AlertEvidence
ينطبق على:
- Microsoft Defender XDR
AlertEvidence يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول كيانات مختلفة - ملفات أو عناوين IP أو عناوين URL أو مستخدمين أو أجهزة - مقترنة بتنبيهات من Microsoft Defender لنقطة النهاية أو Microsoft Defender لـ Office 365، Microsoft Defender for Cloud Apps و Microsoft Defender for Identity استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
AlertId |
string |
معرف فريد للتنبيه |
Title |
string |
عنوان التنبيه |
Categories |
string |
قائمة الفئات التي تنتمي إليها المعلومات، بتنسيق صفيف JSON |
AttackTechniques |
string |
MITRE ATT&تقنيات CK المرتبطة بالنشاط الذي أدى إلى تشغيل التنبيه |
ServiceSource |
string |
المنتج أو الخدمة التي قدمت معلومات التنبيه |
DetectionSource |
string |
تقنية الكشف أو أداة الاستشعار التي حددت المكون أو النشاط الملحوظ |
EntityType |
string |
نوع العنصر، مثل ملف أو عملية أو جهاز أو مستخدم |
EvidenceRole |
string |
كيفية مشاركة الكيان في تنبيه، مما يشير إلى ما إذا كان متأثرا أو مرتبطا فقط |
EvidenceDirection |
string |
يشير إلى ما إذا كان الكيان هو مصدر أو وجهة اتصال الشبكة |
FileName |
string |
اسم الملف الذي تم تطبيق الإجراء المسجل عليه |
FolderPath |
string |
مجلد يحتوي على الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA1 |
string |
SHA-1 من الملف الذي تم تطبيق الإجراء المسجل عليه |
SHA256 |
string |
SHA-256 من الملف الذي تم تطبيق الإجراء المسجل عليه. عادة ما لا يتم ملء هذا الحقل — استخدم عمود SHA1 عند توفره. |
FileSize |
long |
حجم الملف بالبايت |
ThreatFamily |
string |
عائلة البرامج الضارة التي تم تصنيف الملف أو العملية المشبوهة أو الضارة ضمنها |
RemoteIP |
string |
عنوان IP الذي كان متصلا به |
RemoteUrl |
string |
عنوان URL أو اسم المجال المؤهل بالكامل (FQDN) الذي كان متصلا به |
AccountName |
string |
اسم المستخدم للحساب |
AccountDomain |
string |
مجال الحساب |
AccountSid |
string |
معرف الأمان (SID) للحساب |
AccountObjectId |
string |
معرف فريد للحساب في Microsoft Entra ID |
AccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب |
DeviceId |
string |
معرف فريد للجهاز في الخدمة |
DeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز |
LocalIP |
string |
عنوان IP المعين للجهاز المحلي المستخدم أثناء الاتصال |
NetworkMessageId |
string |
معرف فريد للبريد الإلكتروني، تم إنشاؤه بواسطة Office 365 |
EmailSubject |
string |
موضوع البريد الإلكتروني |
Application |
string |
التطبيق الذي نفذ الإجراء المسجل |
ApplicationId |
int |
معرف فريد للتطبيق |
OAuthApplicationId |
string |
المعرف الفريد لتطبيق OAuth التابع لجهة خارجية |
ProcessCommandLine |
string |
سطر الأوامر المستخدم لإنشاء العملية الجديدة |
RegistryKey |
string |
مفتاح التسجيل الذي تم تطبيق الإجراء المسجل عليه |
RegistryValueName |
string |
اسم قيمة التسجيل التي تم تطبيق الإجراء المسجل عليها |
RegistryValueData |
string |
بيانات قيمة التسجيل التي تم تطبيق الإجراء المسجل عليها |
AdditionalFields |
string |
معلومات إضافية حول الكيان أو الحدث |
Severity |
string |
يشير إلى التأثير المحتمل (مرتفع أو متوسط أو منخفض) لمؤشر التهديد أو نشاط الخرق المحدد بواسطة التنبيه |
CloudResource |
string |
اسم مورد السحابة |
CloudPlatform |
string |
يمكن أن يكون النظام الأساسي السحابي الذي ينتمي إليه المورد هو Azure أو Amazon Web Services أو Google Cloud Platform |
ResourceType |
string |
نوع مورد السحابة |
ResourceID |
string |
معرف فريد لمورد السحابة الذي تم الوصول إليه |
SubscriptionId |
string |
المعرف الفريد لاشتراك الخدمة السحابية |
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ