AlertEvidence
Gilt für:
- Microsoft Defender XDR
Die AlertEvidence Tabelle im Schema der erweiterten Suche enthält Informationen zu verschiedenen Entitäten –Dateien, IP-Adressen, URLs, Benutzern oder Geräten –, die Warnungen von Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps und Microsoft Defender for Identity. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
AlertId |
string |
Eindeutiger Bezeichner der Warnung |
Title |
string |
Titel der Warnung |
Categories |
string |
Liste der Kategorien, zu denen die Informationen gehören, im JSON-Arrayformat |
AttackTechniques |
string |
MITRE ATT&CK-Techniken, die der Aktivität zugeordnet sind, die die Warnung ausgelöst hat |
ServiceSource |
string |
Produkt oder Dienst, das die Warnungsinformationen bereitgestellt hat |
DetectionSource |
string |
Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat |
EntityType |
string |
Objekttyp, z. B. eine Datei, ein Prozess, ein Gerät oder ein Benutzer |
EvidenceRole |
string |
Wie die Entität an einer Warnung beteiligt ist, die angibt, ob sie betroffen ist oder nur verknüpft ist |
EvidenceDirection |
string |
Gibt an, ob die Entität die Quelle oder das Ziel einer Netzwerkverbindung ist. |
FileName |
string |
Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
FolderPath |
string |
Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
SHA1 |
string |
SHA-1 der Datei, auf die die aufgezeichnete Aktion angewendet wurde |
SHA256 |
string |
SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. Dieses Feld wird in der Regel nicht aufgefüllt. Verwenden Sie die SHA1-Spalte, wenn sie verfügbar ist. |
FileSize |
long |
Größe der Datei in Bytes |
ThreatFamily |
string |
Schadsoftwarefamilie, unter der die verdächtige oder schädliche Datei oder der prozess klassifiziert wurde |
RemoteIP |
string |
IP-Adresse, mit der eine Verbindung hergestellt wurde |
RemoteUrl |
string |
URL oder vollqualifizierter Domänenname (FQDN), mit der bzw. dem eine Verbindung hergestellt wurde |
AccountName |
string |
Benutzername des Kontos |
AccountDomain |
string |
Domäne des Kontos |
AccountSid |
string |
Sicherheits-ID (SID) des Kontos |
AccountObjectId |
string |
Eindeutiger Bezeichner für das Konto in Microsoft Entra ID |
AccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos |
DeviceId |
string |
Eindeutiger Bezeichner für das Gerät im Dienst |
DeviceName |
string |
Vollqualifizierter Domänenname (FQDN) des Geräts |
LocalIP |
string |
IP-Adresse, die dem lokalen Gerät zugewiesen ist, das während der Kommunikation verwendet wird |
NetworkMessageId |
string |
Eindeutiger Bezeichner für die von Office 365 generierte E-Mail |
EmailSubject |
string |
Betreff der E-Mail |
Application |
string |
Anwendung, die die aufgezeichnete Aktion ausgeführt hat |
ApplicationId |
int |
Eindeutiger Bezeichner für die Anwendung |
OAuthApplicationId |
string |
Eindeutiger Bezeichner der OAuth-Anwendung eines Drittanbieters |
ProcessCommandLine |
string |
Zum Erstellen des neuen Prozesses verwendete Befehlszeile |
RegistryKey |
string |
Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde |
RegistryValueName |
string |
Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde |
RegistryValueData |
string |
Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde |
AdditionalFields |
string |
Zusätzliche Informationen zur Entität oder zum Ereignis |
Severity |
string |
Zeigt die potenziellen Auswirkungen (hoch, mittel oder gering) des in der Warnung angegebenen Bedrohungsindikators bzw. der in der Warnung angegebenen Sicherheitsverletzungsaktivität an |
CloudResource |
string |
Name der Cloudressource |
CloudPlatform |
string |
Die Cloudplattform, zu der die Ressource gehört, kann Azure, Amazon Web Services oder Google Cloud Platform sein. |
ResourceType |
string |
Typ der Cloudressource |
ResourceID |
string |
Eindeutiger Bezeichner der Cloudressource, auf die zugegriffen wird |
SubscriptionId |
string |
Eindeutiger Bezeichner des Clouddienstabonnements |
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.