BehaviorEntities (versión preliminar)
Se aplica a:
- Microsoft Defender XDR
La BehaviorEntities tabla del esquema de búsqueda avanzada contiene información sobre los comportamientos de Microsoft Defender for Cloud Apps. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Importante
La BehaviorEntities tabla está en versión preliminar y no está disponible para GCC. La información aquí puede modificarse sustancialmente antes de que se publique comercialmente. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona. ¿Tiene comentarios para compartir? Rellene nuestro formulario de comentarios.
Los comportamientos son un tipo de datos en Microsoft Defender XDR basados en uno o varios eventos sin procesar. Los comportamientos proporcionan información contextual sobre los eventos y pueden, pero no necesariamente, indicar actividad malintencionada. Obtenga más información sobre los comportamientos.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se generó el registro |
BehaviorId |
string |
Identificador único del comportamiento |
ActionType |
string |
Tipo de comportamiento |
Categories |
string |
Tipo de indicador de amenaza o actividad de infracción identificada por el comportamiento |
ServiceSource |
string |
Producto o servicio que identificó el comportamiento |
DetectionSource |
string |
Tecnología de detección o sensor que identificó el componente o actividad notable |
DataSources |
string |
Productos o servicios que proporcionaron información sobre el comportamiento |
EntityType |
string |
Tipo de objeto, como un archivo, un proceso, un dispositivo o un usuario |
EntityRole |
string |
Indica si la entidad se ve afectada o simplemente relacionada |
DetailedEntityRole |
string |
Los roles de la entidad en el comportamiento |
FileName |
string |
Nombre del archivo al que se aplica el comportamiento |
FolderPath |
string |
Carpeta que contiene el archivo al que se aplica el comportamiento |
SHA1 |
string |
SHA-1 del archivo al que se aplica el comportamiento |
SHA256 |
string |
SHA-256 del archivo al que se aplica el comportamiento |
FileSize |
long |
Tamaño, en bytes, del archivo al que se aplica el comportamiento |
ThreatFamily |
string |
Familia de malware en la que se ha clasificado el archivo o proceso sospechoso o malintencionado en |
RemoteIP |
string |
Dirección IP a la que se ha conectado |
RemoteUrl |
string |
La dirección URL o el nombre de dominio completo (FQDN, según sus siglas en inglés) en el cual se ha estado conectado. |
AccountName |
string |
Nombre de usuario de la cuenta |
AccountDomain |
string |
Dominio de la cuenta |
AccountSid |
string |
Identificador de seguridad (SID) de la cuenta |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta |
DeviceId |
string |
Identificador único del dispositivo en el servicio |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
LocalIP |
string |
Dirección IP asignada al dispositivo local usado durante la comunicación |
NetworkMessageId |
string |
Identificador único de correo electrónico, generado por Office 365 |
EmailSubject |
string |
Asunto del correo electrónico. |
EmailClusterId |
string |
Identificador para el grupo de correos electrónicos similares agrupados según el análisis heurístico de su contenido. |
Application |
string |
Aplicación que realizó la acción registrada |
ApplicationId |
int |
Identificador único de la aplicación |
OAuthApplicationId |
string |
Identificador único de la aplicación de OAuth de terceros |
ProcessCommandLine |
string |
Línea de comandos usada para crear el nuevo proceso |
RegistryKey |
string |
Clave del Registro a la que se aplicó la acción registrada |
RegistryValueName |
string |
Nombre del valor del Registro al que se aplicó la acción registrada |
RegistryValueData |
string |
Datos del valor del Registro al que se aplicó la acción registrada |
AdditionalFields |
string |
Información adicional sobre el comportamiento |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.