AlertEvidence

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Tabellen AlertEvidence i det avancerede jagtskema indeholder oplysninger om forskellige enheder – filer, IP-adresser, URL-adresser, brugere eller enheder – der er knyttet til beskeder fra Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps og Microsoft Defender for Identity. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.

Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslæt for registrering af hændelsen
AlertId string Entydigt id for beskeden
Title string Titlen på beskeden
Categories string Liste over kategorier, som oplysningerne tilhører, i matrixformatet JSON
AttackTechniques string MITRE ATT&CK-teknikker, der er knyttet til den aktivitet, der udløste beskeden
ServiceSource string Produkt eller tjeneste, der har leveret beskedoplysningerne
DetectionSource string Registreringsteknologi eller sensor, der identificerer den bemærkelsesværdige komponent eller aktivitet
EntityType string Objekttype, f.eks. en fil, en proces, en enhed eller en bruger
EvidenceRole string Hvordan enheden er involveret i en besked, der angiver, om den er påvirket eller blot er relateret til
EvidenceDirection string Angiver, om enheden er kilden eller destinationen for en netværksforbindelse
FileName string Navnet på den fil, som den registrerede handling blev anvendt på
FolderPath string Mappe, der indeholder den fil, som den registrerede handling blev anvendt på
SHA1 string SHA-1 for den fil, som den registrerede handling blev anvendt på
SHA256 string SHA-256 for den fil, som den registrerede handling blev anvendt på. Dette felt udfyldes normalt ikke. Brug kolonnen SHA1, når det er tilgængeligt.
FileSize long Filens størrelse i byte
ThreatFamily string Malwarefamilie, som den mistænkelige eller skadelige fil eller proces er klassificeret under
RemoteIP string IP-adresse, der blev oprettet forbindelse til
RemoteUrl string URL-adresse eller fuldt domænenavn (FQDN), der blev oprettet forbindelse til
AccountName string Brugernavnet på kontoen
AccountDomain string Kontoens domæne
AccountSid string Sikkerheds-id (SID) for kontoen
AccountObjectId string Entydigt id for kontoen i Microsoft Entra ID
AccountUpn string Brugerens hovednavn (UPN) for kontoen
DeviceId string Entydigt id for enheden i tjenesten
DeviceName string Fuldt domænenavn (FQDN) for enheden
LocalIP string IP-adresse, der er tildelt den lokale enhed, som bruges under kommunikation
NetworkMessageId string Entydigt id for mailen, der genereres af Office 365
EmailSubject string Mailens emne
Application string Program, der udførte den registrerede handling
ApplicationId int Entydigt id for programmet
OAuthApplicationId string Entydigt id for OAuth-programmet fra tredjepart
ProcessCommandLine string Kommandolinje, der bruges til at oprette den nye proces
RegistryKey string Registreringsdatabasenøgle, som den registrerede handling blev anvendt på
RegistryValueName string Navnet på den registreringsdatabaseværdi, som den registrerede handling blev anvendt på
RegistryValueData string Data for registreringsdatabaseværdien, som den registrerede handling blev anvendt på
AdditionalFields string Yderligere oplysninger om enheden eller hændelsen
Severity string Angiver den potentielle indvirkning (høj, mellem eller lav) af trusselsindikatoren eller sikkerhedsbrudsaktiviteten, der er identificeret af beskeden
CloudResource string Navn på cloudressource
CloudPlatform string Den cloudplatform, som ressourcen tilhører, kan være Azure, Amazon Web Services eller Google Cloud Platform
ResourceType string Typen af cloudressource
ResourceID string Entydigt id for den cloudressource, der er adgang til
SubscriptionId string Entydigt id for abonnementet på cloudtjenesten

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.