DeviceNetworkEvents
Microsoft Defender for Endpoints (MDE) デバイス ネットワーク イベント テーブル。 この表には、エンドポイントで実行されているプロセスによって開始されたネットワーク接続と関連イベントに関する情報が含まれています。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | - |
Categories (カテゴリ) | セキュリティ |
ソリューション | SecurityInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | - |
列
Column | Type | 説明 |
---|---|---|
ActionType | string | イベントをトリガーしたアクティビティの種類。 |
AdditionalFields | 動的 | エンティティまたはイベントに関する追加情報。 |
AppGuardContainerId | string | ブラウザーアクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子。 |
_BilledSize | real | レコード サイズ (バイト単位) |
deviceId | string | サービス内のデバイスの一意識別子。 |
DeviceName | string | デバイスの完全修飾ドメイン名 (FQDN)。 |
InitiatingProcessAccountDomain | string | 開始プロセスを実行したアカウントのドメイン。 |
InitiatingProcessAccountName | string | 開始プロセスを実行したアカウントのユーザー名。 |
InitiatingProcessAccountObjectId | string | 開始プロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。 |
InitiatingProcessAccountSid | string | 開始プロセスを実行したアカウントのセキュリティ識別子 (SID)。 |
InitiatingProcessAccountUpn | string | 開始プロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。 |
InitiatingProcessCommandLine | string | 開始プロセスの実行に使用されるコマンド ライン。 |
InitiatingProcessCreationTime | DATETIME | イベントを開始したプロセスが開始された日時。 |
InitiatingProcessFileName | string | 開始プロセスの名前。 |
InitiatingProcessFileSize | long | イベントを担当するプロセスを実行したファイルのサイズ (バイト)。 |
InitiatingProcessFolderPath | string | 開始プロセス (イメージ ファイル) を含むフォルダー。 |
InitiatingProcessId | long | 開始プロセスのプロセス ID (PID)。 |
InitiatingProcessIntegrityLevel | string | 開始プロセスの整合性レベル。 Windows では、インターネットダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。. |
InitiatingProcessMD5 | string | 開始プロセスの MD5 ハッシュ (イメージ ファイル)。 |
InitiatingProcessParentCreationTime | DATETIME | イベントを担当するプロセスの親が開始された日時。 |
InitiatingProcessParentFileName | string | 開始プロセスを生成した親プロセスの名前。 |
InitiatingProcessParentId | long | 開始プロセスを生成した親プロセスのプロセス ID (PID)。 |
InitiatingProcessSHA1 | string | 開始プロセスの SHA-1 ハッシュ (イメージ ファイル)。 |
InitiatingProcessSHA256 | string | 開始プロセス (イメージ ファイル) の SHA-256 ハッシュ。 場合によっては、この列が設定されない場合があります。代わりに InitiatingProcessSHA1 列を使用してください。 |
InitiatingProcessTokenElevation | string | 開始プロセスに適用されるユーザー Access Control (UAC) 特権の昇格の有無を示すトークンの種類。 |
InitiatingProcessVersionInfoCompanyName | string | イベントを担当するバージョン情報 (イメージ ファイル) 内の会社名。 |
InitiatingProcessVersionInfoFileDescription | string | イベントを担当するバージョン情報 (イメージ ファイル) の説明。 |
InitiatingProcessVersionInfoInternalFileName | string | イベントを担当するバージョン情報 (イメージ ファイル) 内の内部ファイル名。 |
InitiatingProcessVersionInfoOriginalFileName | string | イベントを担当するバージョン情報 (イメージ ファイル) 内の元のファイル名。 |
InitiatingProcessVersionInfoProductName | string | イベントを担当するバージョン情報 (イメージ ファイル) の製品名。 |
InitiatingProcessVersionInfoProductVersion | string | イベントを担当するバージョン情報 (イメージ ファイル) の製品バージョン。 |
_IsBillable | string | データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
LocalIP | string | 通信中に使用されるローカル コンピューターに割り当てられた IP アドレス。 |
LocalIPType | string | IP アドレスの種類 (Public、Private、Reserved、Loopback、Teredo、FourToSixMapping、Broadcast など)。 |
ローカル ポート | INT | 通信中に使用されるローカル コンピューター上の TCP ポート。 |
MachineGroup | string | マシンのマシン グループ。 このグループは、マシンへのアクセスを決定するために、ロールベースのアクセス制御によって使用されます。 |
Protocol | string | 使用される IP プロトコル (TCP または UDP)。 |
RemoteIP | string | 接続されている IP アドレス。 |
RemoteIPType | string | IP アドレスの種類 (Public、Private、Reserved、Loopback、Teredo、FourToSixMapping、Broadcast など)。 |
リモート ポート | INT | 接続先のリモート デバイス上の TCP ポート。 |
RemoteUrl | string | 接続先の URL または完全修飾ドメイン名 (FQDN)。 |
ReportId | long | 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。 |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
TenantId | string | Log Analytics ワークスペース ID |
TimeGenerated | DATETIME | エンドポイント上の MDE エージェントによってイベントが記録された日時。 |
Type | string | テーブルの名前 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示