MDCFileIntegrityMonitoringEvents
Windows および Linux ファイルの変更と、ソフトウェア レジストリ キーの変更を表示します。 このテーブルのイベントは、Microsoft Defender for Endpoint (MDE) によって収集されます。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | - |
| Categories (カテゴリ) | セキュリティ |
| ソリューション | LogManagement |
| 基本的なログ | いいえ |
| インジェスト時間変換 | いいえ |
| サンプル クエリ | - |
列
| Column | Type | 説明 |
|---|---|---|
| AADTenantID | string | 監視対象エンティティが作成、名前変更、変更、または削除されたサブスクリプションの AAD テナント ID。 |
| AzureResourceId | string | 監視対象エンティティが作成、名前変更、変更、または削除されたリソースの Azure リソース ID。 |
| _BilledSize | real | レコード サイズ (バイト単位) |
| ChangeType | string | エンティティで発生した変更の種類。 'File' エンティティの場合は、'Created'、'Modified'、'Renamed'、または 'Deleted' である必要があります。 'Registry' エンティティの場合は、'RegistryKeyCreated'、'RegistryKeyDeleted'、'RegistryValueSet'、'RegistryValueDeleted'、'RegistryKeyRenamed' のいずれかである必要があります。 |
| CloudIdentifier | string | リソースのクラウド識別子。 |
| CloudProvider | string | リソースのクラウド プロバイダー。 |
| CloudResourceType | string | クラウド リソースの種類。 |
| Computer | string | 監視対象エンティティが作成、名前変更、変更、または削除されたマシンの名前。 |
| FileMd5 | string | "ファイル" 監視対象エンティティの種類に関連します。 変更、作成、または削除されたファイルの MD5 を保持します。 |
| FileName | string | "ファイル" 監視対象エンティティの種類に関連します。 作成、名前変更、変更、または削除されたファイルの名前を保持します。 |
| FilePath | string | "ファイル" 監視対象エンティティの種類に関連します。 作成、名前変更、変更、または削除されたファイルのパスを保持します。 |
| FileSha1 | string | "ファイル" 監視対象エンティティの種類に関連します。 変更、作成、または削除されたファイルの SHA1 を保持します。 |
| FileSha256 | string | "ファイル" 監視対象エンティティの種類に関連します。 変更、作成、または削除されたファイルの SHA256 を保持します。 |
| FileSize | long | "ファイル" 監視対象エンティティの種類に関連します。 作成、名前変更、変更、または削除されたファイルの現在のサイズ (バイト単位) を保持します。 |
| FileType | string | "ファイル" 監視対象エンティティの種類に関連します。 作成、名前変更、変更、または削除されたファイルの種類を保持します。 使用可能な値の例: Zip、PDF、Xar など。 |
| InitiatingProcessAccountDomainName | string | 監視対象エンティティ イベントの原因となった開始プロセスのアカウント ドメイン名を保持します。 |
| InitiatingProcessAccountName | string | 監視対象エンティティ イベントの原因となった開始プロセスのアカウント名を保持します。 |
| InitiatingProcessAccountSid | string | 監視対象エンティティ イベントの原因となった開始プロセスのアカウント SID を保持します。 |
| InitiatingProcessCreationTime | DATETIME | 監視対象エンティティ イベントの原因となった開始プロセスの作成時間を保持します。 |
| InitiatingProcessFirstSeen | DATETIME | 監視対象エンティティ イベントの原因となった開始プロセスの最初に表示された時刻を保持します。 |
| InitiatingProcessId | long | 監視対象エンティティ イベントの原因となった開始プロセスのプロセス ID を保持します。 |
| InitiatingProcessImageFileName | string | 監視対象エンティティ イベントの原因となった開始プロセスのイメージ ファイル名を保持します。 |
| InitiatingProcessImageFilePath | string | 監視対象エンティティ イベントの原因となった開始プロセスのイメージ ファイル パスを保持します。 |
| InitiatingProcessImageFileType | string | 監視対象エンティティ イベントの原因となった開始プロセスのイメージ ファイルの種類を保持します。 |
| InitiatingProcessName | string | 監視対象エンティティ イベントの原因となった開始プロセスの名前を保持します。 |
| InitiatingProcessSessionId | long | 監視対象エンティティ イベントの原因となった開始プロセスのセッション ID を保持します。 |
| InitiatingProcessSource | string | 監視対象エンティティ イベントの原因となった開始プロセスのソースを保持します。 |
| InitProcImageCreationTimeUtc | DATETIME | 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ作成時間を保持します。 |
| InitProcImageFileSizeInBytes | long | 監視対象エンティティ イベントの原因となった開始プロセスのイメージ ファイル サイズ (バイト単位) を保持します。 |
| InitProcImageLastAccessTimeUtc | DATETIME | 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージの最終アクセス時間を保持します。 |
| InitProcImageLastWriteTimeUtc | DATETIME | 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージの最終書き込み時間を保持します。 |
| InitProcImageLsHash | string | 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ LS ハッシュを保持します。 |
| InitProcImageMd5 | string | 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ MD5 を保持します。 |
| InitProcImagePeTimestampUtc | DATETIME | 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ PE 時間を保持します。 |
| InitProcImageSha1 | string | 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ SHA 1 を保持します。 |
| InitProcImageSha256 | string | 監視対象エンティティ イベントの原因となった開始プロセスのイメージのイメージ SHA 256 を保持します。 |
| InitProcVersionInfoCompanyName | string | 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報会社名を保持します。 |
| InitProcVersionInfoFileDescription | string | 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報ファイルの説明を保持します。 |
| InitProcVersionInfoInternalFileName | string | 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報の内部ファイル名を保持します。 |
| InitProcVersionInfoOriginalFileName | string | 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報の元のファイル名を保持します。 |
| InitProcVersionInfoProductName | string | 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報製品名を保持します。 |
| InitProcVersionInfoProductVersion | string | 監視対象エンティティ イベントの原因となった開始プロセスのバージョン情報製品バージョンを保持します。 |
| _IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| MonitoredEntityType | string | 作成、名前変更、変更、または削除された監視対象エンティティの型。 'File' または 'Registry' のいずれかを指定できます。 |
| NewValueData | string | "レジストリ" で監視されるエンティティの種類に関連します。 新しいレジストリ値データを保持します。 |
| NewValueName | string | "レジストリ" で監視されるエンティティの種類に関連します。 新しいレジストリ値の名前を保持します。 |
| NewValueType | string | "レジストリ" で監視されるエンティティの種類に関連します。 新しいレジストリ値の種類を保持します。 |
| OldValueData | string | "レジストリ" で監視されるエンティティの種類に関連します。 以前のレジストリ値データを保持します。 |
| OldValueFullRegistryKey | string | "レジストリ" で監視されるエンティティの種類に関連します。 以前の完全なレジストリ キーを保持します。 |
| OldValueName | string | "レジストリ" で監視されるエンティティの種類に関連します。 以前のレジストリ値の名前を保持します。 |
| OldValueType | string | "レジストリ" で監視されるエンティティの種類に関連します。 以前のレジストリ値の型を保持します。 |
| OriginalFileName | string | 'File' 監視対象エンティティ型と 'Rename' 変更の種類に関連します。 名前の変更が行われる前に、名前が変更されたファイルの元の名前を保持します。 |
| OriginalFilePath | string | 'File' 監視対象エンティティ型と 'Rename' 変更の種類に関連します。 名前が変更される前に、名前が変更されたファイルの元のパスを保持します。 |
| RegistryHive | string | "レジストリ" 監視対象エンティティの種類に関連します。 オペレーティング システムとアプリケーションのグループ化構成設定を保持します。 |
| RegistryKey | string | "レジストリ" 監視対象エンティティの種類に関連します。 作成されたレジストリの完全なレジストリ キー、または名前が変更されたレジストリの新しいレジストリ キーを保持します。 |
| RequestAccountDomain | string | "ファイル" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントのドメインを保持します。 |
| RequestAccountName | string | "ファイル" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントの名前を保持します。 |
| RequestAccountSid | string | "ファイル" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントの SID を保持します。 |
| RequestSource | string | "ファイル" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントのソースを保持します。 たとえば、Local/SMB/NFS などです。 |
| RequestSourceIP | string | "ファイル" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントのソース IP を保持します。 リモート ファイルの場合、要求の送信元 IP。 |
| RequestSourcePort | string | "ファイル" 監視対象エンティティの種類に関連します。 ファイル イベントの原因となったユーザーのアカウントのソース ポートを保持します。 リモート ファイルの場合、要求の送信元のポート。 |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| TenantId | string | Log Analytics ワークスペース ID |
| TimeGenerated | DATETIME | 監視対象エンティティが作成、名前変更、変更、または削除された時刻 (UTC)。 |
| Type | string | テーブルの名前 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示