BehaviorEntities
חל על:
- Microsoft Defender XDR
הטבלה BehaviorEntitiesבסכימת הציד המתקדמות מכילה מידע אודות אופני פעולה יישומי ענן של Microsoft Defender. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
אופני פעולה הם סוג של נתונים ב- Microsoft Defender XDR בהתבסס על אחד או יותר מהאירועים הגולמיים. אופני פעולה מספקים תובנות הקשריות לגבי אירועים ועשויים, אך לא בהכרח, להצביע על פעילות זדונית. קרא עוד אודות אופני פעולה
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם הרשומה נוצרה |
BehaviorId |
string |
מזהה ייחודי עבור אופן הפעולה |
ActionType |
string |
סוג אופן פעולה |
Categories |
string |
סוג של מחוון איומים או פעילות הפרה שזוהתה על-ידי אופן הפעולה |
ServiceSource |
string |
מוצר או שירות שזיהו את אופן הפעולה |
DetectionSource |
string |
טכנולוגיית זיהוי או חיישן שזיהו את הרכיב או הפעילות העיקריים |
DataSources |
string |
מוצרים או שירותים שסיפקו מידע לגבי אופן הפעולה |
EntityType |
string |
סוג אובייקט, כגון קובץ, תהליך, מכשיר או משתמש |
EntityRole |
string |
מציין אם הישות מושפעת או רק קשורה |
DetailedEntityRole |
string |
תפקידי הישות באופן הפעולה |
FileName |
string |
שם הקובץ עליו חל אופן הפעולה |
FolderPath |
string |
תיקיה המכילה את הקובץ עליו חל אופן הפעולה |
SHA1 |
string |
SHA-1 של הקובץ עליו חל אופן הפעולה |
SHA256 |
string |
SHA-256 של הקובץ עליו חל אופן הפעולה |
FileSize |
long |
גודל, בבתים, של הקובץ עליו חל אופן הפעולה |
ThreatFamily |
string |
משפחת תוכנות זדוניות שהקובץ או התהליך החשודים או הזדון סווגו תחת |
RemoteIP |
string |
כתובת IP המחוברת אליה |
RemoteUrl |
string |
כתובת URL או שם תחום מלא (FQDN) שהיה מחובר אל |
AccountName |
string |
שם המשתמש של החשבון |
AccountDomain |
string |
תחום החשבון |
AccountSid |
string |
מזהה אבטחה (SID) של החשבון |
AccountObjectId |
string |
מזהה ייחודי עבור החשבון Microsoft Entra מזהה |
AccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון |
DeviceId |
string |
מזהה ייחודי עבור המכשיר בשירות |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
LocalIP |
string |
כתובת IP שהוקצתה למכשיר המקומי המשמש במהלך תקשורת |
NetworkMessageId |
string |
מזהה ייחודי עבור הדואר האלקטרוני, שנוצר על-ידי Office 365 |
EmailSubject |
string |
נושא הודעת הדואר האלקטרוני |
EmailClusterId |
string |
מזהה עבור הקבוצה של הודעות דואר אלקטרוני דומות מקובצות באשכולות בהתבסס על ניתוח ההארסטי של התוכן שלהן |
Application |
string |
יישום שביצע את הפעולה המוקלטת |
ApplicationId |
int |
מזהה ייחודי עבור היישום |
OAuthApplicationId |
string |
מזהה ייחודי של יישום OAuth של ספק חיצוני |
ProcessCommandLine |
string |
שורת הפקודה המשמשת ליצירת התהליך החדש |
RegistryKey |
string |
מפתח רישום הפעולה המוקלטת הוחלה עליו |
RegistryValueName |
string |
שם ערך הרישום הפעולה המוקלטת הוחלה עליו |
RegistryValueData |
string |
נתונים של ערך הרישום הפעולה המוקלטת הוחלה עליו |
AdditionalFields |
string |
מידע נוסף אודות אופן הפעולה |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור