Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Tableau des comportements MDE (Microsoft Defender pour points de terminaison). Contient des informations sur les entités (fichier, processus, appareil, utilisateur et autres) impliquées dans un comportement ou une observation, y compris les menaces détectées.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Sécurité |
| Solutions | Gestion des logs |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Non |
| Exemples de requêtes | - |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| Domaine de compte | ficelle | Domaine du compte. |
| Nom du compte | ficelle | Nom d’utilisateur du compte. |
| AccountObjectId | ficelle | Identificateur unique du compte dans Azure AD. |
| AccountSid | ficelle | Identificateur de sécurité (SID) du compte. |
| AccountUpn | ficelle | Nom d’utilisateur principal (UPN) du compte. |
| Type d'Action | ficelle | Type d’activité qui a déclenché l’événement. Associé à des techniques MITRE ATT&CK spécifiques. |
| AdditionalFields | ficelle | Informations supplémentaires sur l’entité ou l’événement. |
| Application | ficelle | Application qui a effectué l’action enregistrée. |
| ApplicationId | ficelle | Identificateur unique de l’application. |
| BehaviorId | ficelle | Identificateur unique du comportement. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| Catégories | ficelle | Types d’indicateurs de menace ou d’activité de violation identifiés par l’alerte. Défini par la matrice MITRE ATT&CK pour entreprise. |
| Sources de données | ficelle | Produits ou services qui ont fourni des informations pour le comportement. |
| RôleDétailléDeL’Entité | ficelle | Rôle de l’entité dans le comportement |
| Source de détection | ficelle | Technologie de détection ou capteur qui a identifié le composant ou l’activité notable. |
| DeviceId | ficelle | Identificateur unique de l’appareil dans le service. |
| Nom de l'appareil | ficelle | Nom de domaine complet (FQDN) de l’appareil. |
| EmailClusterId | ficelle | Identificateur du groupe d’e-mails similaires regroupés en fonction de l’analyse heuristique de leur contenu. |
| Objet de l'email | ficelle | Objet de l'email |
| Rôle de l'entité | ficelle | Indique si l’entité est affectée ou simplement associée. |
| Type d'entité | ficelle | Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur. |
| Nom du fichier | ficelle | Nom du fichier impliqué dans l’alerte. Vide, sauf si EntityType est « File » ou « Process ». |
| TailleDeFichier | long | Taille du fichier en octets. Vide, sauf si EntityType est « File » ou « Process » |
| FolderPath | ficelle | Dossier contenant le fichier. Vide, sauf si EntityType est « File » ou « Process ». |
| _IsBillable | ficelle | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| Adresse IP locale | ficelle | Adresse IP affectée à l’ordinateur local utilisé pendant la communication. |
| NetworkMessageId | ficelle | Identificateur unique de l’e-mail au format UUID, généré par Office 365. |
| OAuthApplicationId | ficelle | Identificateur unique de l’application OAuth tierce au format UUID. |
| ProcessCommandLine | ficelle | Ligne de commande utilisée pour créer le nouveau processus. |
| Clé de Registre | ficelle | Clé de Registre à laquelle l’action enregistrée a été appliquée. |
| RegistryValueData | ficelle | Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
| NomDeValeurDuRegistre | ficelle | Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée. |
| RemoteIP | ficelle | Adresse IP à laquelle il était connecté. |
| RemoteUrl | ficelle | URL ou nom de domaine pleinement qualifié (FQDN) auquel on se connectait. |
| ServiceSource | ficelle | Produit ou service qui a fourni les informations d’alerte. |
| SHA1 | ficelle | Hachage SHA-1 du fichier. Vide, sauf si EntityType est « File » ou « Process ». |
| SHA256 | ficelle | SHA-256 du fichier. Vide, sauf si EntityType est « File » ou « Process ». |
| SourceSystem | ficelle | Le type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Identifiant du locataire | ficelle | ID de l’espace de travail Log Analytics |
| ThreatFamily | ficelle | Famille de programmes malveillants dont le fichier ou le processus suspect ou malveillant a été classé sous. |
| TimeGenerated | date et heure | Date et heure de génération de l’enregistrement. |
| Type | ficelle | Nom de la table |