次の方法で共有


SecurityEvent

Azure Security Centerまたは Azure Sentinel によって Windows マシンから収集されたセキュリティ イベント。

テーブル属性

属性
リソースの種類 microsoft.securityinsights/securityinsights,
microsoft.compute/virtualmachines、
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Categories (カテゴリ) セキュリティ
ソリューション Security、SecurityInsights
基本的なログ いいえ
インジェスト時間変換 Yes
サンプル クエリ はい

Column Type 説明
AccessMask string 要求または実行された操作の 16 進マスク。
Account string サービスまたはユーザーのセキュリティ コンテキスト。
AccountDomain string サブジェクトのドメインまたはコンピューター名。
AccountExpires string アカウントの有効期限が切れる日付。
AccountName string "ドメイン信頼の削除" 操作を要求したアカウントの名前。
AccountSessionIdentifier string セッションの作成時にマシンによって生成される一意識別子。
AccountType string アカウントがコンピューター アカウント (コンピューター) かユーザーのアカウントかを識別します。
アクティビティ string イベントのわかりやすいタイトルが発生しました。
AdditionalInfo: string リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。
AdditionalInfo2 string リストで表される、他のフィールドにマップされていないソースによって提供される追加情報。
AllowedToDelegateTo string このアカウントが委任された資格情報を提示できる SPN の一覧。
属性 string イベントに関する追加情報。
AuditPolicyChanges string ファイルまたはレジストリ キーのシステム監査ポリシーまたは監査設定に変更が加えられたときに生成されるイベント。
AuditsDiscarded INT 破棄された監査メッセージの数。
AuthenticationLevel INT 破棄された監査メッセージの数。
AuthenticationPackageName string 読み込まれた認証パッケージの名前。 形式は次のとおりです。DLL_PATH_AND_NAME: AUTHENTICATION_PACKAGE_NAME。
AuthenticationProvider string 認証プロセスを担当するプロバイダーの ID (証明機関、ユーザー名、パスワード認証システムなどを含めることができます)。
AuthenticationServer string 認証プロバイダーを配置したサーバー。
AuthenticationService INT 認証プロバイダーを配置したサービス。
AuthenticationType string イベントに使用された認証の種類 (2 要素認証、生体認証など)。
AzureDeploymentID string ログが属しているクラウド サービスの Azure デプロイ ID。
_BilledSize real レコード サイズ (バイト単位)
CACertificateHash string イベントを実行したユーザーの認証に使用された証明機関 (CA) 証明書のハッシュ値。
CalledStationID string セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。
CallerProcessId string ログオンを試行したプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、オペレーティング システムがアクティブなプロセスを一意に識別するために使用される数値です。
CallerProcessName string プロセスの完全パスと実行可能ファイルの名前。
CallingStationID string セキュリティ イベントの原因となったアクションを開始したステーションの ID に関する情報。
CAPublicKeyHash string 証明書を発行した証明機関 (CA) の公開キーを識別するハッシュ値。
CategoryId string 発生したセキュリティ イベントのカテゴリ (ログイン試行、データ侵害など)。
CertificateDatabaseHash string 証明書を発行したデータベースを識別するハッシュ値。
チャネル string イベントがログに記録されたチャネル。
ClassId string デバイスの 'Class Guid' 属性。
ClassName string デバイスの 'Class' 属性。
ClientAddress string TGT 要求の受信元のコンピューターの IP アドレス。
ClientIPAddress string イベントの原因となったアクションを開始したコンピューターの IP アドレス。
Clientname string ユーザーが再接続されたコンピューター名。 コンソール セッションの値が "不明" です。
CommandLine string イベントに関係したアプリケーションまたはプロセスに渡されたコマンド ライン引数。
CompatibleIds string device の 'Compatible Ids' 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。
Computer string イベントが発生したコンピューターの名前。
DCDNSName string イベントに関係したドメイン コントローラーの DNS 名。
DeviceDescription string イベントに関連したデバイスの説明。
deviceId string イベントに関係したデバイスの一意識別子。
DisplayName string これは、特定のアカウントのアドレス帳に表示される名前です。 これは通常、ユーザーの名、ミドル ネーム、姓の組み合わせです。
Disposition string イベントが解決されたかどうか、またはイベントに応答してアクションが実行されたかどうかなど、イベントの結果/解決。
DomainBehaviorVersion string msDS-Behavior-Version ドメイン属性が変更されました。 数値。
DomainName string 削除された信頼されたドメインの名前。
DomainPolicyChanged string イベントの一部としてドメイン ポリシー (パスワード ポリシー、セキュリティ ポリシーなど) が変更されたかどうかを示します。
DomainSid string 信頼パートナーの SID。 このパラメーターはイベントでキャプチャされない可能性があり、その場合は "NULL SID" として表示されます。
EAPType string イベント認証プロセスに使用された拡張認証プロトコル (EAP) の種類。
ElevatedToken string 'Yes' または 'No' フラグ。 "はい" の場合、このイベントが表すセッションは昇格され、管理者特権が付与されます。
ErrorCode INT エラー イベントのエラー コードが含まれています。 Success イベントの場合、このパラメーターには '0x0' 値があります。
EventData string イベントに関連付けられているイベント固有のデータ。
EventID INT プロバイダーがイベントの識別に使用した識別子。
EventSourceName string イベントをログに記録するソフトウェアの名前 (アプリケーションまたは succomponent)。
ExtendedQuarantineState string ネットワーク検疫プロセスの状態 (該当する場合)。 ネットワーク検疫は、承認されていないデバイスが特定のセキュリティ要件を満たすか、マルウェアがチェックされるまでネットワークにアクセスできないようにするプロセスです。
FailureReason string Status フィールド値のテキスト説明。 このイベントの場合、通常は "Account locked out" 値が設定されます。
FileHash string イベントの一部としてアクセスまたは変更されたファイル、または認証または承認プロセスで使用されたファイルのハッシュ値。
FilePath string 操作が実行されたキー ファイルの完全パスとファイル名。
FilePathNoUser string ユーザー名やその他のユーザー固有の情報を除く、イベントに関連するすべてのファイルのパス。
フィルター string 実行されたイベントで使用されるフィルター。
ForceLogoff string '\Security Settings\Local Policies\Security Options\Network security: ログオン時間の有効期限が切れたときに強制的にログオフする' グループ ポリシー。
Fqbn string イベントに関連するすべてのファイルの完全修飾バイナリ名 (FQBN)。
FullyQualifiedSubjectMachineName string イベントを開始したマシンの完全修飾ドメイン名 (FQDN)。
FullyQualifiedSubjectUserName string FQDN 形式でイベントを開始したユーザーまたはサービスのユーザー名。
GroupMembership string ログに記録されたアカウントが属しているグループ SID の一覧 (のメンバー)。 イベント ビューアーは SID の解決を自動的に試行し、アカウント名を表示します。 SID を解決できない場合は、イベントにソース データが表示されます。
HandleId string オブジェクト名へのハンドルの 16 進数の値。 このフィールドは、他のイベントとの関連付けに使用できます。
HardwareIds string デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。
HomeDirectory string ユーザーのホーム ディレクトリ。 homeDrive 属性が設定され、ドライブ文字が指定されている場合、homeDirectory は UNC パスである必要があります。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。
HomePath string ユーザーのホーム パス。 パスは、\Server\Share\Directory 形式のネットワーク UNC である必要があります。
InterfaceUuid string イベントに使用されたネットワーク インターフェイスの一意識別子 (UUID)。
IpAddress string イベントに関連付けられているネットワーク アドレス (通常は IPv4 または IPv6)。
IpPort string イベントに関連付けられているネットワーク ポート番号。
_IsBillable string データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合
Keylength INT NTLM セッション セキュリティ キーの長さ。 通常、128 ビットまたは 56 ビットの長さがあります。
レベル string Windows では、すべてのイベントが重大度レベルで分類されます。 重大度の順のレベルは、情報、詳細、警告、エラー、および重要な数値で表されます。
LmPackageName string イベントが生成されているコンピューターで現在ローカル セキュリティ機関 (LSA) を使用しているパッケージまたはソフトウェア コンポーネントの名前。
LocationInformation string デバイスの '位置情報' 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。
LockoutDuration string '\Security Settings\Account Policies\Account Lockout Policy\Account lockout duration' グループ ポリシー。 数値。
LockoutObservationWindow string '\Security Settings\Account Policies\Account Lockout Policy\Reset account lockout counter after' グループ ポリシー。 数値。
LockoutThreshold string '\Security Settings\Account Policies\Account Lockout Policy\Account lockout threshold' グループ ポリシー。 数値。
LoggingResult string ログオン プロセスの結果。
LogonGuid string このイベントを、同じログオン GUID を含むことができる別のイベントと関連付けるのに役立つ GUID。
LogonHours string アカウントがドメインへのログオンを許可されている時間。
LogonID string このイベントを、同じログオン ID を含む最近のイベントと関連付けるのに役立つ 16 進値。
LogonProcessName string 登録済みログオン プロセスの名前。
LogonType INT 実行されたログオンの種類。
LogonTypeName string イベント ログによってキャプチャされるログオンまたは認証イベントの種類 (共通値: Interactive、Network、RemoteInteractive、Unlock)。
MachineAccountQuota string ms-DS-MachineAccountQuota ドメイン属性が変更されました。 数値。
MachineInventory string イベントが生成されているコンピューターのハードウェア構成とソフトウェア環境に関する情報。 たとえば、コンピューターの作成とモデル、使用可能な RAM または記憶域の容量、さまざまなソフトウェア アプリケーションのバージョン番号など)、さまざまなデータ ポイントを含めることができます。
MachineLogon string マシンでのログオン イベントの成功に関する情報。
ManagementGroupName string リソースの種類に基づく追加情報。
MandatoryLabel string 新しいプロセスに割り当てられた整合性ラベルの ID。
MaxPasswordAge string システムがパスワードを変更する必要がある前にパスワードを使用できる期間 (日数)。
メンバー名 string イベントに関係したユーザー アカウント。
MemberSid string イベントに関係したユーザー アカウントに関連付けられているセキュリティ識別子 (SID)。
MinPasswordAge string システムがユーザーにパスワードの変更を要求する前にパスワードを使用する必要がある期間 (日数)。
MinPasswordLength string ユーザー アカウントのパスワードを構成できる最小文字数。
MixedDomainMode string システムまたはドメイン コントローラーのドメイン モード。
NASIdentifier string イベントに関係したネットワーク アクセス サーバー (NAS) の識別子。
NASIPv4Address string イベントに関係したネットワーク アクセス サーバー (NAS) の IPv4Address (該当する場合)。
NASIPv6Address string イベントに関係していたネットワーク アクセス サーバー (NAS) の IPv6Address (該当する場合)。
NASPort string イベントで使用されたネットワーク アクセス サーバー上のポート。
NASPortType string イベントで使用されるネットワーク アクセス サーバー (NAS) の種類。
NetworkPolicyName string イベントに関連付けられているネットワーク ポリシーの名前。
NewDate string UTC タイム ゾーンの新しい日付。 YYYY-MM-DD という形式です。
NewMaxUsers string イベントでリソースに対して許可されるユーザーの新しい最大数。
NewProcessId string 新しいプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムによって使用される番号です。
NewProcessName string 新しいプロセスの完全パスと実行可能ファイルの名前。
NewRemark string ネットワーク共有 'Comments:' フィールドの新しい値。 設定されていない場合は、'N/A' 値を持っています。
NewShareFlags string イベント内のリソースに関連付けられている共有フラグ。たとえば、リソースが読み取り専用か読み取り/書き込みであるか、非表示になっているかに関する情報、およびアクセスとアクセス許可に影響を与える可能性があるその他のパラメーター。
NewTime string UTC タイム ゾーンで設定された新しい時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です
NewUacValue string ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。
NewValue string 変更されたレジストリ キー値の新しい値。
NewValueType string 変更されたレジストリ キー値の新しい種類。
ObjectName string アクセスが要求されたオブジェクトの名前とその他の識別情報。 たとえば、ファイルの場合、パスが含まれます。
ObjectServer string ルーチンを呼び出す Windows サブシステムの名前を格納します。
ObjectType string 操作中にアクセスされたオブジェクトの型。
ObjectValueName string 変更されたレジストリ キー値の名前。
OemInformation string イベントのデバイスまたはシステムに関連付けられている元の機器メーカー (OEM)。
OldMaxUsers string イベントでリソースに対して許可された以前のユーザーの最大数。
OldRemark string ネットワーク共有 'Comments:' フィールドの古い値。 設定されていない場合は、'N/A' 値を持っています。
OldShareFlags string たとえば、リソースが読み取り専用か読み取り/書き込みであるか、非表示になっているか、アクセスとアクセス許可に影響を与える可能性があるその他のパラメーターに関する情報など、イベント内のリソースに関連付けられている以前の共有フラグ。
OldUacValue string ユーザー アカウントのパスワード、ロックアウト、無効化/有効化、スクリプト、およびその他の動作を制御するフラグを指定します。 このパラメーターには、user オブジェクトの userAccountControl 属性の以前の値が含まれています。
OldValue string 変更されたレジストリ キー値の古い値。
OldValueType string 変更されたレジストリ キー値の古い型。
OperationType string オブジェクトに対して実行された操作の種類
PackageName string ログオン中に使用された LAN Manager サブパッケージ (NTLM ファミリ プロトコル名) の名前。
ParentProcessName string イベントに関連付けられている親プロセスの名前。
PasswordHistoryLength string \Security Settings\Account Policies\Password Policy\Enforce password history" グループ ポリシー。 数値。
PasswordLastSet string アカウントのパスワードが最後に変更された時刻。
PasswordProperties string イベントに関連付けられているパスワード ポリシーまたはプロパティ (パスワードの長さ、複雑さ、有効期限など)。
PreviousDate string イベントに関連付けられた前の日付。
PreviousTime string UTC タイム ゾーンの以前の時刻。 形式は YYYY-MM-DDThh:mm:ss.nnnnnnnnnZ です。
PrimaryGroupId string ユーザーのオブジェクトプライマリ グループの相対識別子 (RID)。
PrivateKeyUsageCount string 秘密キーが使用された回数。
PrivilegeList string イベントに関連付けられているユーザー、グループ、またはシステム特権を含む特権。
Process string イベントを生成するプロセスの名前。
ProcessId string イベントを生成したプロセスを識別します。
ProcessName string プロセスの完全パスと実行可能ファイルの名前。
ProfilePath string アカウントのプロファイルへのパスを指定します。 この値には、null 文字列、ローカル絶対パス、または UNC パスを指定できます。
プロパティ string オブジェクトの種類によって異なります。 このフィールドは空にすることも、アクセスされたオブジェクト プロパティの一覧を含めることもできます。
ProtocolSequence string 認証試行に使用されるプロトコルに関する情報。
ProxyPolicyName string ネットワークに接続するためのプロキシ サーバーの構成に使用されたポリシーの名前。
QuarantineHelpURL string ネットワーク検疫の問題のトラブルシューティングに役立つ URL。
QuarantineSessionID string ファイルが検疫のために評価されたセッションの識別子。
QuarantineSessionIdentifier string ファイルが検疫のために評価されたセッションの識別子。
QuarantineState string ファイルが検疫されているかどうかを示します。
QuarantineSystemHealthResult string 検疫されたファイルの状態を示すレポート。
RelativeTargetName string アクセスされたターゲット ファイルまたはフォルダーの相対名。 このファイル パスは、ネットワーク共有に対する相対パスです。 共有自体に対してアクセスが要求された場合、このフィールドは "\" と表示されます。
RemoteIpAddress string リモート接続を開始したコンピューターの IP アドレス。
リモート ポート string 接続を開始したリモート コンピューターのポート番号。
[要求元] string イベントリクエスター識別子。
RequestId string HTTP 経由で行われた要求など、特定の要求に関連付けられている一意の識別子。
_ResourceId string レコードが関連付けられているリソースの一意識別子
RestrictedAdminMode string RemoteInteractive ログオンの種類のセッションに対してのみ設定されます。 これは、指定された資格情報が制限付き管理 モードを使用して渡されたかどうかを示す Yes/No フラグです。 制限付き管理 モードは Win8.1/2012R2 で追加されましたが、このフラグは Win10 のイベントに追加されました。
RowsDeleted string 特定の操作の一部として削除された行の数。
SamAccountName string 以前のバージョンの Windows のクライアントとサーバーをサポートするために使用されるアカウントのログオン名 (Windows 2000 より前のログオン名)。
ScriptPath string アカウントのログオン スクリプトのパスを指定します。
SecurityDescriptor string 特定のオブジェクトまたはリソースのセキュリティ設定とアクセス許可に関する情報。
ServiceAccount string 起動時にサービスが実行されるセキュリティ コンテキスト。
ServiceFileName string サービス コントロール マネージャーに登録されたサービスの種類を示します。
ServiceName string インストールされているサービスの名前。
ServiceStartType INT 特定のサービスを自動的に開始するか手動で開始するかに関する情報が含まれます。
ServiceType string サービス コントロール マネージャーに登録されたサービスの種類を示します。
Sessionname string ユーザーが再接続されたセッションの名前。
ShareLocalPath string アクセスされたネットワーク共有のローカル パス。
ShareName string アクセスされたネットワーク共有の名前。 形式は \*\SHARE_NAME です。
Sidhistory string オブジェクトが別のドメインから移動された場合にオブジェクトに使用された以前の SID が含まれます。
SourceComputerId string Windows ドメイン内の各コンピューターに割り当てられた一意の識別子。
SourceSystem string イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics
Status string ログオンに失敗した理由。 このイベントの場合、通常は "0xC0000234" 値があります。 最も一般的な状態コードを表 12 に示します。 Windows ログオン状態コード。
StorageAccount string ストレージ アカウントのアクセス キーを設定します。
SubcategoryGuid string 変更されたサブカテゴリの一意の GUID。
SubcategoryId string イベントの特定の種類の一意識別子。
サブジェクト string イベントを開始したセキュリティ プリンシパル (ユーザー アカウントなど) に関する情報。
SubjectAccount string イベントを開始しているアカウントに関する情報。
SubjectDomainName string サブジェクト アカウントが属するドメインまたはワークグループに関する情報。
SubjectKeyIdentifier string 特定の証明書サブジェクトの一意識別子。
SubjectLogonId string サブジェクト アカウントに関連付けられているログオン セッションの一意識別子。
SubjectMachineName string イベントの作成元のマシンまたはシステムに関する情報。
SubjectMachineSID string イベントを生成したマシンのセキュリティ識別子 (SID)。
SubjectUserName string イベントを生成したユーザー アカウントの名前。
SubjectUserSid string イベントを生成したユーザー アカウントのセキュリティ識別子 (SID)。
_SubscriptionId string レコードが関連付けられているサブスクリプションの一意識別子
SubStatus string ログオンエラーに関する追加情報。 「表 12」に記載されている最も一般的な副状態コード。 Windows ログオン状態コード'。
TableId string イベント データが格納されている特定のデータ テーブル識別子。
TargetAccount string イベントの対象となるアカウント (ユーザー名、コンピューター名など)。
TargetDomainName string ターゲット アカウントが属しているドメインの名前。
TargetInfo string イベント ターゲットに関する追加情報 (ファイルまたはフォルダーへのパス、レジストリ キーの名前など)。
TargetLinkedLogonId string ログオン試行 ID によって関連イベントをリンクするのに役立つ情報。 関連するすべてのイベントを整理し、複数のセッションにわたるアクティビティを追跡し、攻撃ソースを特定する場合に役立ちます。
TargetLogonGuid string イベントに関連するログオン セッションに関連付けられているグローバル一意識別子 (GUID)。
TargetLogonId string イベントに関連するログオン セッションに関連付けられている一意識別子。
TargetOutboundDomainName string TargetAccount フィールドで指定されたアカウントが送信認証の試行中に認証されたドメイン。
TargetOutboundUserName string 送信認証試行中に認証されたユーザー アカウントの名前。
TargetServerName string 新しいプロセスが実行されたサーバーの名前。 プロセスがローカルで実行された場合は、"localhost" 値を持ちます。
TargetSid string 新しいプロセスが実行されたサーバーのセキュリティ識別子 (SID)。
TargetUser string 新しいプロセスを生成したユーザー アカウント識別子。
TargetUserName string 新しいプロセスを生成したユーザー アカウントの名前。
TargetUserSid string イベントに関係するユーザーまたはリソースに関連付けられているセキュリティ識別子 (SID)。
タスク INT イベントで定義されたタスク。
TemplateContent string 構造化された形式のイベント メッセージまたは通知の内容。
TemplateDSObjectFQDN string GPO テンプレートを表す DS オブジェクトの FQDN。
TemplateInternalName string GPO テンプレートの内部名。
TemplateOID string イベントの作成に使用されたテンプレートの一意識別子。
TemplateSchemaVersion string イベントに含めるデータを定義するテンプレート スキーマのバージョン。
TemplateVersion string イベントに含めるデータを定義するテンプレートのバージョン。
TenantId string Log Analytics ワークスペース ID
TimeGenerated DATETIME コンピューターでイベントが生成されたときのタイム スタンプ。
TokenElevationType string ユーザー アカウント制御ポリシーに従って新しいプロセスに割り当てられたトークンの種類。
TransmittedServices string 送信されたサービスの一覧。 転送されたサービスは、ログオンが S4U (ユーザー向けサービス) ログオン プロセスの結果である場合に設定されます。 S4U は、アプリケーション サービスがユーザーに代わって Kerberos サービス チケットを取得できるようにする Kerberos プロトコルの Microsoft 拡張機能です。最も一般的なのは、フロントエンド Web サイトがユーザーに代わって内部リソースにアクセスすることです。 S4U の詳細については、「」を参照してください https://msdn.microsoft.com/library/cc246072.aspx
Type string テーブルの名前
UserAccountControl string userAccountControl 属性の変更の一覧を表示します。 変更ごとに 1 行のテキストが表示されます。
UserParameters string ユーザーのアカウント プロパティの [ダイヤルイン] タブでActive Directory ユーザーとコンピューター 管理コンソールを使用して設定を変更すると、値は<変更されますが、このフィールドには表示されません>。 ローカル アカウントの場合、このフィールドは適用されず、常に値が設定>されていない値を持っています<。
UserPrincipalName string インターネット標準 RFC 822 に基づく、アカウントのインターネット スタイルのログイン名。 慣例により、これはアカウントの電子メール名にマップされます。
UserWorkstations string ユーザーがログオンできるコンピューターの NetBIOS または DNS 名の一覧が含まれます。 各コンピューター名はコンマで区切られます。 コンピューターの名前は、コンピューター オブジェクトの sAMAccountName プロパティです。
VendorIds string デバイスの "ハードウェア ID" 属性。 デバイスのプロパティを表示するには、デバイス マネージャーを開始し、特定のデバイス プロパティを開き、[詳細] をクリックします。
VirtualAccount string "はい" または "いいえ" フラグ。これは、アカウントが仮想アカウント ("マネージド サービス アカウント" など) であるかどうかを示します。これは、単に 'NetworkService' を使用するのではなく、特定のサービスが使用するアカウントを識別する機能を提供するために Windows 7 および Windows Server 2008 R2 で導入されました。
ワークステーション string イベントの実行に使用されたマシンの名前。
WorkstationName string ログオン試行の実行元のコンピューター名。