高度なハンティング スキーマのAlertEvidence テーブルには、Microsoft Defender for Endpoint、Microsoft Defender for Office 365 からのアラートに関連付けられているさまざまなエンティティ (ファイル、IP アドレス、URL、ユーザー、またはデバイス) に関する情報が含まれています。Microsoft Defender for Cloud Apps、およびMicrosoft Defender for Identity。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
この高度なハンティング テーブルは、さまざまなMicrosoft Defender サービスのレコードによって設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRでサービスをデプロイする方法の詳細については、「サポートされているサービスをデプロイする」を参照してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
AlertId |
string |
アラートの一意識別子 |
Title |
string |
アラートのタイトル |
Categories |
string |
情報が属するカテゴリの一覧 (JSON 配列形式) |
AttackTechniques |
string |
MITRE ATT&アラートをトリガーしたアクティビティに関連付けられた CK 手法 |
ServiceSource |
string |
アラート情報を提供した製品またはサービス |
DetectionSource |
string |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー |
EntityType |
string |
ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類 |
EvidenceRole |
string |
エンティティがアラートにどのように関与しているか(影響を受けたか、単に関連しているかを示す) |
EvidenceDirection |
string |
エンティティがネットワーク接続のソースか宛先かを示します |
FileName |
string |
記録されたアクションが適用されたファイルの名前 |
FolderPath |
string |
記録されたアクションが適用されたファイルを含むフォルダー |
SHA1 |
string |
記録されたアクションが適用されたファイルの SHA-1 |
SHA256 |
string |
記録されたアクションが適用されたファイルの SHA-256 このフィールドは通常設定されません。使用可能な場合は SHA1 列を使用します。 |
FileSize |
long |
ファイルのサイズ (バイト単位) |
ThreatFamily |
string |
疑わしいファイルまたは悪意のあるファイルまたはプロセスが以下に分類されているマルウェア ファミリ |
RemoteIP |
string |
に接続されていた IP アドレス |
RemoteUrl |
string |
に接続されていた URL または完全修飾ドメイン名 (FQDN) |
AccountName |
string |
アカウントのユーザー名 |
AccountDomain |
string |
アカウントのドメイン |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID) |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
LocalIP |
string |
通信中に使用されるローカル デバイスに割り当てられた IP アドレス |
NetworkMessageId |
string |
Office 365 により生成されたメールの一意の識別子 |
EmailSubject |
string |
メールの件名 |
Application |
string |
記録されたアクションを実行したアプリケーション |
ApplicationId |
int |
アプリケーションの一意識別子 |
OAuthApplicationId |
string |
サード パーティの OAuth アプリケーションの一意識別子 |
ProcessCommandLine |
string |
新しいプロセスの作成に使用されるコマンド ライン |
RegistryKey |
string |
記録されたアクションが適用されたレジストリ キー |
RegistryValueName |
string |
記録されたアクションが適用されたレジストリ値の名前 |
RegistryValueData |
string |
記録されたアクションが適用されたレジストリ値のデータ |
AdditionalFields |
string |
エンティティまたはイベントに関する追加情報 |
Severity |
string |
アラートで識別された脅威インジケーターまたは侵害アクティビティの起こりうる影響 (高、中、低) を示します。 |
CloudResource |
string |
クラウド リソース名 |
CloudPlatform |
string |
リソースが属するクラウド プラットフォームは、Azure、Amazon Web Services、または Google Cloud Platform のいずれかです。 |
ResourceType |
string |
クラウド リソースの種類 |
ResourceID |
string |
アクセスされたクラウド リソースの一意識別子 |
SubscriptionId |
string |
クラウド サービス サブスクリプションの一意識別子 |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。