高度な捜索スキーマの概要

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

適用対象:

  • Microsoft Defender XDR

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

高度なハンティング スキーマは、イベント情報またはデバイス、アラート、ID、およびその他のエンティティ型に関する情報を提供する複数のテーブルで構成されます。 複数のテーブルにまたがるクエリを効果的にビルドするには、高度な追求スキーマのテーブルと列を理解する必要があります。

スキーマ情報を取得する

クエリを作成するときに、組み込みのスキーマ参照を使用して、スキーマ内の各テーブルに関する次の情報をすばやく取得します。

  • テーブルの説明 - テーブルに含まれるデータの種類とそのデータのソース。
  • [列] - テーブル内のすべての列。
  • アクションの種類 - テーブルで ActionType サポートされているイベントの種類を表す列の値。 この情報は、イベント情報を含むテーブルに対してのみ提供されます。
  • サンプル クエリ — テーブルを利用する方法を特徴とするクエリの例。

スキーマ参照にアクセスする

スキーマ参照にすばやくアクセスするには、スキーマ表現のテーブル名の横にある [参照の表示 ] アクションを選択します。 [ スキーマ参照 ] を選択してテーブルを検索することもできます。

Microsoft Defender ポータルの [高度なハンティング] ページの [スキーマリファレンス] ページ

スキーマ テーブルについて学習する

次の参照は、スキーマ内のすべてのテーブルを一覧表示します。 各テーブル名は、そのテーブルの列名を説明するページにリンクします。 テーブル名と列名は、高度なハンティング画面のスキーマ表現の一部として、Microsoft Defender XDRにも一覧表示されます。

テーブル名 説明
AADSignInEventsBeta 対話型サインインと非対話型サインインのMicrosoft Entra
AADSpnSignInEventsBeta Microsoft Entra サービス プリンシパルとマネージド ID サインイン
AlertEvidence アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイス
AlertInfo Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps、Microsoft Defender for Identityからのアラート、重大度情報、脅威の分類を含む
BehaviorEntities Microsoft Defender for Cloud Appsでの動作データ型
BehaviorInfo Microsoft Defender for Cloud Appsからのアラート
CloudAppEvents Office 365 およびその他のクラウド アプリとサービスのアカウントとオブジェクトに関連するイベント
DeviceEvents Microsoft Defenderウイルス対策やエクスプロイト保護などのセキュリティ コントロールによってトリガーされるイベントを含む、複数のイベントの種類
DeviceFileCertificateInfo エンドポイント上の証明書検証イベントから取得した署名済みファイルの証明書情報
DeviceFileEvents ファイルの作成、変更、およびその他のファイル システム イベント
DeviceImageLoadEvents DLL の読み込みイベント
DeviceInfo OS 情報を含むマシン情報
DeviceLogonEvents サインインおよびデバイス上のその他のイベント
DeviceNetworkEvents ネットワーク接続と関連イベント
DeviceNetworkInfo 物理アダプタ、IP アドレス、MAC アドレス、および接続されたネットワークとドメインなど、デバイスのネットワーク プロパティ
DeviceProcessEvents プロセスの作成と関連イベント
DeviceRegistryEvents レジストリ エントリの作成と変更
DeviceTvmHardwareFirmware Defender 脆弱性管理によってチェックされたデバイスのハードウェアとファームウェアの情報
DeviceTvmInfoGathering 構成と攻撃領域の状態を含む Defender 脆弱性管理評価イベント
DeviceTvmInfoGatheringKB テーブルに収集された評価イベントの DeviceTvmInfogathering メタデータ
DeviceTvmSecureConfigurationAssessment Microsoft Defender 脆弱性の管理評価イベント。デバイス上のさまざまなセキュリティ構成の状態を示します
DeviceTvmSecureConfigurationAssessmentKB デバイスを評価するためにMicrosoft Defender 脆弱性の管理によって使用されるさまざまなセキュリティ構成のナレッジ ベース。さまざまな標準とベンチマークへのマッピングが含まれます
DeviceTvmSoftwareEvidenceBeta デバイスで特定のソフトウェアが検出された場所に関する証拠情報
DeviceTvmSoftwareInventory デバイスにインストールされているソフトウェアのインベントリ (バージョン情報とサポート終了の状態を含む)
DeviceTvmSoftwareVulnerabilities デバイスで見つかったソフトウェアの脆弱性と、各脆弱性に対処する利用可能なセキュリティ更新プログラムの一覧
DeviceTvmSoftwareVulnerabilitiesKB 悪用コードが公開されているかどうかなど、公開されている脆弱性のサポート技術情報
EmailAttachmentInfo メールに添付されたファイルに関する情報
EmailEvents メールの配信やブロック イベントなど、Microsoft 365 のメール イベント
EmailPostDeliveryEvents Microsoft 365 が受信者メールボックスに電子メールを配信した後に配信後に発生するセキュリティ イベント
EmailUrlInfo メールの URL に関する情報
ExposureGraphEdges Microsoft Security Exposure Management の露出グラフエッジ情報により、グラフ内のエンティティと資産間の関係が可視化されます
ExposureGraphNodes 組織のエンティティとそのプロパティに関する Microsoft Security Exposure Management 露出グラフ ノード情報
IdentityDirectoryEvents Active Directory (AD) を実行しているオンプレミス ドメイン コントローラーに関連するイベント。 このテーブルでは、ドメイン コントローラー上の ID 関連のイベントとシステム イベントの範囲を説明しています。
IdentityInfo Microsoft Entra IDを含むさまざまなソースからのアカウント情報
IdentityLogonEvents Active Directory および Microsoft オンライン サービスでの認証イベント
IdentityQueryEvents ユーザー、グループ、デバイス、ドメインなどの Active Directory オブジェクトのクエリ
UrlClickEvents メール メッセージ、Teams、Office 365 アプリからの安全なリンクのクリック

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします