Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Die DataSecurityEvents Tabelle im Schema der erweiterten Suche enthält Informationen zu Benutzeraktivitäten, die gegen benutzerdefinierte oder Standardrichtlinien in der Microsoft Purview-Lösungssuite verstoßen. Jedes Protokoll stellt eine einzelne Benutzeraktivität dar, die mit proprietären Microsoft-Erkennungen (z. B. Typen vertraulicher Informationen) und benutzerdefinierten Anreicherungsbezeichnungen wie Domänenkategorien, Vertraulichkeitsbezeichnungen und anderen angereichert ist.
Diese Tabelle für die erweiterte Suche wird mit Datensätzen aus Microsoft Purview Insider Risk Management aufgefüllt. Wenn Ihr organization sich nicht für die Freigabe von Insider-Risikowarnungen an Microsoft Defender XDR angemeldet hat, funktionieren Abfragen, die die Tabelle verwenden, nicht und geben keine Ergebnisse zurück. Weitere Informationen finden Sie unter Untersuchen von Bedrohungen mit Insider-Risiken.
Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben. Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
ApplicationNames |
string |
Liste der Anwendungsnamen, die verwendet werden oder sich auf das Ereignis beziehen |
DeviceId |
string |
Eindeutiger Bezeichner für das Gerät in Microsoft Defender for Endpoint |
DeviceName |
string |
Vollqualifizierter Domänenname (FQDN) des Geräts |
AadDeviceId |
guid |
Eindeutiger Bezeichner für das Gerät in Microsoft Entra ID |
IsManagedDevice |
bool |
Gibt an, ob das Gerät vom organization verwaltet wird (True) oder nicht (False) |
DlpPolicyMatchInfo |
string |
Informationen zur Liste der Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust), die mit diesem Ereignis übereinstimmen |
DlpPolicyEnforcementMode |
int |
Gibt die Richtlinie zur Verhinderung von Datenverlust an, die erzwungen wurde; Der Wert kann sein: 0 (Keine), 1 (Audit), 2 (Warnung), 3 (Warn und Umgehung), 4 (Blockieren), 5 (Zulassen) |
DlpPolicyRuleMatchInfo |
dynamic |
Details der Dlp-Regeln (Data Loss Prevention, Verhinderung von Datenverlust), die mit diesem Ereignis übereinstimmen; im JSON-Arrayformat |
FileRenameInfo |
string |
Details der Datei (Dateiname und Erweiterung) vor diesem Ereignis |
PhysicalAccessPointId |
string |
Eindeutiger Bezeichner für den physischen Zugriffspunkt |
PhysicalAccessPointName |
string |
Name des physischen Zugriffspunkts |
PhysicalAccessStatus |
string |
Status des physischen Zugriffs, unabhängig davon, ob er erfolgreich oder fehlgeschlagen ist |
PhysicalAssetTag |
string |
Tag, das der Ressource zugewiesen ist, wie in den globalen Einstellungen des Microsoft Insider-Risikomanagements konfiguriert |
RemovableMediaManufacturer |
string |
Herstellername des Wechselmediums |
RemovableMediaModel |
string |
Modellname des Wechselmediums |
RemovableMediaSerialNumber |
string |
Seriennummer des Wechselmediums |
TeamsChannelName |
string |
Name des Teams-Kanals |
TeamsChannelType |
string |
Typ des Teams-Kanals |
TeamsTeamName |
string |
Name des Teams-Teams |
UserAlternateEmails |
string |
Alternative E-Mails oder Aliase des Benutzers |
AccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos |
AccountObjectId |
string |
Eindeutiger Bezeichner für das Konto in Microsoft Entra ID |
Department |
string |
Name der Abteilung, zu der der Kontobenutzer gehört |
SourceCodeInfo |
string |
Details zum Quellcoderepository, das am Ereignis beteiligt ist |
CcPolicyMatchInfo |
dynamic |
Details zu den Übereinstimmungen der Kommunikationskonformitätsrichtlinie für dieses Ereignis; im JSON-Arrayformat |
IPAddress |
string |
IP-Adressen der Clients, auf denen die Aktivität ausgeführt wurde; kann mehrere IP-Adressen enthalten, wenn sie sich auf Microsoft Defender for Cloud Apps Warnungen beziehen |
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
DeviceSourceLocationType |
int |
Gibt den Standorttyp an, von dem die Endpunktsignale stammen; Werte können sein: 0 (Unbekannt), 1 (lokal), 2 (Remote), 3 (Entfernbar), 4 (Cloud), 5 (Dateifreigabe) |
DeviceDestinationLocationType |
int |
Gibt den Typ des Standorts an, an den der Endpunkt eine Verbindung signalisiert; Werte können sein: 0 (Unbekannt), 1 (lokal), 2 (Remote), 3 (Entfernbar), 4 (Cloud), 5 (Dateifreigabe) |
IrmPolicyMatchInfo |
dynamic |
Details der Übereinstimmungen der Insider-Risikomanagement-Richtlinie für den Inhalt des Ereignisses; im JSON-Arrayformat |
UnallowedUrlDomains |
string |
Websites oder Dienst-URLs, die an diesem Ereignis beteiligt sind und in den globalen Einstellungen des Insider-Risikomanagements als Nicht zulässig konfiguriert sind |
ExternalUrlDomains |
string |
Websites oder Dienst-URLs, die an diesem Ereignis beteiligt sind und in den globalen Einstellungen des Insider-Risikomanagements als extern klassifiziert sind |
UrlDomainInfo |
string |
Details zu den Websites oder Dienst-URLs, die an dem Ereignis beteiligt sind |
SourceUrlDomain |
string |
Domäne, in der das Gerät und die E-Mail-Signale stammen |
TargetUrlDomain |
string |
Domäne, für die der Inhalt freigegeben wurde oder zu der der Benutzer naviziert hat |
EmailAttachmentCount |
int |
Anzahl der E-Mail-Anlagen |
EmailAttachmentInfo |
dynamic |
Details zu E-Mail-Anlagen; im JSON-Arrayformat |
InternetMessageId |
string |
Öffentlich zugänglicher Bezeichner für die E-Mail- oder Teams-Nachricht, die vom sendenden E-Mail-System festgelegt wird |
NetworkMessageId |
guid |
Eindeutiger Bezeichner für die E-Mail, generiert von Microsoft 365 |
EmailSubject |
string |
Betreff der E-Mail |
ObjectId |
string |
Eindeutiger Bezeichner des Objekts, auf das die aufgezeichnete Aktion angewendet wurde. Bei Dateien enthält sie die Erweiterung. |
ObjectName |
string |
Name des Objekts, auf das die aufgezeichnete Aktion angewendet wurde. Bei Dateien enthält es die Erweiterung. |
ObjectType |
string |
Typ des Objekts, z. B. eine Datei oder ein Ordner, auf den die aufgezeichnete Aktion angewendet wurde |
ObjectSize |
int |
Größe des Objekts in Bytes |
IsHidden |
bool |
Gibt an, ob der Benutzer den Inhalt als ausgeblendet (True) oder nicht (False) markiert hat. |
ActivityId |
guid |
Eindeutiger Bezeichner des Aktivitätsprotokolls |
ActionType |
string |
Typ der Aktivität, die das Ereignis ausgelöst hat |
SensitiveInfoTypeInfo |
dynamic |
Details zu vertraulichen Informationstypen zur Verhinderung von Datenverlust, die in der betroffenen Ressource erkannt wurden |
SensitivityLabelId |
string |
Die aktuelle Microsoft Information Protection Vertraulichkeitsbezeichnungs-ID, die dem Element zugeordnet ist |
SharepointSiteSensitivityLabelIds |
string |
Die aktuelle Microsoft Information Protection Vertraulichkeitsbezeichnungs-ID, die der übergeordneten Website des Elements zugewiesen ist, das sich auf SharePoint-Aktivitäten bezieht |
PreviousSensitivityLabelId |
string |
Die vorherige Microsoft Information Protection Vertraulichkeitsbezeichnungs-ID, die dem Element zugeordnet ist, wenn aktivitäten, bei denen die Vertraulichkeitsbezeichnung geändert wurde |
Operation |
string |
Name der Administratoraktivität |
RecipientEmailAddress |
string |
E-Mail-Adresse des Empfängers oder E-Mail-Adresse des Empfängers nach Erweiterung der Verteilerliste |
SiteUrl |
string |
Die URL der Website, auf der sich die Datei oder der Ordner befindet, auf die der Benutzer zugreift. |
SourceRelativeUrl |
string |
Die URL des Ordners, der die Datei enthält, auf die der Benutzer zugreift. |
TargetFilePath |
string |
Zieldateipfad von Endpunktaktivitäten |
PrinterName |
string |
Liste der am Verhalten beteiligten Drucker |
Workload |
string |
Der Microsoft 365-Dienst, in dem das Ereignis aufgetreten ist |
IrmActionCategory |
enum |
Ein eindeutiger Enumerationswert, der die Aktivitätskategorie in Microsoft Purview Insider Risk Management |
SequenceCorrelationId |
string |
Details der Sequenzaktivität |
CloudAppAlertId |
string |
Eindeutiger Bezeichner für die Warnung in Microsoft Defender for Cloud Apps |
Verwandte Artikel
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.