AlertEvidence

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Kehittyneen AlertEvidencemetsästysrakenteen taulukko sisältää tietoja eri entiteeteistä – tiedostoista, IP-osoitteista, URL-osoitteista, käyttäjistä tai laitteista – jotka on liitetty Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.

Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.

Sarakkeen nimi Tietotyyppi Kuvaus
Timestamp datetime Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin
AlertId string Hälytyksen yksilöllinen tunnus
Title string Ilmoituksen otsikko
Categories string Luettelo luokista, joihin tiedot kuuluvat, JSON-matriisimuodossa
AttackTechniques string MITRE ATT&CK-tekniikoita, jotka liittyvät hälytyksen käynnistäntiin
ServiceSource string Ilmoitustiedot antanut tuote tai palvelu
DetectionSource string Tunnistamistekniikka tai tunnistin, joka tunnisti tärkeän osan tai toiminnan
EntityType string Objektin tyyppi, kuten tiedosto, prosessi, laite tai käyttäjä
EvidenceRole string Entiteetin osallistuminen hälytykseen, joka ilmaisee, vaikuttaako se vai onko se vain liittyvä
EvidenceDirection string Ilmaisee, onko entiteetti verkkoyhteyden lähde vai kohde
FileName string Sen tiedoston nimi, jossa tallennettua toimintoa käytettiin
FolderPath string Kansio, joka sisältää tiedoston, jossa tallennettua toimintoa käytettiin
SHA1 string Sen tiedoston SHA-1, jossa tallennettua toimintoa sovellettiin
SHA256 string Sen tiedoston SHA-256, jossa tallennettua toimintoa sovellettiin. Tätä kenttää ei yleensä täytetä– käytä SHA1-saraketta, kun se on käytettävissä.
FileSize long Tiedoston koko tavuina
ThreatFamily string Haittaohjelmaperhe, johon epäilyttävä tai haitallinen tiedosto tai prosessi on luokiteltu
RemoteIP string IP-osoite, johon yhdistettiin
RemoteUrl string URL-osoite tai täydellinen toimialuenimi (FQDN), johon oli yhdistetty
AccountName string Tilin käyttäjänimi
AccountDomain string Tilin toimialue
AccountSid string Tilin suojaustunnus (SID)
AccountObjectId string Tilin yksilöllinen tunnus Microsoft Entra ID
AccountUpn string Tilin täydellinen käyttäjätunnus (UPN)
DeviceId string Palvelun laitteen yksilöllinen tunniste
DeviceName string Laitteen täydellinen toimialuenimi (FQDN)
LocalIP string Tiedonsiirron aikana käytetylle paikalliselle laitteelle määritetty IP-osoite
NetworkMessageId string Sähköpostin yksilöllinen tunniste, jonka on luonut Office 365
EmailSubject string Sähköpostiviestin aihe
Application string Sovellus, joka suoritti tallennetun toiminnon
ApplicationId int Sovelluksen yksilöllinen tunnus
OAuthApplicationId string Kolmannen osapuolen OAuth-sovelluksen yksilöllinen tunnus
ProcessCommandLine string Uuden prosessin luomiseen käytettävä komentorivi
RegistryKey string Rekisteriavain, johon tallennettu toiminto suoritettiin
RegistryValueName string Sen rekisteriarvon nimi, johon tallennettu toiminto on otettu käyttöön
RegistryValueData string Sen rekisteriarvon tiedot, johon tallennettu toiminto suoritettiin
AdditionalFields string Lisätietoja entiteetistä tai tapahtumasta
Severity string Ilmaisee hälytyksen tunnistaman uhkailmaisimen tai tietomurron mahdollisen vaikutuksen (suuri, keskitaso tai pieni).
CloudResource string Pilvipalveluresurssin nimi
CloudPlatform string Pilviympäristö, johon resurssi kuuluu, voi olla Azure, Amazon Web Services tai Google Cloud Platform
ResourceType string Pilvipalveluresurssin tyyppi
ResourceID string Sen pilviresurssin yksilöllinen tunnus, jota käytetään
SubscriptionId string Pilvipalvelutilauksen yksilöllinen tunnus

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.