Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender for Endpoint (MDE) – Verhaltenstabelle. Enthält Informationen zu Entitäten (Datei, Prozess, Gerät, Benutzer und andere), die an einem Verhalten oder einer Beobachtung beteiligt sind, einschließlich erkannter Bedrohungen.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | Protokollmanagement |
| Standardprotokoll | Ja |
| Transformation bei Aufnahme | Nein |
| Beispielabfragen | - |
Spalten
| Säule | Typ | BESCHREIBUNG |
|---|---|---|
| Kontodomain | Schnur | Domäne des Kontos. |
| Kontoname | Schnur | Benutzername des Kontos. |
| KontoObjekt-ID | Schnur | Eindeutiger Bezeichner für das Konto in Azure AD. |
| AccountSid | Schnur | Sicherheits-ID (SID) des Kontos. |
| AccountUpn | Schnur | Benutzerprinzipalname (UPN) des Kontos. |
| Aktionstyp | Schnur | Typ der Aktivität, die das Ereignis ausgelöst hat. Mit spezifischen MITRE ATT&CK-Techniken verknüpft. |
| Zusätzliche Felder | Schnur | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| Anwendung | Schnur | Anwendung, die die aufgezeichnete Aktion ausgeführt hat. |
| ApplicationId | Schnur | Eindeutiger Bezeichner für die Anwendung. |
| BehaviorId | Schnur | Eindeutiger Bezeichner für das Verhalten. |
| _BilledSize | real | Die Datensatzgröße in Bytes. |
| Kategorien | Schnur | Arten von Bedrohungsindikator oder Sicherheitsverletzungsaktivitäten, die von der Warnung identifiziert werden. Definiert durch die MITRE ATT&CK Matrix for Enterprise. |
| Datenquellen | Schnur | Produkte oder Dienste, die Informationen für das Verhalten bereitgestellt haben. |
| DetailedEntityRole | Schnur | Die Rolle der Entität im Verhalten |
| Erkennungsquelle | Schnur | Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat. |
| Geräte-ID | Schnur | Eindeutiger Bezeichner für das Gerät im Dienst. |
| Gerätename | Schnur | Vollqualifizierter Domänenname (FQDN) des Geräts. |
| EmailClusterId | Schnur | Bezeichner für die Gruppe ähnlicher E-Mails, die basierend auf der heuristischen Analyse ihrer Inhalte gruppiert sind. |
| E-Mail-Betreff | Schnur | Betreff der E-Mail. |
| Entitätsrolle | Schnur | Gibt an, ob die Entität betroffen ist oder nur verknüpft ist. |
| Entitätstyp | Schnur | Objekttyp, z. B. eine Datei, ein Prozess, ein Gerät oder ein Benutzer. |
| Dateiname | Schnur | Name der Datei, die an der Warnung beteiligt ist. Leer, es sei denn, EntityType ist "File" oder "Process". |
| Dateigröße | long | Größe der Datei in Byte. Leer, es sei denn, EntityType ist "File" oder "Process" |
| FolderPath | Schnur | Ordner, der die Datei enthält. Leer, es sei denn, EntityType ist "File" oder "Process". |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable auf den Wert false festgelegt ist, wird die Eingabe Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LocalIP | Schnur | IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird. |
| NetworkMessageId | Schnur | Eindeutiger Bezeichner für die E-Mail im UUID-Format, die von Office 365 generiert wird. |
| OAuth-Anwendungs-ID | Schnur | Eindeutiger Bezeichner der OAuth-Anwendung eines Drittanbieters im UUID-Format. |
| ProcessCommandLine | Schnur | Befehlszeile zum Erstellen des neuen Prozesses. |
| Registry-Schlüssel (RegistryKey) | Schnur | Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde. |
| RegistryValueData | Schnur | Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
| RegistryValueName | Schnur | Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
| RemoteIP | Schnur | IP-Adresse, mit der eine Verbindung hergestellt wurde. |
| RemoteUrl | Schnur | URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde. |
| ServiceSource | Schnur | Produkt oder Dienst, das die Warnungsinformationen bereitgestellt hat. |
| SHA1 | Schnur | SHA-1-Hash der Datei. Leer, es sei denn, EntityType ist "File" oder "Process". |
| SHA256 | Schnur | SHA-256 der Datei. Leer, es sei denn, EntityType ist "File" oder "Process". |
| SourceSystem | Schnur | Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Bedrohungsfamilie | Schnur | Schadsoftwarefamilie, unter der die verdächtige oder bösartige Datei oder der Prozess klassifiziert wurde. |
| TimeGenerated | Datum/Uhrzeit | Datum und Uhrzeit der Erstellung des Datensatzes. |
| Typ | Schnur | Der Name der Tabelle. |