Sdílet prostřednictvím

AlertEvidence

  • Článek

Platí pro:

  • Microsoft Defender XDR

Tabulka AlertEvidence ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o různých entitách – souborech, IP adresách, adresách URL, uživatelích nebo zařízeních – přidružených k upozorněním z Microsoft Defender for Endpoint, Microsoft Defender pro Office 365 Microsoft Defender for Cloud Apps a Microsoft Defender for Identity. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.

Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.

Název sloupce Datový typ Popis
Timestamp datetime Datum a čas, kdy byla událost zaznamenána
AlertId string Jedinečný identifikátor výstrahy
Title string Název výstrahy
Categories string Seznam kategorií, do kterých informace patří, ve formátu pole JSON
AttackTechniques string MITRE ATT&techniky CK přidružené k aktivitě, která aktivovala výstrahu
ServiceSource string Produkt nebo služba, která poskytla informace o upozornění
DetectionSource string Detekční technologie nebo senzor, který identifikoval důležitou součást nebo aktivitu
EntityType string Typ objektu, jako je soubor, proces, zařízení nebo uživatel
EvidenceRole string Jak je entita zapojená do výstrahy, která označuje, jestli je ovlivněná, nebo pouze souvisí
EvidenceDirection string Určuje, jestli je entita zdrojem nebo cílem síťového připojení.
FileName string Název souboru, na který se zaznamenaná akce použila
FolderPath string Složka obsahující soubor, u kterého byla zaznamenána akce použita
SHA1 string SHA-1 souboru, u kterého byla zaznamenaná akce použita
SHA256 string SHA-256 souboru, na který byla zaznamenaná akce použita. Toto pole se obvykle nevyplní – pokud je k dispozici, použijte sloupec SHA1.
FileSize long Velikost souboru v bajtech
ThreatFamily string Řada malwarů, do které byl podezřelý nebo škodlivý soubor nebo proces klasifikován
RemoteIP string IP adresa, ke které bylo připojeno
RemoteUrl string Adresa URL nebo plně kvalifikovaný název domény (FQDN), ke kterému byl připojen
AccountName string Uživatelské jméno účtu
AccountDomain string Doména účtu
AccountSid string Identifikátor zabezpečení (SID) účtu
AccountObjectId string Jedinečný identifikátor účtu v Microsoft Entra ID
AccountUpn string Hlavní název uživatele (UPN) účtu
DeviceId string Jedinečný identifikátor zařízení ve službě
DeviceName string Plně kvalifikovaný název domény (FQDN) zařízení
LocalIP string IP adresa přiřazená k místnímu zařízení používanému při komunikaci
NetworkMessageId string Jedinečný identifikátor e-mailu vygenerovaný Office 365
EmailSubject string Předmět e-mailu
Application string Aplikace, která provedla zaznamenanou akci
ApplicationId int Jedinečný identifikátor aplikace
OAuthApplicationId string Jedinečný identifikátor aplikace OAuth třetí strany
ProcessCommandLine string Příkazový řádek použitý k vytvoření nového procesu
RegistryKey string Klíč registru, na který se zaznamenaná akce použila
RegistryValueName string Název hodnoty registru, na kterou se zaznamenaná akce použila
RegistryValueData string Data hodnoty registru, na kterou byla zaznamenaná akce použita
AdditionalFields string Další informace o entitě nebo události
Severity string Označuje potenciální dopad (vysoký, střední nebo nízký) indikátoru hrozby nebo aktivity porušení zabezpečení identifikované výstrahou.
CloudResource string Název cloudového prostředku
CloudPlatform string Cloudová platforma, ke které prostředek patří, může být Azure, Amazon Web Services nebo Google Cloud Platform.
ResourceType string Typ cloudového prostředku
ResourceID string Jedinečný identifikátor cloudového prostředku, ke které se přistupuje
SubscriptionId string Jedinečný identifikátor předplatného cloudové služby

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.