ASimProcessEventLogs
Microsoft Sentinel プロセス イベント正規化テーブルには、プロセスの作成または終了に関連付けられたプロセス イベント ASIM 正規化スキーマを使用してイベントが格納されます。 このようなイベントは、オペレーティング システムと、EDR (エンドポイント検出と応答) システムなどのセキュリティ システムによって報告されます。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | microsoft.securityinsights/processeventnormalized |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | - |
列
Column | Type | 説明 |
---|---|---|
ActingProcessCommandLine | string | 実行プロセスを実行するために使用するコマンド ライン。 |
ActingProcessCreationTime | DATETIME | 実行プロセスが開始された日時。 |
ActingProcessFileCompany | string | 実行プロセス イメージ ファイルを作成した会社。 |
ActingProcessFileDescription | string | 実行プロセス イメージ ファイルのバージョン情報に埋め込まれた説明。 |
ActingProcessFileInternalName | string | 実行プロセス イメージ ファイルのバージョン情報からの製品内部ファイル名。 |
ActingProcessFilename | string | 処理プロセス イメージ ファイルのバージョン情報からの製品ファイル名。 |
ActingProcessFileOriginalName | string | 実行プロセス イメージ ファイルのバージョン情報からの製品の元のファイル名。 |
ActingProcessFileProduct | string | 実行プロセス イメージ ファイルのバージョン情報からの製品名。 |
ActingProcessFileSize | long | 処理プロセスを実行したファイルのサイズ (バイト単位)。 |
ActingProcessFileVersion | string | 実行プロセス イメージ ファイルのバージョン情報からの製品バージョン。 |
ActingProcessGuid | string | 処理プロセスの GUID。 |
ActingProcessId | string | 処理プロセスのプロセス ID。 |
ActingProcessIMPHASH | string | 実行プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
ActingProcessInjectedAddress | string | 責任ある実行プロセスが格納されているメモリ アドレス。 |
ActingProcessIntegrityLevel | string | 処理プロセスの整合性レベル。 |
ActingProcessIsHidden | [bool] | 実行プロセスが非表示モードかどうかを示します。 |
ActingProcessMD5 | string | 実行プロセス イメージ ファイルの MD5 ハッシュ。 |
ActingProcessName | string | 実行プロセスの名前。 |
ActingProcessSHA1 | string | 実行プロセス イメージ ファイルの SHA-1 ハッシュ。 |
ActingProcessSHA256 | string | 実行プロセス イメージ ファイルの SHA-256 ハッシュ。 |
ActingProcessSHA512 | string | 実行プロセス イメージ ファイルの SHA-512 ハッシュ。 |
ActingProcessTokenElevation | string | 実行プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。 |
ActorOriginalUserType | string | レポート デバイスによって報告されたユーザー タイプ。 |
ActorScope | string | ActorUserId と ActorUsername が定義されているスコープ (Azure AD テナントなど)。 |
ActorScopeId | string | ActorUserId と ActorUsername が定義されているスコープ ID (Azure AD テナント ID など)。 |
ActorSessionId | string | アクターのサインイン セッションの一意の ID。 |
string | コンピューターが読み取り可能な英数字のアクターの一意の表現。 | |
ActorUserIdType | string | ActorUserId フィールドに格納されている ID の種類。 |
string | アクターのユーザー名(使用可能な場合はドメイン情報を含む)。 | |
ActorUsernameType | string | ActionUsername フィールドで指定されたアクターのユーザー名の型 |
ActorUserType | string | アクターの種類。 |
AdditionalFields | 動的 | ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
_BilledSize | real | レコード サイズ (バイト単位) |
DvcAction | string | レポート セキュリティ システムの場合、システムによって実行されるアクション。 |
DvcDescription | string | デバイスに関連付けられる説明のテキスト。 |
DvcDomain | string | イベントを報告するデバイスのドメイン。 |
DvcDomainType | string | DvcDomain の種類。 指定できる値には、"Windows" と "FQDN" があります。 |
DvcFQDN | string | イベントが発生したデバイスまたはイベントを報告したデバイスのホスト名。 |
DvcHostname | string | イベントを報告するデバイスのホスト名。 |
DvcId | string | イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。 |
DvcIdType | string | DvcId の種類。 |
DvcInterface | string | データがキャプチャされたネットワーク インターフェイス。 |
DvcIpAddr | string | イベントを報告するデバイスの IP アドレス。 |
DvcMacAddr | string | イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 |
string | レポート デバイスによって提供された元の DvcAction。 | |
DvcOs | string | イベントが発生した、またはイベントを報告したデバイスで実行されているオペレーティング システム。 |
DvcOsVersion | string | イベントが発生した、またはイベントを報告したデバイスのオペレーティング システムのバージョン。 |
DvcScope | string | デバイスが属するクラウド プラットフォームのスコープ。 DvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
DvcScopeId | string | デバイスが属するクラウド プラットフォームのスコープ ID。 DvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
DvcZone | string | イベントが発生したネットワーク、またはイベントを報告したネットワーク。 |
EventCount | INT | レコードによって記述されるイベントの数。 |
EventEndTime | DATETIME | イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
EventMessage | string | 一般的なメッセージまたは説明。 |
string | ソースによって提供される元の結果の詳細。 | |
EventOriginalSeverity | string | レポート デバイスによって提供された元の重大度。 |
string | 元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 | |
EventOriginalType | string | 元のイベントの種類または ID (ソースによって提供されている場合)。 |
EventOriginalUid | string | 元のレコードの一意の ID (ソースによって提供されている場合)。 |
EventOwner | string | イベントの所有者。通常は、イベントが生成された部門または子会社です。 |
EventProduct | string | イベントを生成している製品。 |
EventProductVersion | string | イベントを生成している製品のバージョン。 |
EventReportUrl | string | リソースのイベントで提供された、そのイベントに関する他の情報を提供する URL。 |
EventResult | string | イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなど、他のイベント フィールドから派生します。 |
EventResultDetails | string | EventResult でレポートされた結果の理由または詳細。 |
EventSchemaVersion | string | スキーマのバージョン。 |
EventSeverity | string | イベントの重大度。 有効な値は、Informational、Low、Medium、または High です。 |
EventStartTime | DATETIME | イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
EventSubType | string | EventType フィールドでレポートされた操作を細分化して記述します。 |
EventType | string | レコードによって報告される操作について説明します |
EventVendor | string | イベントを生成している製品のベンダー。 |
_IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
ParentProcessCreationTime | DATETIME | 親プロセスが開始された日時。 |
ParentProcessFileCompany | string | 親プロセス イメージ ファイルを作成した会社。 |
ParentProcessFileDescription | string | 親プロセス イメージ ファイルのバージョン情報からの説明。 |
ParentProcessFileProduct | string | 親プロセス イメージ ファイルのバージョン情報からの製品名。 |
ParentProcessFileVersion | string | 親プロセス イメージ ファイルのバージョン情報からの製品バージョン。 |
ParentProcessGuid | string | 親プロセスの GUID。 |
ParentProcessId | string | 親プロセスのプロセス ID。 |
ParentProcessIMPHASH | string | 親プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
ParentProcessInjectedAddress | string | 責任ある親プロセスが格納されているメモリ アドレス。 |
ParentProcessIntegrityLevel | string | 親プロセスの整合性レベル。 |
ParentProcessIsHidden | [bool] | 親プロセスが非表示モードかどうかを示します。 |
ParentProcessMD5 | string | 親プロセス イメージ ファイルの MD5 ハッシュ。 |
ParentProcessName | string | 親プロセスの名前。 |
ParentProcessSHA1 | string | 親プロセス イメージ ファイルの SHA-1 ハッシュ。 |
ParentProcessSHA256 | string | 親プロセス イメージ ファイルの SHA-256 ハッシュ。 |
ParentProcessSHA512 | string | 親プロセス イメージ ファイルの SHA-512 ハッシュ。 |
ParentProcessTokenElevation | string | 親プロセスに適用されたユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークン。 |
_ResourceId | string | レコードが関連付けられているリソースの一意識別子 |
RuleName | string | 検査結果に関連付けられたルールの名前または ID。 |
RuleNumber | INT | 検査結果に関連付けられたルールの番号。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
_SubscriptionId | string | レコードが関連付けられているサブスクリプションの一意識別子 |
TargetOriginalUserType | string | レポート デバイスによって報告されたユーザー タイプ。 |
TargetProcessCommandLine | string | ターゲット プロセスを実行するために使用するコマンド ライン。 |
TargetProcessCreationTime | DATETIME | ターゲット プロセスが開始された日時。 |
TargetProcessCurrentDirectory | string | ターゲット プロセスが実行される現在のディレクトリ。 |
TargetProcessFileCompany | string | ターゲット プロセス イメージ ファイルを作成した会社。 |
TargetProcessFileDescription | string | ターゲット プロセス イメージ ファイルのバージョン情報からの説明。 |
TargetProcessFileInternalName | string | ターゲット プロセス イメージ ファイルのバージョン情報からの製品内部ファイル名。 |
TargetProcessFilename | string | ターゲット プロセス イメージ ファイルのバージョン情報からの製品ファイル名。 |
TargetProcessFileOriginalName | string | ターゲット プロセス イメージ ファイルのバージョン情報からの製品の元のファイル名。 |
TargetProcessFileProduct | string | ターゲット プロセス イメージ ファイル内のバージョン情報の製品名。 |
TargetProcessFileSize | long | イベントを担当するプロセスを実行したファイルのサイズ (バイト単位)。 |
TargetProcessFileVersion | string | ターゲット プロセス イメージ ファイルのバージョン情報からの製品バージョン。 |
TargetProcessGuid | string | ターゲット プロセスの GUID。 |
TargetProcessId | string | ターゲット プロセスのプロセス ID。 |
TargetProcessIMPHASH | string | ターゲット プロセスで使用されるすべてのライブラリ DLL のインポート ハッシュ。 |
TargetProcessInjectedAddress | string | 責任あるターゲット プロセスが格納されているメモリ アドレス。 |
TargetProcessIntegrityLevel | string | ターゲット プロセスの整合性レベル。 |
TargetProcessIsHidden | [bool] | ターゲット プロセスが非表示モードかどうかを示します。 |
TargetProcessMD5 | string | ターゲット プロセス イメージ ファイルの MD5 ハッシュ。 |
TargetProcessName | string | ターゲット プロセスの名前。 |
TargetProcessSHA1 | string | ターゲット プロセス イメージ ファイルの SHA-1 ハッシュ。 |
TargetProcessSHA256 | string | ターゲット プロセス イメージ ファイルの SHA-256 ハッシュ。 |
TargetProcessSHA512 | string | ターゲット プロセス イメージ ファイルの SHA-512 ハッシュ。 |
TargetProcessStatusCode | string | 終了時にターゲット プロセスによって返される終了コード。 |
TargetProcessTokenElevation | string | ターゲット プロセスに適用されるユーザー Access Control (UAC) 特権の昇格の有無を示すトークン。 |
TargetScope | string | TargetUserId と TargetUsername が定義されているスコープ (Azure AD テナントなど)。 |
TargetScopeId | string | TargetUserId と TargetUsername が定義されているスコープ ID (Azure AD テナント ID など)。 |
string | マシンが読み取り可能な英数字、アクターの一意の表現。 | |
TargetUserIdType | string | TargetUserId フィールドに格納されている ID の種類。 |
string | 使用可能な場合は、ドメイン情報を含むターゲット アクターのユーザー名。 | |
TargetUsernameType | string | TargetUsername フィールドで指定されたターゲット アクターのユーザー名の種類 |
TargetUserSessionGuid | string | ターゲット アクターのサインイン セッションの一意の guid。 |
TargetUserSessionId | string | ターゲット アクターのサインイン セッションの一意の ID。 |
TargetUserType | string | ターゲット アクターの型。 |
TenantId | string | Log Analytics ワークスペース ID |
ThreatCategory | string | アクティビティで特定された脅威またはマルウェアのカテゴリ。 |
ThreatConfidence | INT | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
ThreatField | string | 脅威が特定されたフィールド。 |
ThreatFirstReportedTime | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
ThreatId | string | アクティビティで識別された脅威またはマルウェアの ID。 |
ThreatIsActive | [bool] | 特定された脅威がアクティブな脅威と見なされる真の ID。 |
ThreatLastReportedTime | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
ThreatName | string | アクティビティで識別された脅威またはマルウェアの名前。 |
ThreatOriginalConfidence | string | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
ThreatOriginalRiskLevel | string | レポート デバイスによって報告されたリスク レベル。 |
ThreatRiskLevel | INT | 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 |
TimeGenerated | DATETIME | イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
Type | string | テーブルの名前 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示