フィールド名
|
種類
|
一般フィールド
|
説明
|
例
|
製品
|
app
|
-
|
-
|
悪用されているレイヤ7ネットワークプロトコル
|
|
|
認証ID
|
-
|
-
|
許可ID
|
|
|
azID
|
-
|
-
|
リクエストを行った仮想マシンのアベイラビリティーゾーンID
|
|
|
チャネル
|
-
|
-
|
Windowsイベントチャネル
|
|
|
cloudIdentityAccountId
|
-
|
-
|
認証に使用するCloud IdentityアカウントID
|
|
|
cloudIdentityId
|
-
|
-
|
承認に使用するCloud Identity ID
|
|
|
cloudIdentityName
|
-
|
-
|
承認に使用するCloud Identityの名前
|
|
|
クラウドプロバイダ
|
-
|
-
|
クラウドアセットのサービスプロバイダ
|
|
|
cloudServiceApiName
|
-
|
-
|
クラウドサービスAPI
|
|
|
cloudServiceName
|
-
|
-
|
クラウドサービス
|
|
|
codeIntegrityOptionEnabled
|
-
|
-
|
ドライバ署名の適用に従って、システムが署名付きカーネルのロードを適用したかどうか
|
|
|
codeIntegrityOptionTestsign
|
-
|
-
|
システムがドライバ署名の適用チェックをバイパスし、テスト署名されたドライバのロードを許可したかどうか
|
|
|
相関データ
|
-
|
-
|
相関データ
|
-
|
|
デバイスの種類
|
-
|
-
|
ディスクドライブの種類
|
|
|
dpt
|
-
|
|
送信先ポート
|
-
|
|
dst
|
-
|
|
送信先IP
|
|
|
endpointGuid
|
-
|
|
イベントが検出されたエンドポイントのホストGUID
|
|
|
endpointHostName
|
-
|
|
イベントが検出されたエンドポイントのホスト名
|
|
|
エンドポイントIP
|
-
|
|
イベントが検出されたエンドポイントのIP
|
|
|
endpointMacAddress
|
-
|
-
|
ホストのMACアドレス
|
|
|
eventDataActionName
|
-
|
-
|
実行された処理
|
|
|
eventDataAuthenticationPackageName
|
-
|
-
|
Windowsイベントデータの認証パッケージ名
|
|
|
eventDataConsumer
|
-
|
-
|
報告されたイベントの受信者
|
|
|
eventDataIpAddress
|
-
|
-
|
Windowsイベント4624のIPアドレス (サインイン成功)
|
|
|
eventDataJobOwner
|
-
|
-
|
イベントを開始したアカウントの名前
|
|
|
eventDataLogonProcessName
|
-
|
-
|
Windowsイベントのサインインプロセス名
|
|
|
eventDataLogonType
|
-
|
-
|
Windowsイベント4624のサインインサインインの種類 (正常なサインイン試行)
|
|
|
eventDataOperation
|
-
|
-
|
Windowsイベント11 (ファイルの作成または上書き)
|
|
|
eventDataPath
|
-
|
-
|
Windowsイベントデータのパス
|
|
|
eventDataProcessPath
|
-
|
-
|
イベントを開始したプロセスパス
|
|
|
eventDataProviderName
|
-
|
-
|
Windowsイベントデータプロバイダの名前
|
|
|
eventDataProviderPath
|
-
|
-
|
Windowsイベントデータプロバイダのファイルパス
|
|
|
eventDataScriptBlockText
|
-
|
-
|
Windowsイベント4104 (PowerShellを使用したリモートコマンドの実行)
|
|
|
eventDataServiceFileName
|
-
|
-
|
サービスの実行可能ファイルの絶対パス
|
|
|
eventDataServiceName
|
-
|
-
|
サービス名
|
|
|
eventDataStatus
|
-
|
-
|
Windowsイベントデータのステータス
|
|
|
eventDataSubStatus
|
-
|
-
|
Windowsイベントデータのサブステータス
|
|
|
eventDataTargetUserName
|
-
|
-
|
Windowsイベントデータターゲットのユーザ名
|
|
|
eventDataTaskName
|
-
|
-
|
Windowsイベントによってログに記録されたタスク名
|
|
|
eventDataUserContext
|
-
|
-
|
Windowsイベントデータのユーザコンテキスト
|
|
|
eventHashId
|
-
|
-
|
イベントハッシュID
|
|
|
イベントID
|
-
|
-
|
イベントの種類
|
-
|
|
eventSubId
|
-
|
-
|
アクセスの種類
|
|
|
eventTime
|
-
|
-
|
エージェントがイベントを検出した日時
|
|
|
filterRiskLevel
|
-
|
-
|
イベントのトップレベルのリスクレベル
|
|
|
フックID
|
-
|
-
|
フックID
|
|
|
hostName
|
-
|
|
ドメイン名
|
|
|
importTable
|
-
|
-
|
インポートされたテーブル情報
|
-
|
|
importTableFileName
|
-
|
-
|
インポートされた関数を含むライブラリファイル名
|
|
|
importTableFunctionName
|
-
|
-
|
インポートされた関数ファイル名
|
|
|
インスタンスアカウントID
|
-
|
-
|
要求を行った仮想マシンのクラウドアカウントID
|
|
|
インスタンスID
|
-
|
-
|
クラウドプラットフォーム上の仮想マシンインスタンスID
|
|
|
インスタンス名
|
-
|
-
|
要求を行った仮想マシン
|
|
|
整合性レベル
|
-
|
-
|
プロセスの整合性レベル
|
-
|
|
ログオンユーザ
|
-
|
|
サインインユーザ名
|
|
|
ネットワークインタフェースID
|
-
|
-
|
要求を行った仮想マシンのネットワークインタフェース
|
|
|
objectApiName
|
-
|
-
|
実行されたAPIの名前
|
|
|
objectApiRvInNum
|
-
|
-
|
APIテレメトリの戻り値
|
|
|
objectAppName
|
-
|
-
|
AMSIイベントに関係するアプリ
|
|
|
objectAuthId
|
-
|
-
|
オブジェクト許可ID
|
|
|
objectBmData
|
-
|
-
|
BMイベントデータ
|
|
|
objectCmd
|
-
|
|
対象プロセスのコマンドラインエントリ
|
|
|
objectContentName
|
-
|
-
|
AMSIオブジェクトのコンテンツ名
|
|
|
objectCurrentPosixPermission
|
-
|
-
|
ファイルイベントとCHMODイベントで使用される新しいPOSIX権限ファイル
|
|
|
objectFileAttributesHashId
|
-
|
-
|
ファイル属性メタ情報のハッシュID
|
|
|
objectFileCreation
|
-
|
-
|
オブジェクトファイルが作成された時刻
|
|
|
objectFileCurrentOwnerName
|
-
|
-
|
オブジェクトファイルの現在の所有者名
|
|
|
objectFileCurrentOwnerSid
|
-
|
-
|
オブジェクトファイルの現在のセキュリティ識別子の所有者
|
|
|
objectFileDaclString
|
-
|
-
|
オブジェクトファイルの随意アクセス制御リスト
|
|
|
objectFileGroupName
|
-
|
-
|
オブジェクトファイルのユーザグループ名
|
|
|
objectFileGroupSid
|
-
|
-
|
オブジェクトファイルグループのセキュリティ識別子
|
|
|
objectFileHashId
|
-
|
-
|
オブジェクトファイルのハッシュID
|
|
|
objectFileHashMD5
|
-
|
|
対象プロセスイメージまたは対象ファイルのMD5ハッシュ
|
|
|
objectFileHashSha1
|
-
|
|
対象プロセスイメージまたは対象ファイルのSHA-1ハッシュ
|
|
|
objectFileHashSha256
|
-
|
|
対象プロセスイメージまたは対象ファイルのSHA-256ハッシュ
|
|
|
objectFileIsRemoteAccess
|
-
|
-
|
オブジェクトファイルへのリモートアクセスがあるかどうか
|
-
|
|
objectFileModifiedTime
|
-
|
-
|
オブジェクトファイルが変更された時刻
|
|
|
objectFileOwnerName
|
-
|
-
|
オブジェクトファイルの所有者名
|
|
|
objectFileOwnerSid
|
-
|
-
|
オブジェクトファイルの所有者のセキュリティ識別子
|
|
|
objectFilePath
|
-
|
|
対象プロセスイメージまたは対象ファイルのファイルパス
|
|
|
objectFileRemoteAccess
|
-
|
-
|
オブジェクトファイルへのリモートアクセスがあるかどうか
|
-
|
|
objectFileSaclString
|
-
|
-
|
オブジェクトファイルのシステムアクセス制御リスト
|
|
|
objectFileSize
|
-
|
-
|
オブジェクトファイルのファイルサイズ
|
|
|
objectFirstSeen
|
-
|
-
|
オブジェクトが最初に表示されたとき
|
|
|
objectHostName
|
-
|
|
イベントが検出されたサーバー名
|
|
|
objectIntegrityLevel
|
-
|
-
|
対象プロセスの整合性レベル
|
-
|
|
objectIp
|
-
|
|
イベントIP
|
|
|
objectIps
|
-
|
|
インターネットイベントのIPアドレスリスト
|
|
|
objectLastSeen
|
-
|
-
|
オブジェクトが最後に表示された時刻
|
|
|
objectLaunchTime
|
-
|
-
|
Windowsイベントのオブジェクト起動時刻
|
|
|
オブジェクト名
|
-
|
-
|
オブジェクト名
|
|
|
objectPid
|
-
|
-
|
ターゲットプロセスのPID
|
-
|
|
objectPipeName
|
-
|
-
|
イベントの名前付きパイプ
|
|
|
objectPort
|
-
|
|
インターネットイベントで使用されるポート
|
-
|
|
objectPosixPermission
|
-
|
-
|
ファイルに対する現在のPOSIX権限
|
|
|
objectPosixPermissionHashId
|
-
|
-
|
POSIXパーミッションハッシュID
|
|
|
objectProcessHashId
|
-
|
-
|
対象プロセスのFNV
|
|
|
objectRawDataSize
|
-
|
-
|
Windowsイベントオブジェクトの生データサイズ
|
|
|
objectRawDataStr
|
-
|
-
|
AMSIイベントのデータ内容
|
|
|
objectRegistryData
|
-
|
|
レジストリ値のデータ
|
|
|
objectRegistryKeyHandle
|
-
|
|
レジストリキーを示します。
|
|
|
objectRegistryValue
|
-
|
|
レジストリ値の名前
|
|
|
objectRunAsLocalAccount
|
-
|
-
|
「runas」コマンドでローカルアカウントを使用するかどうか
|
|
|
objectSessionId
|
-
|
-
|
オブジェクトのセッションID
|
|
|
objectSigner
|
-
|
-
|
オブジェクトのプロセスまたはファイルの証明書の署名者
|
|
|
objectSignerValid
|
-
|
-
|
証明書の署名者の有効期間
|
|
|
objectSubTrueType
|
-
|
-
|
ファイルオブジェクトの真のサブタイプ
|
|
|
objectThreadId
|
-
|
-
|
オブジェクトプロセスのスレッドID
|
|
|
objectTrueType
|
-
|
-
|
ファイルオブジェクトの主要な種類
|
|
|
objectUser
|
-
|
|
対象プロセスの所有者名またはサインインユーザ名
|
|
|
objectUserGroup
|
-
|
-
|
ユーザグループ名
|
|
|
objectUserGroupSids
|
-
|
-
|
オブジェクトのユーザグループSID
|
|
|
osDescription
|
-
|
-
|
OSバージョン
|
|
|
osName
|
-
|
-
|
ホストOS
|
|
|
osType
|
-
|
-
|
ホストOSの種類
|
|
|
OSVer
|
-
|
-
|
ホストOSのバージョン
|
|
|
親認証ID
|
-
|
-
|
親の許可ID
|
|
|
parentCmd
|
-
|
|
親プロセスのコマンドラインエントリ
|
|
|
親ファイルの作成
|
-
|
-
|
親ファイルが作成された時刻
|
|
|
parentFileCurrentOwnerName
|
-
|
-
|
親ファイルの現在の所有者名
|
|
|
parentFileCurrentOwnerSid
|
-
|
-
|
親ファイルの現在のセキュリティ識別子の所有者
|
|
|
parentFileDaclString
|
-
|
-
|
親ファイルの随意アクセス制御リスト
|
|
|
親ファイルグループ名
|
-
|
-
|
親ファイルユーザグループの名前
|
|
|
parentFileGroupSid
|
-
|
-
|
親プロセスファイルグループのセキュリティ識別子
|
|
|
parentFileHashId
|
-
|
-
|
親ファイルのハッシュID
|
|
|
parentFileHashMD5
|
-
|
|
親プロセスのMD5ハッシュ
|
|
|
parentFileHashSha1
|
-
|
|
親プロセスのSHA1ハッシュ
|
|
|
parentFileHashSha256
|
-
|
|
親プロセスのSHA256ハッシュ
|
|
|
parentFileModifiedTime
|
-
|
-
|
親ファイルが変更された時刻
|
|
|
親ファイル所有者名
|
-
|
-
|
親ファイルの所有者名
|
|
|
parentFileOwnerSid
|
-
|
-
|
親ファイル所有者のセキュリティ識別子
|
|
|
親ファイルパス
|
-
|
|
親プロセスのファイルパス
|
|
|
親ファイルリモートアクセス
|
-
|
-
|
親ファイルへのリモートアクセス
|
-
|
|
parentFileSaclString
|
-
|
-
|
親ファイルのシステムアクセス制御リスト
|
|
|
親ファイルサイズ
|
-
|
-
|
親ファイルのファイルサイズ
|
|
|
親ハッシュID
|
-
|
-
|
親ハッシュID
|
|
|
parentIntegrityLevel
|
-
|
-
|
親の整合性レベル
|
-
|
|
親のLaunchTime
|
-
|
-
|
親プロセスが起動された日時
|
|
|
親名
|
-
|
-
|
親プロセスのイメージ名
|
|
|
親Pid
|
-
|
-
|
親プロセスのPID
|
|
|
親署名者
|
-
|
-
|
親ファイルの署名者
|
|
|
parentSignerValid
|
-
|
-
|
親署名者の有効性
|
-
|
|
parentSubTrueType
|
-
|
-
|
親ファイルの実際のファイルサブタイプ
|
-
|
|
親TrueType
|
-
|
-
|
親ファイルの実際のファイルの種類
|
-
|
|
親ユーザ
|
-
|
-
|
親プロセスを実行したユーザの種類
|
|
|
親ユーザドメイン
|
-
|
-
|
親プロセスのユーザドメイン
|
|
|
parentUserGroupSids
|
-
|
-
|
親ユーザグループのSID
|
|
|
pname
|
-
|
-
|
内部製品ID(非推奨、productCodeを使用してください)
|
|
|
policyTreePath
|
-
|
-
|
ポリシーツリーのパス
|
|
|
processCmd
|
-
|
|
サブジェクトプロセスのコマンドライン入力
|
|
|
processFileCreation
|
-
|
-
|
プロセスファイルが作成された日時
|
|
|
processFileCurrentOwnerName
|
-
|
-
|
プロセスファイルの現在の所有者名
|
|
|
processFileCurrentOwnerSid
|
-
|
-
|
プロセスファイルの現在のセキュリティ識別子の所有者
|
|
|
processFileDaclString
|
-
|
-
|
プロセスファイルの随意アクセス制御リスト
|
|
|
プロセスファイルグループ名
|
-
|
-
|
プロセスファイルユーザグループの名前
|
|
|
processFileGroupSid
|
-
|
-
|
プロセスファイルグループのセキュリティ識別子
|
|
|
processFileHashId
|
-
|
-
|
プロセスのファイルハッシュ
|
|
|
processFileHashMD5
|
-
|
|
サブジェクトプロセスイメージのMD5ハッシュ
|
|
|
processFileHashSha1
|
-
|
|
サブジェクトプロセスイメージのSHA1ハッシュ
|
|
|
processFileHashSha256
|
-
|
|
サブジェクトプロセスイメージのSHA256ハッシュ
|
|
|
processFileModifiedTime
|
-
|
-
|
プロセスファイルが変更された時刻
|
|
|
processFileOwnerName
|
-
|
-
|
プロセスファイルの所有者名
|
|
|
processFileOwnerSid
|
-
|
-
|
プロセスファイル所有者のセキュリティ識別子
|
|
|
プロセスファイルパス
|
-
|
|
サブジェクトプロセスのファイルパス
|
|
|
processFileRemoteAccess
|
-
|
-
|
プロセスファイルへのリモートアクセス
|
-
|
|
processFileSaclString
|
-
|
-
|
プロセスファイルのシステムアクセス制御リスト
|
|
|
プロセスファイルサイズ
|
-
|
-
|
プロセスファイルのファイルサイズ
|
|
|
processHashId
|
-
|
-
|
サブジェクトプロセスのFNV
|
|
|
processLaunchTime
|
-
|
-
|
サブジェクトプロセスが起動された日時
|
|
|
プロセス名
|
-
|
|
イベントをトリガしたプロセスのイメージ名
|
|
|
processPid
|
-
|
-
|
サブジェクトプロセスのPID
|
|
|
processSigner
|
-
|
-
|
プロセスファイルの署名者
|
|
|
processSignerValid
|
-
|
-
|
プロセス署名者の有効性
|
|
|
processSubTrueType
|
-
|
-
|
プロセスの実際のファイルサブタイプ
|
-
|
|
processTrueType
|
-
|
-
|
プロセスの実際のファイルの種類
|
-
|
|
プロセスユーザ
|
-
|
|
サブジェクトプロセスイメージの所有者名
|
|
|
processUserDomain
|
-
|
-
|
プロセスユーザドメイン
|
|
|
processUserGroupSids
|
-
|
-
|
プロセスのユーザグループSID
|
|
|
productCode
|
-
|
-
|
内部製品コード
|
|
|
providerGUID
|
-
|
-
|
Windows イベントプロバイダーの GUID
|
|
|
プロバイダ名
|
-
|
-
|
Windows イベントプロバイダーの名前
|
|
|
プロキシ
|
-
|
-
|
プロキシアドレス
|
|
|
publicSpt
|
-
|
|
要求を行っているエンドポイントのパブリックポート
|
|
|
publicSrc
|
-
|
|
リクエストを行っているエンドポイントのパブリックIP
|
|
|
pver
|
-
|
-
|
製品のバージョン
|
|
|
rawDataSize
|
-
|
-
|
Windowsイベントログのサイズ
|
|
|
rawDataStr
|
-
|
-
|
Windows イベントの生の内容
|
|
|
リージョンID
|
-
|
-
|
クラウドアセットのリージョン
|
|
|
request
|
-
|
|
要求URL
|
|
|
smbSharedName
|
-
|
-
|
ファイルを含むサーバの共有フォルダ名
|
|
|
spt
|
-
|
|
ソースのポート番号
|
|
|
src
|
-
|
|
送信元アドレス
|
|
|
srcFileCreation
|
-
|
-
|
ソースファイルが作成された時刻
|
|
|
srcFileCurrentOwnerName
|
-
|
-
|
ソースファイルの現在の所有者名
|
|
|
srcFileCurrentOwnerSid
|
-
|
-
|
ソースファイルの現在のセキュリティ識別子の所有者
|
|
|
srcFileDaclString
|
-
|
-
|
ソースファイルの随意アクセス制御リスト
|
|
|
srcFileGroupName
|
-
|
-
|
ソースファイルのユーザグループ名
|
|
|
srcFileGroupSid
|
-
|
-
|
ソースファイルグループのセキュリティ識別子
|
|
|
srcFileHashMD5
|
-
|
|
ソースファイルのMD5ハッシュ
|
|
|
srcFileHashSha1
|
-
|
|
ソースファイルのSHA-1ハッシュ
|
|
|
srcFileHashSha256
|
-
|
|
ソースファイルのSHA-256ハッシュ
|
|
|
srcFileIsRemoteAccess
|
-
|
-
|
ソースファイルへのリモートアクセスがあるかどうか
|
-
|
|
srcFileModifiedTime
|
-
|
-
|
ソースファイルが変更された時刻
|
|
|
srcFileOwnerName
|
-
|
-
|
ソースファイルの所有者名
|
|
|
srcFileOwnerSid
|
-
|
-
|
ソースファイルの所有者のセキュリティ識別子
|
|
|
srcFilePath
|
-
|
|
ソースファイルパス
|
|
|
srcFileSaclString
|
-
|
-
|
ソースファイルのシステムアクセス制御リスト
|
|
|
srcFileSize
|
-
|
-
|
ソースファイルのファイルサイズ
|
|
|
srcFirstSeen
|
-
|
-
|
ソースファイルが最初に表示されたとき
|
|
|
srcLastSeen
|
-
|
-
|
ソースファイルが最後に表示された時刻
|
|
|
srcSigner
|
-
|
-
|
ソースプロセスファイルの署名者
|
|
|
srcSignerValid
|
-
|
-
|
ソースプロセスの署名者の有効性
|
-
|
|
サブネットID
|
-
|
-
|
要求を行った仮想マシンのサブネットID
|
|
|
タグタグ
|
-
|
|
アラートフィルタに基づいて検出された手法ID
|
|
|
タイムゾーン
|
-
|
-
|
ホストのタイムゾーン
|
|
|
userDomain
|
-
|
-
|
ユーザのドメイン名
|
|
|
uuid
|
-
|
-
|
ログの一意のキー
|
|
|
vpcID
|
-
|
-
|
クラウドアセットを含む仮想プライベートクラウド
|
|
|
winEventId
|
-
|
-
|
WindowsイベントID
|
|
|
ビュー: