ビュー:
次の表は、エンドポイントエージェントによって監視および収集されるWindowsテレメトリを一覧表示します。
XDR Data ExplorerでのeventIdとeventSubIdのマッピングに関する情報は、eventIdとeventSubIdのマッピングを参照してください。

カテゴリ
サブカテゴリ
詳細
プロセスアクティビティ
プロセス作成
標準設定を通じて収集
プロセス終了
ハイパーセンシティブモードの有効化が必要です
プロセスアクセス
標準設定を通じて収集
イメージ/ライブラリが読み込まれました
標準設定を通じて収集
リモートスレッド作成
標準設定を通じて収集
プロセス改ざんアクティビティ
標準設定を通じて収集
ファイル操作
ファイルクリエーション
標準設定を通じて収集
ファイルが開かれました
ハイパーセンシティブモードの有効化が必要です
ファイルデリート
ハイパーセンシティブモードの有効化が必要です
ファイルの変更
標準設定を通じて収集
ファイルリネーミング
標準設定を通じて収集
ユーザアカウントアクティビティ
ローカルアカウント作成
ハイパーセンシティブモードの有効化が必要です
Windows イベント ID 4720 を通じて収集されました。
ローカルアカウントの変更
ハイパーセンシティブモードの有効化が必要です
Windows イベント ID 4738 を通じて収集されました。
ローカルアカウント削除
ハイパーセンシティブモードの有効化が必要です
アカウントログイン
Windows EventLogs から収集
Windows イベント ID 4624 を通じて収集されました。
アカウントログオフ
Windows EventLogs から収集
Windows イベント ID 4634 を通じて収集されました。
ネットワークアクティビティ
TCP接続
標準設定を通じて収集
UDP接続
標準設定を通じて収集
URL
標準設定を通じて収集
DNSクエリ
標準設定を通じて収集
ファイルがダウンロードされました
標準設定を通じて収集
ハッシュアルゴリズム
MD5
標準設定を通じて収集
SHA
標準設定を通じて収集
レジストリ アクティビティ
キー/バリュー作成
標準設定を通じて収集
キー/バリュー作成
標準設定を通じて収集
キー/バリュー削除
標準設定を通じて収集
タスク活動をスケジュール
スケジュールされたタスクの作成
ハイパーセンシティブモードの有効化が必要です
Windows EventLogs から収集
Windows イベント ID 4698 を通じて収集されました。
スケジュールされたタスクの変更
ハイパーセンシティブモードの有効化が必要です
Windows EventLogs から収集
Windows イベント ID 4702 を通じて収集されました。
スケジュールされたタスクの削除
ハイパーセンシティブモードの有効化が必要です
Windows EventLogs から収集
Windows イベント ID 4699 を通じて収集されました。
サービスアクティビティ
サービス作成
ハイパーセンシティブモードの有効化が必要です
Windows EventLogs から収集
Windows イベント ID 4697/7045 を通じて収集されました。
サービス変更
ハイパーセンシティブモードの有効化が必要です
Windows EventLogs から収集
Windows イベント ID 7040 を介して収集されるのは [Start Type] の変更のみです。
ドライバー/モジュール アクティビティ
ドライバーがロードされました
ハイパーセンシティブモードの有効化が必要です
NAMED PIPE ACTIVITY
パイプ作成
ハイパーセンシティブモードの有効化が必要です
パイプ接続
ハイパーセンシティブモードの有効化が必要です
WMI アクティビティ
WmiEventConsumerToFilter
Windows EventLogs から収集
Windows イベント ID 5861 を通じて収集されました。
WmiEventConsumer
Windows EventLogs から収集
Windows イベント ID 5861 を通じて収集されました。
WmiEventFilter
Windows EventLogs から収集
Windows イベント ID 5861 を通じて収集されました。
BITS ジョブ アクティビティ
BITS JOBS アクティビティ
Windows EventLogs から収集
新しいBITSジョブの作成のみがWindowsイベントID 3を介して収集されます。
POWERSHELL アクティビティ
スクリプトブロックアクティビティ
標準設定を通じて収集