Compartir a través de


AlertEvidence

Se aplica a:

  • Microsoft Defender XDR

La AlertEvidence tabla del esquema de búsqueda avanzada contiene información sobre varias entidades (archivos, direcciones IP, direcciones URL, usuarios o dispositivos) asociada a alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps y Microsoft Defender for Identity. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se registró el evento.
AlertId string Identificador único de alerta.
Title string Título de la alerta.
Categories string Lista de categorías a las que pertenece la información, en formato de matriz JSON
AttackTechniques string MITRE ATT&técnicas de CK asociadas a la actividad que desencadenó la alerta
ServiceSource string Producto o servicio que proporcionó la información de alerta
DetectionSource string Tecnología de detección o sensor que identificó el componente o actividad notable
EntityType string Tipo de objeto, como un archivo, un proceso, un dispositivo o un usuario
EvidenceRole string Cómo participa la entidad en una alerta, que indica si se ve afectada o simplemente está relacionada
EvidenceDirection string Indica si la entidad es el origen o el destino de una conexión de red.
FileName string Nombre del archivo donde se aplicó la acción registrada
FolderPath string Carpeta que contiene el archivo al que se aplicó la acción registrada
SHA1 string SHA-1 del archivo donde fue aplicada la acción registrada
SHA256 string SHA-256 del archivo donde se aplicó la acción registrada. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible.
FileSize long Tamaño del archivo en bytes
ThreatFamily string Familia de malware en la que se ha clasificado el archivo o proceso sospechoso o malintencionado en
RemoteIP string Dirección IP a la que se ha conectado
RemoteUrl string La dirección URL o el nombre de dominio completo (FQDN, según sus siglas en inglés) en el cual se ha estado conectado.
AccountName string Nombre de usuario de la cuenta
AccountDomain string Dominio de la cuenta
AccountSid string Identificador de seguridad (SID) de la cuenta
AccountObjectId string Identificador único de la cuenta en Microsoft Entra ID
AccountUpn string Nombre principal de usuario (UPN) de la cuenta
DeviceId string Identificador único del dispositivo en el servicio
DeviceName string Nombre de dominio completo (FQDN) del dispositivo
LocalIP string Dirección IP asignada al dispositivo local usado durante la comunicación
NetworkMessageId string Identificador único de correo electrónico, generado por Office 365
EmailSubject string Asunto del correo electrónico.
Application string Aplicación que realizó la acción registrada
ApplicationId int Identificador único de la aplicación
OAuthApplicationId string Identificador único de la aplicación de OAuth de terceros
ProcessCommandLine string Línea de comandos usada para crear el nuevo proceso
RegistryKey string Clave del Registro a la que se aplicó la acción registrada
RegistryValueName string Nombre del valor del Registro al que se aplicó la acción registrada
RegistryValueData string Datos del valor del Registro al que se aplicó la acción registrada
AdditionalFields string Información adicional sobre la entidad o el evento
Severity string El indicador de amenazas indica el posible impacto (alto, medio o bajo) de las actividades de vulneración identificadas por la alerta.
CloudResource string Nombre del recurso en la nube
CloudPlatform string La plataforma en la nube a la que pertenece el recurso puede ser Azure, Amazon Web Services o Google Cloud Platform.
ResourceType string Tipo de recurso en la nube
ResourceID string Identificador único del recurso en la nube al que se accede
SubscriptionId string Identificador único de la suscripción de servicio en la nube

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.