Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Die DataSecurityBehaviors Tabelle im Schema der erweiterten Suche enthält Erkenntnisse zu potenziell verdächtigen Benutzerverhalten, die gegen die benutzerdefinierten oder Standardrichtlinien verstoßen, die in der Microsoft Purview-Lösungssuite konfiguriert sind.
Insights decken eine Reihe von Verhaltensweisen im Zusammenhang mit der Datensicherheit ab, z. B. Verhaltensweisen im Zusammenhang mit Exfiltration, Verschleierung, riskante Interaktionen mit KI-Anwendungen und andere. Erkenntnisse werden generiert, indem Benutzerverhalten über einen Kalendertag aggregiert und mit vorherigen Aktivitäten, Peergruppenaktivitäten oder anderen Aktivitäten des Benutzers verglichen werden. Insights erfassen auch Zusammenfassungen verschiedener Risiko-Pivots wie vertrauliche Daten, riskante Ziele und dergleichen.
Diese Tabelle für die erweiterte Suche wird mit Datensätzen aus Microsoft Purview Insider Risk Management aufgefüllt. Wenn Ihr organization sich nicht für die Freigabe von Insider-Risikowarnungen an Microsoft Defender XDR angemeldet hat, funktionieren Abfragen, die die Tabelle verwenden, nicht und geben keine Ergebnisse zurück. Weitere Informationen finden Sie unter Untersuchen von Bedrohungen mit Insider-Risiken.
Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben. Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Generierung oder Aktualisierung des Datensatzes |
BehaviorId |
string |
Eindeutiger Bezeichner für das Verhalten |
ActionType |
string |
Typ des Verhaltens. Weitere Informationen finden Sie im Katalog der von Microsoft Purview Insider Risk Management erkannten Verhaltensweisen. |
StartTime |
datetime |
Datum und Uhrzeit der ersten Aktivität im Zusammenhang mit dem Verhalten |
EndTime |
datetime |
Datum und Uhrzeit der letzten Aktivität im Zusammenhang mit dem Verhalten |
AttackTechniques |
string |
MITRE ATT&CK-Techniken, die der Aktivität zugeordnet sind, die das Verhalten ausgelöst hat. Weitere Informationen finden Sie unter Untertechniken im Insider-Risikomanagement-Verhaltenskatalog. |
Categories |
string |
Art des Bedrohungsindikators oder der Sicherheitsverletzungsaktivität, die durch das Verhalten identifiziert wird |
ActionCategory |
enum |
Kategorie der Aktion, die das Ereignis ausgelöst hat |
Description |
string |
Beschreibung des Verhaltens |
ServiceSource |
string |
Produkt oder Dienst, das das Verhalten identifiziert hat |
DetectionSource |
string |
Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat |
ActivityCount |
int |
Gesamtzahl der unter diesem Verhalten aufgezeichneten Benutzeraktivitätsereignisse |
IsAnomalous |
bool |
Gibt an, ob dieses Verhalten anomale (1) oder nicht (0) ist. |
IsContentHidden |
bool |
Gibt an, ob das Verhalten ausgeblendete Inhalte auf einem Gerät betrifft. |
AccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos |
AccountEmail |
string |
Email Adresse des Kontos |
Application |
string |
Anwendung, die die aufgezeichnete Aktion ausgeführt hat |
DeviceInfo |
dynamic |
Liste der Geräteinformationen für das Gerät, das an diesem Verhalten beteiligt ist, einschließlich Geräte-ID, Gerätename und Anzahl der Ereignisse, an denen das Gerät beteiligt ist; im JSON-Arrayformat |
SensitivityLabelInfo |
dynamic |
Liste der Vertraulichkeitsbezeichnungen, die Inhalten zugewiesen sind, die an diesem Verhalten beteiligt sind, einschließlich des eindeutigen Bezeichners für die Microsoft Information Protection Vertraulichkeitsbezeichnung, die dem zugehörigen Inhalt zugewiesen ist, den Namen der Vertraulichkeitsbezeichnung und die Anzahl der Ereignisse im Verhalten, die diese Bezeichnung betreffen; im JSON-Arrayformat |
SensitiveInfoTypesInfo |
dynamic |
Liste der Typen vertraulicher Informationen, die im Inhalt erkannt wurden, der an diesem Verhalten beteiligt ist, einschließlich des eindeutigen Bezeichners für den Typ vertraulicher Informationen, des Namens des Typs vertraulicher Informationen und der Anzahl der Ereignisse im Verhalten, die diesen Typ vertraulicher Informationen betreffen; im JSON-Arrayformat |
UrlDomainInfo |
dynamic |
Liste der Websites oder Dienst-URLs, die am Verhalten beteiligt sind, einschließlich des Namens der URL-Domäne, der Richtung der Daten (die von der Domäne gesendet oder empfangen werden), dem Typ der URL-Domäne (vom Kunden konfiguriert oder auf Watchlists basieren) und der Anzahl der Ereignisse im Verhalten, die die spezifische Domäne betreffen; im JSON-Arrayformat |
SharepointSiteInfo |
dynamic |
Liste der SharePoint-Websites, die an diesem Verhalten beteiligt sind, einschließlich des eindeutigen Bezeichners für die SharePoint-Website, des Namens der SharePoint-Website und der Anzahl der Ereignisse im Verhalten, das die SharePoint-Website betrifft; im JSON-Arrayformat |
RecipientEmailInfo |
dynamic |
Liste der Informationen über den Empfänger, der am Verhalten beteiligt ist, einschließlich der E-Mail-Adresse des Empfängers und der Anzahl der Ereignisse im Verhalten, das den Empfänger betrifft; im JSON-Arrayformat |
RemovableMediaInfo |
dynamic |
Liste aller Wechselmedien, die am Verhalten beteiligt sind, einschließlich der Seriennummer des Wechselmediengeräts, des Herstellers des Wechselmediums und des Modells des Wechselmediums; im JSON-Arrayformat |
PrinterName |
dynamic |
Liste der Drucker, die am Verhalten beteiligt sind; im Arrayformat |
PriorityContentMatchInfo |
dynamic |
Liste der in diesem Verhalten identifizierten Prioritätsinhalts-Übereinstimmungen und der zugehörigen Details. Inhaltsdefinitionen mit Priorität werden von den Administratoren für jede Insider-Risikomanagementrichtlinie durchgeführt. Wird im JSON-Arrayformat angezeigt. |
Verwandte Artikel
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.