AlertEvidence
S’applique à :
- Microsoft Defender XDR
Le AlertEvidence tableau du schéma de repérage avancé contient des informations sur différentes entités (fichiers, adresses IP, URL, utilisateurs ou appareils) associées aux alertes de Microsoft Defender pour point de terminaison, Microsoft Defender pour Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender pour Identity. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
AlertId |
string |
Identificateur unique de l’alerte |
Title |
string |
Titre de l'alerte |
Categories |
string |
Liste des catégories auxquelles les informations appartiennent, au format tableau JSON |
AttackTechniques |
string |
MITRE ATT&techniques CK associées à l’activité qui a déclenché l’alerte |
ServiceSource |
string |
Produit ou service qui a fourni les informations d’alerte |
DetectionSource |
string |
Technologie de détection ou capteur qui a identifié le composant ou l’activité notable |
EntityType |
string |
Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur |
EvidenceRole |
string |
Comment l’entité est impliquée dans une alerte, indiquant si elle est impactée ou simplement liée |
EvidenceDirection |
string |
Indique si l’entité est la source ou la destination d’une connexion réseau |
FileName |
string |
Nom du fichier auquel l’action enregistrée a été appliquée |
FolderPath |
string |
Dossier contenant le fichier auquel l’action enregistrée a été appliquée |
SHA1 |
string |
SHA-1 du fichier auquel l’action enregistrée a été appliquée |
SHA256 |
string |
SHA-256 du fichier auquel l’action enregistrée a été appliquée. Ce champ n’est généralement pas rempli. Utilisez la colonne SHA1 lorsqu’elle est disponible. |
FileSize |
long |
Taille du fichier en octets |
ThreatFamily |
string |
Famille de logiciels malveillants dont le fichier ou le processus suspect ou malveillant a été classé sous |
RemoteIP |
string |
Adresse IP à laquelle la connexion était en cours |
RemoteUrl |
string |
URL ou nom de domaine complet (FQDN) à laquelle/auquel la connexion était en cours |
AccountName |
string |
Nom d’utilisateur du compte |
AccountDomain |
string |
Domaine du compte |
AccountSid |
string |
Identificateur de sécurité (SID) du compte |
AccountObjectId |
string |
Identificateur unique du compte dans Microsoft Entra ID |
AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte |
DeviceId |
string |
Identificateur unique de l’appareil dans le service |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
LocalIP |
string |
Adresse IP attribuée à l’appareil local utilisé pendant la communication |
NetworkMessageId |
string |
Identificateur unique d’e-mail, généré par Office 365 |
EmailSubject |
string |
Objet de l’e-mail |
Application |
string |
Application qui a effectué l’action enregistrée |
ApplicationId |
int |
Identificateur unique de l’application |
OAuthApplicationId |
string |
Identificateur unique de l’application OAuth tierce |
ProcessCommandLine |
string |
Ligne de commande utilisée pour créer le nouveau processus |
RegistryKey |
string |
Clé de Registre à laquelle l’action enregistrée a été appliquée |
RegistryValueName |
string |
Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée |
RegistryValueData |
string |
Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée |
AdditionalFields |
string |
Informations supplémentaires sur l’entité ou l’événement |
Severity |
string |
Indique l’impact potentiel (élevé, moyen ou faible) de l’indicateur de menace ou de la violation identifié(e) par l’alerte |
CloudResource |
string |
Nom de la ressource cloud |
CloudPlatform |
string |
La plateforme cloud à laquelle appartient la ressource peut être Azure, Amazon Web Services ou Google Cloud Platform |
ResourceType |
string |
Type de ressource cloud |
ResourceID |
string |
Identificateur unique de la ressource cloud consultée |
SubscriptionId |
string |
Identificateur unique de l’abonnement au service cloud |
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour