高度なハンティング スキーマのDeviceFileEvents テーブルには、ファイルの作成、変更、およびその他のファイル システム イベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
この高度なハンティング テーブルは、Microsoft Defender for Endpointのレコードによって設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRで Defender for Endpoint を展開する方法の詳細については、「サポートされているサービスを展開する」を参照してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
ActionType |
string |
イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください。 |
FileName |
string |
記録されたアクションが適用されたファイルの名前 |
FolderPath |
string |
記録されたアクションが適用されたファイルを含むフォルダー |
SHA1 |
string |
記録されたアクションが適用されたファイルの SHA-1 |
SHA256 |
string |
記録されたアクションが適用されたファイルの SHA-256 このフィールドは通常は入力されません。使用可能な場合は、SHA1 列を使用します。 |
MD5 |
string |
記録されたアクションが適用されたファイルの MD5 ハッシュ |
FileOriginUrl |
string |
ファイルのダウンロード元の URL |
FileOriginReferrerUrl |
string |
ダウンロードしたファイルにリンクする Web ページの URL |
FileOriginIP |
string |
ファイルのダウンロード元の IP アドレス |
PreviousFolderPath |
string |
記録されたアクションが適用される前のファイルを含む元のフォルダー |
PreviousFileName |
string |
アクションの結果として名前が変更されたファイルの元の名前 |
FileSize |
long |
ファイルのサイズ (バイト単位) |
InitiatingProcessAccountDomain |
string |
イベントを担当するプロセスを実行したアカウントのドメイン |
InitiatingProcessAccountName |
string |
イベントを担当するプロセスを実行したアカウントのユーザー名。デバイスがMicrosoft Entra IDに登録されている場合は、イベントを担当するプロセスを実行したアカウントのEntra IDユーザー名が代わりに表示される可能性があります |
InitiatingProcessAccountSid |
string |
イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID) |
InitiatingProcessAccountUpn |
string |
イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。デバイスがMicrosoft Entra IDに登録されている場合は、イベントを担当するプロセスを実行したアカウントのEntra ID UPN が代わりに表示される可能性があります |
InitiatingProcessAccountObjectId |
string |
Microsoft Entraイベントを担当するプロセスを実行したユーザー アカウントのオブジェクト ID |
InitiatingProcessMD5 |
string |
イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ |
InitiatingProcessSHA1 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-1 |
InitiatingProcessSHA256 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-256。 このフィールドは通常は入力されません。使用可能な場合は、SHA1 列を使用します。 |
InitiatingProcessFolderPath |
string |
イベントを開始したプロセス (イメージ ファイル) を含むフォルダー |
InitiatingProcessFileName |
string |
イベントを開始したプロセス ファイルの名前。使用できない場合は、イベントを開始したプロセスの名前が代わりに表示される可能性があります |
InitiatingProcessFileSize |
long |
イベントを開始したプロセス (イメージ ファイル) のサイズ |
InitiatingProcessVersionInfoCompanyName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの会社名 |
InitiatingProcessVersionInfoProductName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品名 |
InitiatingProcessVersionInfoProductVersion |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン |
InitiatingProcessVersionInfoInternalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名 |
InitiatingProcessVersionInfoOriginalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの元のファイル名 |
InitiatingProcessVersionInfoFileDescription |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明 |
InitiatingProcessId |
long |
イベントを開始したプロセスのプロセス ID (PID) |
InitiatingProcessCommandLine |
string |
イベントを開始したプロセスの実行に使用されるコマンド ライン |
InitiatingProcessCreationTime |
datetime |
イベントを開始したプロセスが開始された日時 |
InitiatingProcessIntegrityLevel |
string |
イベントを開始したプロセスの整合性レベル。 Windows では、インターネットのダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。 |
InitiatingProcessTokenElevation |
string |
イベントを開始したプロセスに適用されるユーザー Access Control (UAC) 特権昇格の有無を示すトークンの種類 |
InitiatingProcessParentId |
long |
イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID) |
InitiatingProcessParentFileName |
string |
イベントを担当するプロセスを生成した親プロセスの名前 |
InitiatingProcessParentCreationTime |
datetime |
イベントを担当するプロセスの親が開始された日時 |
RequestProtocol |
string |
アクティビティの開始に使用されるネットワーク プロトコル (該当する場合): 不明、ローカル、SMB、または NFS |
RequestSourceIP |
string |
アクティビティを開始したリモート デバイスの IPv4 または IPv6 アドレス |
RequestSourcePort |
int |
アクティビティを開始したリモート デバイス上のソース ポート |
RequestAccountName |
string |
アクティビティをリモートで開始するために使用されるアカウントのユーザー名 |
RequestAccountDomain |
string |
アクティビティをリモートで開始するために使用されるアカウントのドメイン |
RequestAccountSid |
string |
アクティビティをリモートで開始するために使用されるアカウントのセキュリティ識別子 (SID) |
ShareName |
string |
ファイルを含む共有フォルダーの名前 |
SensitivityLabel |
string |
電子メール、ファイル、またはその他のコンテンツに適用され、情報保護のために分類されるラベル |
SensitivitySubLabel |
string |
サブラベルは、電子メール、ファイル、またはその他のコンテンツに適用され、情報保護のために分類されます。秘密度サブラベルは秘密度ラベルの下にグループ化されますが、個別に扱われます |
IsAzureInfoProtectionApplied |
boolean |
ファイルが Azure Information Protectionによって暗号化されているかどうかを示します |
ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
AppGuardContainerId |
string |
ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子 |
AdditionalFields |
string |
エンティティまたはイベントに関する追加情報 |
InitiatingProcessSessionId |
long |
開始プロセスの Windows セッション ID |
IsInitiatingProcessRemoteSession |
bool |
開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します |
InitiatingProcessRemoteSessionDeviceName |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名 |
InitiatingProcessRemoteSessionIP |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス |
ProcessUniqueId |
string |
プロセスの一意の識別子。これは、Windows デバイスのプロセス開始キーと同じです |
InitiatingProcessUniqueId |
string |
開始プロセスの一意識別子。これは、Windows デバイスのプロセス開始キーと同じです |
注:
ファイル ハッシュ情報は、使用可能な場合は常に表示されます。 ただし、SHA1、SHA256、または MD5 を計算できない理由はいくつかあります。 たとえば、ファイルはリモート ストレージに配置され、別のプロセスによってロックされたり、圧縮されたり、仮想としてマークされたりすることがあります。 これらのシナリオでは、ファイル ハッシュ情報は空で表示されます。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。