Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Tabulka DataSecurityBehaviors ve schématu rozšířeného proaktivního vyhledávání obsahuje přehledy o potenciálně podezřelém chování uživatelů, které porušuje uživatelem definované nebo výchozí zásady nakonfigurované v sadě řešení Microsoft Purview.
Přehledy zahrnují celou řadu chování souvisejících se zabezpečením dat, jako je chování zahrnující exfiltraci, obfuskaci, rizikové interakce s aplikacemi AI a další. Přehledy se generují agregací chování uživatelů za kalendářní den a jejich porovnáním s předchozí aktivitou, aktivitou partnerské skupiny nebo jinými aktivitami provedenými uživatelem. Přehledy také zachycují souhrny různých rizikových pivotů, jako jsou citlivá data, rizikové cíle a podobně.
Tato pokročilá tabulka proaktivního vyhledávání je naplněná záznamy z Správa insiderských rizik Microsoft Purview. Pokud se vaše organizace nepřihlásila ke sdílení upozornění na rizika insiderů s Microsoft Defender XDR, dotazy, které používají tabulku, nebudou fungovat ani nevrátí žádné výsledky. Další informace najdete v tématu Zkoumání hrozeb insiderských rizik.
Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky. Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas vygenerování nebo aktualizace záznamu |
BehaviorId |
string |
Jedinečný identifikátor chování |
ActionType |
string |
Typ chování. Projděte si katalog chování zjištěných Správa insiderských rizik Microsoft Purview. |
StartTime |
datetime |
Datum a čas první aktivity související s chováním |
EndTime |
datetime |
Datum a čas poslední aktivity související s chováním |
AttackTechniques |
string |
MITRE ATT&techniky CK spojené s aktivitou, která toto chování aktivovala. Projděte si dílčí technologie v katalogu chování pro řízení insiderských rizik. |
Categories |
string |
Typ indikátoru hrozby nebo aktivity porušení zabezpečení zjištěné chováním |
ActionCategory |
enum |
Kategorie akce, která aktivovala událost |
Description |
string |
Popis chování |
ServiceSource |
string |
Produkt nebo služba, které identifikovaly chování |
DetectionSource |
string |
Detekční technologie nebo senzor, který identifikoval důležitou součást nebo aktivitu |
ActivityCount |
int |
Celkový počet událostí aktivity uživatelů zaznamenaných v rámci tohoto chování |
IsAnomalous |
bool |
Označuje, jestli je toto chování neobvyklé (1) nebo ne (0). |
IsContentHidden |
bool |
Označuje, jestli chování zahrnuje skrytý obsah na zařízení. |
AccountUpn |
string |
Hlavní název uživatele (UPN) účtu |
AccountEmail |
string |
Email adresa účtu |
Application |
string |
Aplikace, která provedla zaznamenanou akci |
DeviceInfo |
dynamic |
Seznam informací o zařízení, které se účastní tohoto chování, včetně ID zařízení, názvu zařízení a počtu událostí, kterých se zařízení týká; ve formátu pole JSON |
SensitivityLabelInfo |
dynamic |
Seznam popisků citlivosti přiřazených k obsahu, který se týká tohoto chování, včetně jedinečného identifikátoru popisku citlivosti Microsoft Information Protection přiřazeného souvisejícímu obsahu, názvu popisku citlivosti a počtu událostí v chování zahrnujícím tento popisek; ve formátu pole JSON |
SensitiveInfoTypesInfo |
dynamic |
Seznam typů citlivých informací zjištěných v obsahu zahrnutého do tohoto chování, včetně jedinečného identifikátoru pro typ citlivých informací, názvu typu citlivých informací a počtu událostí v chování zahrnujících tento typ citlivých informací; ve formátu pole JSON |
UrlDomainInfo |
dynamic |
Seznam webových stránek nebo adres URL služeb, které se podílejí na chování, včetně názvu domény URL, směru dat (odesílaných nebo přijatých z domény), typu domény url (nakonfigurované zákazníkem nebo na základě seznamu ke zhlédnutí) a počtu událostí v chování, které se týkají konkrétní domény; ve formátu pole JSON |
SharepointSiteInfo |
dynamic |
Seznam sharepointových webů zapojených do tohoto chování, včetně jedinečného identifikátoru sharepointového webu, názvu sharepointového webu a počtu událostí v chování týkajícího se sharepointového webu; ve formátu pole JSON |
RecipientEmailInfo |
dynamic |
Seznam informací o příjemci, který se na chování podílí, včetně e-mailové adresy příjemce a počtu událostí v chování, které se týkají příjemce; ve formátu pole JSON |
RemovableMediaInfo |
dynamic |
Seznam všech vyměnitelných médií, které se podílejí na chování, včetně sériového čísla zařízení vyměnitelného média, výrobce zařízení vyměnitelných médií a modelu vyměnitelného zařízení; ve formátu pole JSON |
PrinterName |
dynamic |
Seznam tiskáren zapojených do chování; ve formátu pole |
PriorityContentMatchInfo |
dynamic |
Seznam prioritních shod obsahu identifikovaných v rámci tohoto chování a jejich přidružených podrobností Definice prioritního obsahu provádějí správci pro každou zásadu řízení rizik programu Insider. Zobrazuje se ve formátu pole JSON. |
Související články
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.