BehaviorEntities
Gilt für:
- Microsoft Defender XDR
Die BehaviorEntities
Tabelle im schema der erweiterten Suche enthält Informationen zu Verhalten in Microsoft Defender for Cloud Apps. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Verhaltensweisen sind ein Datentyp in Microsoft Defender XDR basierend auf einem oder mehreren Unformatierten Ereignissen. Verhaltensweisen bieten kontextbezogene Einblicke in Ereignisse und können, aber nicht unbedingt, auf böswillige Aktivitäten hinweisen. Weitere Informationen zu Verhaltensweisen
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
Spaltenname | Datentyp | Beschreibung |
---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit, wann der Datensatz generiert wurde |
BehaviorId |
string |
Eindeutiger Bezeichner für das Verhalten |
ActionType |
string |
Art des Verhaltens |
Categories |
string |
Art des Bedrohungsindikators oder der Sicherheitsverletzungsaktivität, die durch das Verhalten identifiziert wird |
ServiceSource |
string |
Produkt oder Dienst, das das Verhalten identifiziert hat |
DetectionSource |
string |
Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat |
DataSources |
string |
Produkte oder Dienste, die Informationen für das Verhalten bereitgestellt haben |
EntityType |
string |
Objekttyp, z. B. eine Datei, ein Prozess, ein Gerät oder ein Benutzer |
EntityRole |
string |
Gibt an, ob die Entität betroffen oder nur verknüpft ist. |
DetailedEntityRole |
string |
Die Rollen der Entität im Verhalten |
FileName |
string |
Name der Datei, für die das Verhalten gilt |
FolderPath |
string |
Ordner mit der Datei, für die das Verhalten gilt |
SHA1 |
string |
SHA-1 der Datei, für die das Verhalten gilt |
SHA256 |
string |
SHA-256 der Datei, für die das Verhalten gilt |
FileSize |
long |
Größe der Datei, auf die das Verhalten angewendet wird, in Bytes |
ThreatFamily |
string |
Schadsoftwarefamilie, unter der die verdächtige oder schädliche Datei oder der prozess klassifiziert wurde |
RemoteIP |
string |
IP-Adresse, mit der eine Verbindung hergestellt wurde |
RemoteUrl |
string |
URL oder vollqualifizierter Domänenname (FQDN), mit der bzw. dem eine Verbindung hergestellt wurde |
AccountName |
string |
Benutzername des Kontos |
AccountDomain |
string |
Domäne des Kontos |
AccountSid |
string |
Sicherheits-ID (SID) des Kontos |
AccountObjectId |
string |
Eindeutiger Bezeichner für das Konto in Microsoft Entra ID |
AccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos |
DeviceId |
string |
Eindeutiger Bezeichner für das Gerät im Dienst |
DeviceName |
string |
Vollqualifizierter Domänenname (FQDN) des Geräts |
LocalIP |
string |
IP-Adresse, die dem lokalen Gerät zugewiesen ist, das während der Kommunikation verwendet wird |
NetworkMessageId |
string |
Eindeutiger Bezeichner für die von Office 365 generierte E-Mail |
EmailSubject |
string |
Betreff der E-Mail |
EmailClusterId |
string |
Bezeichner für die Gruppe von ähnlichen E-Mail-Nachrichten, die auf Basis der heuristischen Analyse ihrer Inhalte gruppiert sind |
Application |
string |
Anwendung, die die aufgezeichnete Aktion ausgeführt hat |
ApplicationId |
int |
Eindeutiger Bezeichner für die Anwendung |
OAuthApplicationId |
string |
Eindeutiger Bezeichner der OAuth-Anwendung eines Drittanbieters |
ProcessCommandLine |
string |
Zum Erstellen des neuen Prozesses verwendete Befehlszeile |
RegistryKey |
string |
Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde |
RegistryValueName |
string |
Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde |
RegistryValueData |
string |
Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde |
AdditionalFields |
string |
Zusätzliche Informationen zum Verhalten |
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.