Toimintaentiteetit (esikatselu)
Koskee seuraavia:
- Microsoft Defender XDR
Kehittyneen BehaviorEntitiesmetsästysrakenteen taulukko sisältää tietoja Microsoft Defender for Cloud Apps käyttäytymisestä. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Tärkeää
Taulukko BehaviorEntities on esikatselutilassa, eikä se ole käytettävissä GCC:ssä. Näitä tietoja voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista. Haluatko antaa palautetta jaettavaksi? Täytä palautelomake.
Toiminta on Microsoft Defender XDR tietotyyppi, joka perustuu yhteen tai useampaan raakatapahtumaan. Toiminta tarjoaa tilannekohtaista tietoa tapahtumista ja voi, mutta ei välttämättä, osoittaa haitallista toimintaa. Lue lisää toiminnoista
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tietue luotiin |
BehaviorId |
string |
Toiminnan yksilöllinen tunnus |
ActionType |
string |
Toimintatyyppi |
Categories |
string |
Toiminnan tunnistama uhkailmaisimen tai tietomurron toimintatyyppi |
ServiceSource |
string |
Tuotteen tai palvelun, joka tunnisti toiminnan |
DetectionSource |
string |
Tunnistamistekniikka tai tunnistin, joka tunnisti tärkeän osan tai toiminnan |
DataSources |
string |
Tuotteet tai palvelut, jotka toimittivat tietoja käyttäytymisestä |
EntityType |
string |
Objektin tyyppi, kuten tiedosto, prosessi, laite tai käyttäjä |
EntityRole |
string |
Ilmaisee, vaikuttaako entiteetti vai vain liittyvä |
DetailedEntityRole |
string |
Entiteetin roolit toiminnassa |
FileName |
string |
Sen tiedoston nimi, jota toiminta koskee |
FolderPath |
string |
Kansio, joka sisältää tiedoston, jota toiminta koskee |
SHA1 |
string |
Sen tiedoston SHA-1, jota toiminta koskee |
SHA256 |
string |
Sen tiedoston SHA-256, jota toiminta koskee |
FileSize |
long |
Sen tiedoston koko tavuina, jota toiminta koskee |
ThreatFamily |
string |
Haittaohjelmaperhe, johon epäilyttävä tai haitallinen tiedosto tai prosessi on luokiteltu |
RemoteIP |
string |
IP-osoite, johon yhdistettiin |
RemoteUrl |
string |
URL-osoite tai täydellinen toimialuenimi (FQDN), johon oli yhdistetty |
AccountName |
string |
Tilin käyttäjänimi |
AccountDomain |
string |
Tilin toimialue |
AccountSid |
string |
Tilin suojaustunnus (SID) |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN) |
DeviceId |
string |
Palvelun laitteen yksilöllinen tunniste |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
LocalIP |
string |
Tiedonsiirron aikana käytetylle paikalliselle laitteelle määritetty IP-osoite |
NetworkMessageId |
string |
Sähköpostin yksilöllinen tunniste, jonka on luonut Office 365 |
EmailSubject |
string |
Sähköpostiviestin aihe |
EmailClusterId |
string |
Tunniste samankaltaisten sähköpostien ryhmälle, joka on klusteroitu niiden sisällön heurisistisen analyysin perusteella |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
ApplicationId |
int |
Sovelluksen yksilöllinen tunnus |
OAuthApplicationId |
string |
Kolmannen osapuolen OAuth-sovelluksen yksilöllinen tunnus |
ProcessCommandLine |
string |
Uuden prosessin luomiseen käytettävä komentorivi |
RegistryKey |
string |
Rekisteriavain, johon tallennettu toiminto suoritettiin |
RegistryValueName |
string |
Sen rekisteriarvon nimi, johon tallennettu toiminto on otettu käyttöön |
RegistryValueData |
string |
Sen rekisteriarvon tiedot, johon tallennettu toiminto suoritettiin |
AdditionalFields |
string |
Lisätietoja toiminnasta |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.