BehaviorEntities

  • Article

S’applique à :

  • Microsoft Defender XDR

Le BehaviorEntities tableau du schéma de repérage avancé contient des informations sur les comportements dans Microsoft Defender for Cloud Apps. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Les comportements sont un type de données dans Microsoft Defender XDR basé sur un ou plusieurs événements bruts. Les comportements fournissent des insights contextuels sur les événements et peuvent, mais pas nécessairement, indiquer une activité malveillante. En savoir plus sur les comportements

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure de génération de l’enregistrement
BehaviorId string Identificateur unique du comportement
ActionType string Type de comportement
Categories string Type d’indicateur de menace ou d’activité de violation identifié par le comportement
ServiceSource string Produit ou service qui a identifié le comportement
DetectionSource string Technologie de détection ou capteur qui a identifié le composant ou l’activité notable
DataSources string Produits ou services qui ont fourni des informations sur le comportement
EntityType string Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur
EntityRole string Indique si l’entité est impactée ou simplement liée
DetailedEntityRole string Rôles de l’entité dans le comportement
FileName string Nom du fichier auquel le comportement s’applique
FolderPath string Dossier contenant le fichier auquel le comportement s’applique
SHA1 string SHA-1 du fichier auquel le comportement s’applique
SHA256 string SHA-256 du fichier auquel le comportement s’applique
FileSize long Taille, en octets, du fichier auquel le comportement s’applique
ThreatFamily string Famille de logiciels malveillants dont le fichier ou le processus suspect ou malveillant a été classé sous
RemoteIP string Adresse IP à laquelle la connexion était en cours
RemoteUrl string URL ou nom de domaine complet (FQDN) à laquelle/auquel la connexion était en cours
AccountName string Nom d’utilisateur du compte
AccountDomain string Domaine du compte
AccountSid string Identificateur de sécurité (SID) du compte
AccountObjectId string Identificateur unique du compte dans Microsoft Entra ID
AccountUpn string Nom d’utilisateur principal (UPN) du compte
DeviceId string Identificateur unique de l’appareil dans le service
DeviceName string Nom de domaine complet (FQDN) de l’appareil
LocalIP string Adresse IP attribuée à l’appareil local utilisé pendant la communication
NetworkMessageId string Identificateur unique d’e-mail, généré par Office 365
EmailSubject string Objet de l’e-mail
EmailClusterId string Identificateur du groupe des e-mails similaires ordonnés en fonction de l’analyse heuristique de leur contenu.
Application string Application qui a effectué l’action enregistrée
ApplicationId int Identificateur unique de l’application
OAuthApplicationId string Identificateur unique de l’application OAuth tierce
ProcessCommandLine string Ligne de commande utilisée pour créer le nouveau processus
RegistryKey string Clé de Registre à laquelle l’action enregistrée a été appliquée
RegistryValueName string Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée
RegistryValueData string Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée
AdditionalFields string Informations supplémentaires sur le comportement

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.