AlertEvidence
Se aplica a:
- Microsoft Defender XDR
La AlertEvidence tabla del esquema de búsqueda avanzada contiene información sobre varias entidades (archivos, direcciones IP, direcciones URL, usuarios o dispositivos) asociada a alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps y Microsoft Defender for Identity. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
AlertId |
string |
Identificador único de alerta. |
Title |
string |
Título de la alerta. |
Categories |
string |
Lista de categorías a las que pertenece la información, en formato de matriz JSON |
AttackTechniques |
string |
MITRE ATT&técnicas de CK asociadas a la actividad que desencadenó la alerta |
ServiceSource |
string |
Producto o servicio que proporcionó la información de alerta |
DetectionSource |
string |
Tecnología de detección o sensor que identificó el componente o actividad notable |
EntityType |
string |
Tipo de objeto, como un archivo, un proceso, un dispositivo o un usuario |
EvidenceRole |
string |
Cómo participa la entidad en una alerta, que indica si se ve afectada o simplemente está relacionada |
EvidenceDirection |
string |
Indica si la entidad es el origen o el destino de una conexión de red. |
FileName |
string |
Nombre del archivo donde se aplicó la acción registrada |
FolderPath |
string |
Carpeta que contiene el archivo al que se aplicó la acción registrada |
SHA1 |
string |
SHA-1 del archivo donde fue aplicada la acción registrada |
SHA256 |
string |
SHA-256 del archivo donde se aplicó la acción registrada. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible. |
FileSize |
long |
Tamaño del archivo en bytes |
ThreatFamily |
string |
Familia de malware en la que se ha clasificado el archivo o proceso sospechoso o malintencionado en |
RemoteIP |
string |
Dirección IP a la que se ha conectado |
RemoteUrl |
string |
La dirección URL o el nombre de dominio completo (FQDN, según sus siglas en inglés) en el cual se ha estado conectado. |
AccountName |
string |
Nombre de usuario de la cuenta |
AccountDomain |
string |
Dominio de la cuenta |
AccountSid |
string |
Identificador de seguridad (SID) de la cuenta |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta |
DeviceId |
string |
Identificador único del dispositivo en el servicio |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
LocalIP |
string |
Dirección IP asignada al dispositivo local usado durante la comunicación |
NetworkMessageId |
string |
Identificador único de correo electrónico, generado por Office 365 |
EmailSubject |
string |
Asunto del correo electrónico. |
Application |
string |
Aplicación que realizó la acción registrada |
ApplicationId |
int |
Identificador único de la aplicación |
OAuthApplicationId |
string |
Identificador único de la aplicación de OAuth de terceros |
ProcessCommandLine |
string |
Línea de comandos usada para crear el nuevo proceso |
RegistryKey |
string |
Clave del Registro a la que se aplicó la acción registrada |
RegistryValueName |
string |
Nombre del valor del Registro al que se aplicó la acción registrada |
RegistryValueData |
string |
Datos del valor del Registro al que se aplicó la acción registrada |
AdditionalFields |
string |
Información adicional sobre la entidad o el evento |
Severity |
string |
El indicador de amenazas indica el posible impacto (alto, medio o bajo) de las actividades de vulneración identificadas por la alerta. |
CloudResource |
string |
Nombre del recurso en la nube |
CloudPlatform |
string |
La plataforma en la nube a la que pertenece el recurso puede ser Azure, Amazon Web Services o Google Cloud Platform. |
ResourceType |
string |
Tipo de recurso en la nube |
ResourceID |
string |
Identificador único del recurso en la nube al que se accede |
SubscriptionId |
string |
Identificador único de la suscripción de servicio en la nube |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de