高度な捜索スキーマの概要
適用対象:
- Microsoft Defender XDR
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度なハンティング スキーマは、イベント情報またはデバイス、アラート、ID、およびその他のエンティティ型に関する情報を提供する複数のテーブルで構成されます。 複数のテーブルにまたがるクエリを効果的にビルドするには、高度な追求スキーマのテーブルと列を理解する必要があります。
スキーマ情報を取得する
クエリを作成するときに、組み込みのスキーマ参照を使用して、スキーマ内の各テーブルに関する次の情報をすばやく取得します。
- テーブルの説明 - テーブルに含まれるデータの種類とそのデータのソース。
- [列] - テーブル内のすべての列。
-
アクションの種類 - テーブルでサポートされているイベントの種類を表す
ActionType列の値。 この情報は、イベント情報を含むテーブルに対してのみ提供されます。 - サンプル クエリ — テーブルを利用する方法を特徴とするクエリの例。
スキーマ参照にアクセスする
スキーマ参照にすばやくアクセスするには、スキーマ表現のテーブル名の横にある [参照の表示 ] アクションを選択します。 [ スキーマ参照 ] を選択してテーブルを検索することもできます。
![Microsoft Defender ポータルの [高度なハンティング] ページの [スキーマリファレンス] ページ](/ja-jp/defender/media/understand-schema-1.png#lightbox)
スキーマ テーブルについて学習する
次の参照は、スキーマ内のすべてのテーブルを一覧表示します。 各テーブル名は、そのテーブルの列名を説明するページにリンクします。 テーブル名と列名は、高度なハンティング画面のスキーマ表現の一部として、Microsoft Defender XDRにも一覧表示されます。
| テーブル名 | 説明 |
|---|---|
| AADSignInEventsBeta | 対話型サインインと非対話型サインインのMicrosoft Entra |
| AADSpnSignInEventsBeta | Microsoft Entra サービス プリンシパルとマネージド ID サインイン |
| AlertEvidence | アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイス |
| AlertInfo | Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps、Microsoft Defender for Identityからのアラート、重大度情報、脅威の分類を含む |
| BehaviorEntities (プレビュー) | Microsoft Defender for Cloud Appsの動作データ型 (GCC では使用できません) |
| BehaviorInfo (プレビュー) | Microsoft Defender for Cloud Appsからのアラート (GCC では使用できません) |
| CloudAppEvents | Office 365 およびその他のクラウド アプリとサービスのアカウントとオブジェクトに関連するイベント |
| CloudAuditEvents | organizationのクラウド用Microsoft Defenderによって保護されたさまざまなクラウド プラットフォームのクラウド監査イベント |
| DeviceEvents | Microsoft Defenderウイルス対策やエクスプロイト保護などのセキュリティ コントロールによってトリガーされるイベントを含む、複数のイベントの種類 |
| DeviceFileCertificateInfo | エンドポイント上の証明書検証イベントから取得した署名済みファイルの証明書情報 |
| DeviceFileEvents | ファイルの作成、変更、およびその他のファイル システム イベント |
| DeviceImageLoadEvents | DLL の読み込みイベント |
| DeviceInfo | OS 情報を含むマシン情報 |
| DeviceLogonEvents | サインインおよびデバイス上のその他のイベント |
| DeviceNetworkEvents | ネットワーク接続と関連イベント |
| DeviceNetworkInfo | 物理アダプタ、IP アドレス、MAC アドレス、および接続されたネットワークとドメインなど、デバイスのネットワーク プロパティ |
| DeviceProcessEvents | プロセスの作成と関連イベント |
| DeviceRegistryEvents | レジストリ エントリの作成と変更 |
| DeviceTvmHardwareFirmware | Defender 脆弱性の管理によってチェックされるデバイスのハードウェアとファームウェアの情報 |
| DeviceTvmInfoGathering | 構成と攻撃領域の状態を含むDefender 脆弱性の管理評価イベント |
| DeviceTvmInfoGatheringKB |
DeviceTvmInfogathering テーブルで収集された評価イベントのメタデータ |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender 脆弱性の管理評価イベント。デバイス上のさまざまなセキュリティ構成の状態を示します |
| DeviceTvmSecureConfigurationAssessmentKB | デバイスを評価するためにMicrosoft Defender 脆弱性の管理によって使用されるさまざまなセキュリティ構成のナレッジ ベース。さまざまな標準とベンチマークへのマッピングが含まれます |
| DeviceTvmSoftwareEvidenceBeta | デバイスで特定のソフトウェアが検出された場所に関する証拠情報 |
| DeviceTvmSoftwareInventory | デバイスにインストールされているソフトウェアのインベントリ (バージョン情報とサポート終了の状態を含む) |
| DeviceTvmSoftwareVulnerabilities | デバイスで見つかったソフトウェアの脆弱性と、各脆弱性に対処する利用可能なセキュリティ更新プログラムの一覧 |
| DeviceTvmSoftwareVulnerabilitiesKB | 悪用コードが公開されているかどうかなど、公開されている脆弱性のサポート技術情報 |
| EmailAttachmentInfo | メールに添付されたファイルに関する情報 |
| EmailEvents | メールの配信やブロック イベントなど、Microsoft 365 のメール イベント |
| EmailPostDeliveryEvents | Microsoft 365 が受信者メールボックスに電子メールを配信した後に配信後に発生するセキュリティ イベント |
| EmailUrlInfo | メールの URL に関する情報 |
| ExposureGraphEdges | Microsoft セキュリティ露出管理露出グラフのエッジ情報を使用すると、グラフ内のエンティティと資産間のリレーションシップを可視化できます |
| ExposureGraphNodes | 組織エンティティとそのプロパティに関する露出グラフ ノード情報のMicrosoft セキュリティ露出管理 |
| IdentityDirectoryEvents | Active Directory (AD) を実行しているオンプレミス ドメイン コントローラーに関連するイベント。 このテーブルでは、ドメイン コントローラー上の ID 関連のイベントとシステム イベントの範囲を説明しています。 |
| IdentityInfo | Microsoft Entra IDを含むさまざまなソースからのアカウント情報 |
| IdentityLogonEvents | Active Directory および Microsoft オンライン サービスでの認証イベント |
| IdentityQueryEvents | ユーザー、グループ、デバイス、ドメインなどの Active Directory オブジェクトのクエリ |
| UrlClickEvents | メール メッセージ、Teams、Office 365 アプリからの安全なリンクのクリック |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。