Partager via


AlertEvidence

S’applique à :

  • Microsoft Defender XDR

Le AlertEvidence tableau du schéma de repérage avancé contient des informations sur différentes entités (fichiers, adresses IP, URL, utilisateurs ou appareils) associées aux alertes de Microsoft Defender pour point de terminaison, Microsoft Defender pour Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender pour Identity. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
AlertId string Identificateur unique de l’alerte
Title string Titre de l'alerte
Categories string Liste des catégories auxquelles les informations appartiennent, au format tableau JSON
AttackTechniques string MITRE ATT&techniques CK associées à l’activité qui a déclenché l’alerte
ServiceSource string Produit ou service qui a fourni les informations d’alerte
DetectionSource string Technologie de détection ou capteur qui a identifié le composant ou l’activité notable
EntityType string Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur
EvidenceRole string Comment l’entité est impliquée dans une alerte, indiquant si elle est impactée ou simplement liée
EvidenceDirection string Indique si l’entité est la source ou la destination d’une connexion réseau
FileName string Nom du fichier auquel l’action enregistrée a été appliquée
FolderPath string Dossier contenant le fichier auquel l’action enregistrée a été appliquée
SHA1 string SHA-1 du fichier auquel l’action enregistrée a été appliquée
SHA256 string SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsqu’elle est disponible.
FileSize long Taille du fichier en octets
ThreatFamily string Famille de logiciels malveillants dont le fichier ou le processus suspect ou malveillant a été classé sous
RemoteIP string Adresse IP à laquelle la connexion était en cours
RemoteUrl string URL ou nom de domaine complet (FQDN) à laquelle/auquel la connexion était en cours
AccountName string Nom d’utilisateur du compte
AccountDomain string Domaine du compte
AccountSid string Identificateur de sécurité (SID) du compte
AccountObjectId string Identificateur unique du compte dans Microsoft Entra ID
AccountUpn string Nom d’utilisateur principal (UPN) du compte
DeviceId string Identificateur unique de l’appareil dans le service
DeviceName string Nom de domaine complet (FQDN) de l’appareil
LocalIP string Adresse IP attribuée à l’appareil local utilisé pendant la communication
NetworkMessageId string Identificateur unique d’e-mail, généré par Office 365
EmailSubject string Objet de l’e-mail
Application string Application qui a effectué l’action enregistrée
ApplicationId int Identificateur unique de l’application
OAuthApplicationId string Identificateur unique de l’application OAuth tierce
ProcessCommandLine string Ligne de commande utilisée pour créer le nouveau processus
RegistryKey string Clé de Registre à laquelle l’action enregistrée a été appliquée
RegistryValueName string Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée
RegistryValueData string Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée
AdditionalFields string Informations supplémentaires sur l’entité ou l’événement
Severity string Indique l’impact potentiel (élevé, moyen ou faible) de l’indicateur de menace ou de la violation identifié(e) par l’alerte
CloudResource string Nom de la ressource cloud
CloudPlatform string La plateforme cloud à laquelle appartient la ressource peut être Azure, Amazon Web Services ou Google Cloud Platform
ResourceType string Type de ressource cloud
ResourceID string Identificateur unique de la ressource cloud consultée
SubscriptionId string Identificateur unique de l’abonnement au service cloud

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.