InitiatingProcessVersionInfoInternalFileName |
ひも |
イベントを担当するバージョン情報 (イメージ ファイル) 内の内部ファイル名。 |
| InitiatingProcessVersionInfoOriginalFileName |
ひも |
イベントを担当するバージョン情報 (イメージ ファイル) 内の元のファイル名。 |
| InitiatingProcessVersionInfoProductName |
ひも |
イベントを担当するバージョン情報 (イメージ ファイル) 内の製品名。 |
| InitiatingProcessVersionInfoProductVersion |
ひも |
イベントを担当するバージョン情報 (イメージ ファイル) 内の製品バージョン。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| IsInitiatingProcessRemoteSession |
ブール |
開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します。 |
| IsProcessRemoteSession |
ブール |
作成されたプロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します。 |
| ログオンID |
長い |
ログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。 |
| マシングループ |
ひも |
マシンのコンピューター グループ。 このグループは、マシンへのアクセスを決定するためにロールベースのアクセス制御によって使用されます。 |
| MD5 |
ひも |
記録されたアクションが適用されたファイルの MD5 ハッシュ。 |
| ProcessCommandLine |
ひも |
新しいプロセスの作成に使用されるコマンド ライン。 |
| プロセス生成時間 |
DATETIME |
プロセスが作成された日時。 |
| ProcessId |
長い |
新しく作成されたプロセスのプロセス ID (PID)。 |
| プロセス整合性レベル |
ひも |
新しく作成されたプロセスの整合性レベル。 Windows では、ダウンロードしたインターネットから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。. |
| プロセスリモートセッションデバイスネーム (ProcessRemoteSessionDeviceName) |
ひも |
作成されたプロセスの RDP セッションが開始されたリモート デバイスのデバイス名。 |
| リモートセッションIPを処理する |
ひも |
作成されたプロセスの RDP セッションが開始されたリモート デバイスの IP アドレス。 |
| プロセストークンの昇格 |
ひも |
新しく作成されたプロセスに適用されるユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークンの種類。 |
| ProcessUniqueId |
ひも |
プロセスの一意識別子。これは、Windows デバイスのプロセス開始キーと同じです。 |
| ProcessVersionInfoCompanyName |
ひも |
新しく作成されたプロセスのバージョン情報の会社名。 |
| プロセスバージョン情報ファイルの説明 |
ひも |
新しく作成されたプロセスのバージョン情報からの説明。 |
| ProcessVersionInfoInternalFileName |
ひも |
新しく作成されたプロセスのバージョン情報からの内部ファイル名。 |
| ProcessVersionInfoOriginalFileName |
ひも |
新しく作成されたプロセスのバージョン情報の元のファイル名。 |
| ProcessVersionInfoProductName |
ひも |
新しく作成されたプロセスのバージョン情報の製品名。 |
| ProcessVersionInfoProductVersion |
ひも |
新しく作成されたプロセスのバージョン情報からの製品バージョン。 |
| ReportId |
長い |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。 |
| SHA1 |
ひも |
記録されたアクションが適用されたファイルの SHA-1 ハッシュ。 |
| SHA256 |
ひも |
記録されたアクションが適用されたファイルの SHA-256。 |
| SourceSystem |
ひも |
イベントを収集したエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| テナントID |
ひも |
ログアナリティクス ワークスペース ID |
| タイムジェネレイテッド |
DATETIME |
エンドポイント上の MDE エージェントによってイベントが記録された日時。 |
| タイプ |
ひも |
テーブルの名前 |