BehaviorEntities

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Die BehaviorEntities Tabelle im schema der erweiterten Suche enthält Informationen zu Verhalten in Microsoft Defender for Cloud Apps. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Verhaltensweisen sind ein Datentyp in Microsoft Defender XDR basierend auf einem oder mehreren Unformatierten Ereignissen. Verhaltensweisen bieten kontextbezogene Einblicke in Ereignisse und können, aber nicht unbedingt, auf böswillige Aktivitäten hinweisen. Weitere Informationen zu Verhaltensweisen

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit, wann der Datensatz generiert wurde
BehaviorId string Eindeutiger Bezeichner für das Verhalten
ActionType string Art des Verhaltens
Categories string Art des Bedrohungsindikators oder der Sicherheitsverletzungsaktivität, die durch das Verhalten identifiziert wird
ServiceSource string Produkt oder Dienst, das das Verhalten identifiziert hat
DetectionSource string Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat
DataSources string Produkte oder Dienste, die Informationen für das Verhalten bereitgestellt haben
EntityType string Objekttyp, z. B. eine Datei, ein Prozess, ein Gerät oder ein Benutzer
EntityRole string Gibt an, ob die Entität betroffen oder nur verknüpft ist.
DetailedEntityRole string Die Rollen der Entität im Verhalten
FileName string Name der Datei, für die das Verhalten gilt
FolderPath string Ordner mit der Datei, für die das Verhalten gilt
SHA1 string SHA-1 der Datei, für die das Verhalten gilt
SHA256 string SHA-256 der Datei, für die das Verhalten gilt
FileSize long Größe der Datei, auf die das Verhalten angewendet wird, in Bytes
ThreatFamily string Schadsoftwarefamilie, unter der die verdächtige oder schädliche Datei oder der prozess klassifiziert wurde
RemoteIP string IP-Adresse, mit der eine Verbindung hergestellt wurde
RemoteUrl string URL oder vollqualifizierter Domänenname (FQDN), mit der bzw. dem eine Verbindung hergestellt wurde
AccountName string Benutzername des Kontos
AccountDomain string Domäne des Kontos
AccountSid string Sicherheits-ID (SID) des Kontos
AccountObjectId string Eindeutiger Bezeichner für das Konto in Microsoft Entra ID
AccountUpn string Benutzerprinzipalname (UPN) des Kontos
DeviceId string Eindeutiger Bezeichner für das Gerät im Dienst
DeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts
LocalIP string IP-Adresse, die dem lokalen Gerät zugewiesen ist, das während der Kommunikation verwendet wird
NetworkMessageId string Eindeutiger Bezeichner für die von Office 365 generierte E-Mail
EmailSubject string Betreff der E-Mail
EmailClusterId string Bezeichner für die Gruppe von ähnlichen E-Mail-Nachrichten, die auf Basis der heuristischen Analyse ihrer Inhalte gruppiert sind
Application string Anwendung, die die aufgezeichnete Aktion ausgeführt hat
ApplicationId int Eindeutiger Bezeichner für die Anwendung
OAuthApplicationId string Eindeutiger Bezeichner der OAuth-Anwendung eines Drittanbieters
ProcessCommandLine string Zum Erstellen des neuen Prozesses verwendete Befehlszeile
RegistryKey string Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde
RegistryValueName string Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde
RegistryValueData string Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde
AdditionalFields string Zusätzliche Informationen zum Verhalten

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.