BehaviorEntities

Gælder for:

• Microsoft Defender XDR

Tabellen BehaviorEntities i det avancerede jagtskema indeholder oplysninger om funktionsmåder i Microsoft Defender for Cloud Apps. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Funktionsmåder er en type data i Microsoft Defender XDR baseret på en eller flere rå hændelser. Funktionsmåder giver kontekstafhængig indsigt i hændelser og kan, men ikke nødvendigvis, angive skadelig aktivitet. Læs mere om funktionsmåder

Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.

Kolonnenavn	Datatype	Beskrivelse
Timestamp	datetime	Dato og klokkeslæt for oprettelse af posten
BehaviorId	string	Entydigt id for funktionsmåden
ActionType	string	Funktionsmådetype
Categories	string	Type trusselsindikator eller brudaktivitet, der identificeres af adfærden
ServiceSource	string	Produkt eller tjeneste, der identificerede funktionsmåden
DetectionSource	string	Registreringsteknologi eller sensor, der identificerer den bemærkelsesværdige komponent eller aktivitet
DataSources	string	Produkter eller tjenester, der har angivet oplysninger om funktionsmåden
EntityType	string	Objekttype, f.eks. en fil, en proces, en enhed eller en bruger
EntityRole	string	Angiver, om enheden er påvirket eller blot relateret
DetailedEntityRole	string	Rollerne for objektet i funktionsmåden
FileName	string	Navnet på den fil, som funktionsmåden gælder for
FolderPath	string	Mappe, der indeholder den fil, som funktionsmåden gælder for
SHA1	string	SHA-1 for den fil, som funktionsmåden gælder for
SHA256	string	SHA-256 for den fil, som funktionsmåden gælder for
FileSize	long	Størrelse i byte af den fil, som funktionsmåden gælder for
ThreatFamily	string	Malwarefamilie, som den mistænkelige eller skadelige fil eller proces er klassificeret under
RemoteIP	string	IP-adresse, der blev oprettet forbindelse til
RemoteUrl	string	URL-adresse eller fuldt domænenavn (FQDN), der blev oprettet forbindelse til
AccountName	string	Brugernavnet på kontoen
AccountDomain	string	Kontoens domæne
AccountSid	string	Sikkerheds-id (SID) for kontoen
AccountObjectId	string	Entydigt id for kontoen i Microsoft Entra ID
AccountUpn	string	Brugerens hovednavn (UPN) for kontoen
DeviceId	string	Entydigt id for enheden i tjenesten
DeviceName	string	Fuldt domænenavn (FQDN) for enheden
LocalIP	string	IP-adresse, der er tildelt den lokale enhed, som bruges under kommunikation
NetworkMessageId	string	Entydigt id for mailen, der genereres af Office 365
EmailSubject	string	Mailens emne
EmailClusterId	string	Identifikator for gruppen af lignende e-mails grupperet baseret på heuristisk analyse af deres indhold
Application	string	Program, der udførte den registrerede handling
ApplicationId	int	Entydigt id for programmet
OAuthApplicationId	string	Entydigt id for OAuth-programmet fra tredjepart
ProcessCommandLine	string	Kommandolinje, der bruges til at oprette den nye proces
RegistryKey	string	Registreringsdatabasenøgle, som den registrerede handling blev anvendt på
RegistryValueName	string	Navnet på den registreringsdatabaseværdi, som den registrerede handling blev anvendt på
RegistryValueData	string	Data for registreringsdatabaseværdien, som den registrerede handling blev anvendt på
AdditionalFields	string	Yderligere oplysninger om funktionsmåden

Relaterede emner

• Oversigt over avanceret jagt
• Få mere at vide om forespørgselssproget
• Brug delte forespørgsler
• Lede på tværs af enheder, mails, apps og identiteter
• Forstå skemaet
• Anvend bedste praksis for forespørgsler

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.