AlertEvidence
חל על:
- Microsoft Defender XDR
הטבלה בסכימת הציד המתקדמת מכילה מידע אודות ישויות שונות - קבצים, כתובות IP, כתובות URL, משתמשים או התקנים - המשויכים להתראות מ- Microsoft Defender עבור נקודת קצה, Microsoft Defender עבור Office 365,AlertEvidence יישומי ענן של Microsoft Defender, Microsoft Defender עבור זהות. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
AlertId |
string |
מזהה ייחודי עבור ההתראה |
Title |
string |
כותרת ההתראה |
Categories |
string |
רשימת קטגוריות שהמידע שייך אליהן, בתבנית מערך JSON |
AttackTechniques |
string |
MITRE ATT&CK techniques associated with the activity that trigger the alert |
ServiceSource |
string |
מוצר או שירות שסיפק את פרטי ההתראה |
DetectionSource |
string |
טכנולוגיית זיהוי או חיישן שזיהו את הרכיב או הפעילות העיקריים |
EntityType |
string |
סוג אובייקט, כגון קובץ, תהליך, מכשיר או משתמש |
EvidenceRole |
string |
כיצד הישות מעורבת בהתראה, המציינת אם היא מושפעת או רק קשורה |
EvidenceDirection |
string |
ציון אם הישות היא המקור או היעד של חיבור רשת |
FileName |
string |
שם הקובץ הפעולה המוקלטת הוחלה עליו |
FolderPath |
string |
תיקיה המכילה את הקובץ הפעולה המוקלטת הוחלה עליו |
SHA1 |
string |
SHA-1 של הקובץ הפעולה המוקלטת הוחלה עליו |
SHA256 |
string |
SHA-256 של הקובץ הפעולה המוקלטת הוחלה עליו. שדה זה בדרך כלל אינו מאוכלס - השתמש בעמודה SHA1 כאשר הוא זמין. |
FileSize |
long |
גודל הקובץ בבתים |
ThreatFamily |
string |
משפחת תוכנות זדוניות שהקובץ או התהליך החשודים או הזדון סווגו תחת |
RemoteIP |
string |
כתובת IP המחוברת אליה |
RemoteUrl |
string |
כתובת URL או שם תחום מלא (FQDN) שהיה מחובר אל |
AccountName |
string |
שם המשתמש של החשבון |
AccountDomain |
string |
תחום החשבון |
AccountSid |
string |
מזהה אבטחה (SID) של החשבון |
AccountObjectId |
string |
מזהה ייחודי עבור החשבון Microsoft Entra מזהה |
AccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון |
DeviceId |
string |
מזהה ייחודי עבור המכשיר בשירות |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
LocalIP |
string |
כתובת IP שהוקצתה למכשיר המקומי המשמש במהלך תקשורת |
NetworkMessageId |
string |
מזהה ייחודי עבור הדואר האלקטרוני, שנוצר על-ידי Office 365 |
EmailSubject |
string |
נושא הודעת הדואר האלקטרוני |
Application |
string |
יישום שביצע את הפעולה המוקלטת |
ApplicationId |
int |
מזהה ייחודי עבור היישום |
OAuthApplicationId |
string |
מזהה ייחודי של יישום OAuth של ספק חיצוני |
ProcessCommandLine |
string |
שורת הפקודה המשמשת ליצירת התהליך החדש |
RegistryKey |
string |
מפתח רישום הפעולה המוקלטת הוחלה עליו |
RegistryValueName |
string |
שם ערך הרישום הפעולה המוקלטת הוחלה עליו |
RegistryValueData |
string |
נתונים של ערך הרישום הפעולה המוקלטת הוחלה עליו |
AdditionalFields |
string |
מידע נוסף אודות הישות או האירוע |
Severity |
string |
ציון ההשפעה הפוטנציאלית (גבוהה, בינונית או נמוכה) של מחוון האיומים או פעילות ההפרה שזוהתה על-ידי ההתראה |
CloudResource |
string |
שם משאב ענן |
CloudPlatform |
string |
פלטפורמת הענן אליה שייך המשאב יכולה להיות Azure, Amazon Web Services או Google Cloud Platform |
ResourceType |
string |
סוג משאב ענן |
ResourceID |
string |
המזהה הייחודי של משאב הענן שהגישה אליו |
SubscriptionId |
string |
מזהה ייחודי של מנוי שירות הענן |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.