Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
BehaviorInfo
Kehittyneen metsästysrakenteen taulukko sisältää tietoja Microsoft Defender for Cloud Apps sekä käyttäjän ja entiteetin käyttäytymisanalytiikan (UEBA) toiminnoista. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Tärkeää
Taulukko BehaviorInfo on esikatselutilassa, eikä se ole käytettävissä GCC:ssä. Näitä tietoja voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista. Haluatko antaa palautetta jaettavaksi? Täytä palautelomake.
Toiminta on Microsoft Defender XDR tietotyyppi, joka perustuu yhteen tai useampaan raakatapahtumaan. Toiminta tarjoaa tilannekohtaista tietoa tapahtumista ja voi, mutta ei välttämättä, osoittaa haitallista toimintaa. Lisätietoja on seuraavissa artikkeleissa:
- Toiminnan tutkiminen kehittyneen metsästyksen avulla
- Raakasuojauslokien kääntäminen käyttäytymiseen merkityksellisiksi tiedoille UEBA-käyttäytymisen avulla Microsoft Sentinel
Tämä kehittynyt metsästystaulukko täytetään sekä Defender for Cloud Apps että UEBA:n tietueilla. Jos organisaatiosi ei ota näitä palveluita käyttöön Microsoft Defender XDR, taulukkoa käyttävät kyselyt eivät toimi tai palauta tuloksia. Lisätietoja palveluiden käyttöönotosta Defender XDR on kohdassa Tuettujen palveluiden käyttöönotto.
Varmista, että Defender for Cloud Apps- ja UEBA-tiedot täyttävät BehaviorInfo taulukon, noudattamalla seuraavissa artikkeleissa annettuja ohjeita:
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tietue luotiin |
BehaviorId |
string |
Toiminnan yksilöllinen tunnus |
Title |
string |
Toiminnan otsikko |
Description |
string |
Toiminnan kuvaus |
Categories |
string |
Toiminnan määrittämä uhkailmaisimen tai murron tyyppi MITRE ATT&CK -kehyksen määrittämällä tavalla |
AttackTechniques |
string |
MITRE ATT&CK-tekniikoita, jotka liittyvät toiminnan käynnistäntiin |
ServiceSource |
string |
Tuotteen tai palvelun, joka tunnisti toiminnan |
DetectionSource |
string |
Tunnistamistekniikka tai tunnistin, joka tunnisti tärkeän osan tai toiminnan |
DataSources |
string |
Tuotteet tai palvelut, jotka toimittivat tietoja käyttäytymisestä |
DeviceId |
string |
Palvelun laitteen yksilöllinen tunniste |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN) |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
StartTime |
datetime |
Toimintaan liittyvän ensimmäisen toiminnon päivämäärä ja aika |
EndTime |
datetime |
Toimintatapaan liittyvän viimeisen toiminnon päivämäärä ja aika |
AdditionalFields |
string |
Lisätietoja toiminnasta |
ActionType |
string |
Toimintatyyppi |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.