BehaviorEntities
Gælder for:
- Microsoft Defender XDR
Tabellen BehaviorEntities
i det avancerede jagtskema indeholder oplysninger om funktionsmåder i Microsoft Defender for Cloud Apps. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Funktionsmåder er en type data i Microsoft Defender XDR baseret på en eller flere rå hændelser. Funktionsmåder giver kontekstafhængig indsigt i hændelser og kan, men ikke nødvendigvis, angive skadelig aktivitet. Læs mere om funktionsmåder
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for oprettelse af posten |
BehaviorId |
string |
Entydigt id for funktionsmåden |
ActionType |
string |
Funktionsmådetype |
Categories |
string |
Type trusselsindikator eller brudaktivitet, der identificeres af adfærden |
ServiceSource |
string |
Produkt eller tjeneste, der identificerede funktionsmåden |
DetectionSource |
string |
Registreringsteknologi eller sensor, der identificerer den bemærkelsesværdige komponent eller aktivitet |
DataSources |
string |
Produkter eller tjenester, der har angivet oplysninger om funktionsmåden |
EntityType |
string |
Objekttype, f.eks. en fil, en proces, en enhed eller en bruger |
EntityRole |
string |
Angiver, om enheden er påvirket eller blot relateret |
DetailedEntityRole |
string |
Rollerne for objektet i funktionsmåden |
FileName |
string |
Navnet på den fil, som funktionsmåden gælder for |
FolderPath |
string |
Mappe, der indeholder den fil, som funktionsmåden gælder for |
SHA1 |
string |
SHA-1 for den fil, som funktionsmåden gælder for |
SHA256 |
string |
SHA-256 for den fil, som funktionsmåden gælder for |
FileSize |
long |
Størrelse i byte af den fil, som funktionsmåden gælder for |
ThreatFamily |
string |
Malwarefamilie, som den mistænkelige eller skadelige fil eller proces er klassificeret under |
RemoteIP |
string |
IP-adresse, der blev oprettet forbindelse til |
RemoteUrl |
string |
URL-adresse eller fuldt domænenavn (FQDN), der blev oprettet forbindelse til |
AccountName |
string |
Brugernavnet på kontoen |
AccountDomain |
string |
Kontoens domæne |
AccountSid |
string |
Sikkerheds-id (SID) for kontoen |
AccountObjectId |
string |
Entydigt id for kontoen i Microsoft Entra ID |
AccountUpn |
string |
Brugerens hovednavn (UPN) for kontoen |
DeviceId |
string |
Entydigt id for enheden i tjenesten |
DeviceName |
string |
Fuldt domænenavn (FQDN) for enheden |
LocalIP |
string |
IP-adresse, der er tildelt den lokale enhed, som bruges under kommunikation |
NetworkMessageId |
string |
Entydigt id for mailen, der genereres af Office 365 |
EmailSubject |
string |
Mailens emne |
EmailClusterId |
string |
Identifikator for gruppen af lignende e-mails grupperet baseret på heuristisk analyse af deres indhold |
Application |
string |
Program, der udførte den registrerede handling |
ApplicationId |
int |
Entydigt id for programmet |
OAuthApplicationId |
string |
Entydigt id for OAuth-programmet fra tredjepart |
ProcessCommandLine |
string |
Kommandolinje, der bruges til at oprette den nye proces |
RegistryKey |
string |
Registreringsdatabasenøgle, som den registrerede handling blev anvendt på |
RegistryValueName |
string |
Navnet på den registreringsdatabaseværdi, som den registrerede handling blev anvendt på |
RegistryValueData |
string |
Data for registreringsdatabaseværdien, som den registrerede handling blev anvendt på |
AdditionalFields |
string |
Yderligere oplysninger om funktionsmåden |
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Lede på tværs af enheder, mails, apps og identiteter
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.