AlertEvidence
Érintett szolgáltatás:
- Microsoft Defender XDR
A AlertEvidence
speciális veszélyforrás-keresési séma táblázata a Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender riasztásaival társított különböző entitásokról ( fájlokról, IP-címekről, URL-címekről, felhasználókról vagy eszközökről) tartalmaz információkat. Microsoft Defender for Cloud Apps és Microsoft Defender for Identity. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
AlertId |
string |
A riasztás egyedi azonosítója |
Title |
string |
A riasztás címe |
Categories |
string |
Az információkhoz tartozó kategóriák listája JSON-tömbformátumban |
AttackTechniques |
string |
MITRE ATT&riasztást kiváltó tevékenységhez kapcsolódó CK-technikákat |
ServiceSource |
string |
A riasztási adatokat szolgáltató termék vagy szolgáltatás |
DetectionSource |
string |
Észlelési technológia vagy érzékelő, amely azonosította a jelentős összetevőt vagy tevékenységet |
EntityType |
string |
Objektum típusa, például fájl, folyamat, eszköz vagy felhasználó |
EvidenceRole |
string |
Hogyan vesz részt az entitás egy riasztásban, jelezve, hogy az érintett vagy csak kapcsolódó |
EvidenceDirection |
string |
Azt jelzi, hogy az entitás egy hálózati kapcsolat forrása vagy célja |
FileName |
string |
Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták |
FolderPath |
string |
A rögzített műveletet alkalmazó fájlt tartalmazó mappa |
SHA1 |
string |
A rögzített műveletet alkalmazó fájl SHA-1 fájlja |
SHA256 |
string |
A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
FileSize |
long |
A fájl mérete bájtban |
ThreatFamily |
string |
Olyan kártevőcsalád, amelybe a gyanús vagy rosszindulatú fájl vagy folyamat besorolva lett |
RemoteIP |
string |
A csatlakoztatott IP-cím |
RemoteUrl |
string |
A csatlakoztatott URL-cím vagy teljes tartománynév (FQDN) |
AccountName |
string |
A fiók felhasználóneve |
AccountDomain |
string |
A fiók tartománya |
AccountSid |
string |
A fiók biztonsági azonosítója (SID) |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra ID |
AccountUpn |
string |
A fiók egyszerű felhasználóneve (UPN) |
DeviceId |
string |
Az eszköz egyedi azonosítója a szolgáltatásban |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
LocalIP |
string |
A kommunikáció során használt helyi eszközhöz rendelt IP-cím |
NetworkMessageId |
string |
A Office 365 által létrehozott e-mail egyedi azonosítója |
EmailSubject |
string |
Az e-mail tárgya |
Application |
string |
A rögzített műveletet végrehajtó alkalmazás |
ApplicationId |
int |
Az alkalmazás egyedi azonosítója |
OAuthApplicationId |
string |
A külső OAuth-alkalmazás egyedi azonosítója |
ProcessCommandLine |
string |
Az új folyamat létrehozásához használt parancssor |
RegistryKey |
string |
Beállításkulcs, amellyel a rögzített műveletet alkalmazták |
RegistryValueName |
string |
Annak a beállításjegyzék-értéknek a neve, amelyekre a rögzített műveletet alkalmazták |
RegistryValueData |
string |
Azon beállításazonosító adatai, amelyekre a rögzített műveletet alkalmazták |
AdditionalFields |
string |
További információ az entitásról vagy eseményről |
Severity |
string |
A riasztás által azonosított fenyegetésjelző vagy szabálysértési tevékenység lehetséges hatását (magas, közepes vagy alacsony) jelzi |
CloudResource |
string |
Felhőbeli erőforrás neve |
CloudPlatform |
string |
Az erőforráshoz tartozó felhőplatform lehet az Azure, az Amazon Web Services vagy a Google Cloud Platform. |
ResourceType |
string |
A felhőerőforrás típusa |
ResourceID |
string |
A hozzáféréssel rendelkező felhőerőforrás egyedi azonosítója |
SubscriptionId |
string |
A felhőszolgáltatás-előfizetés egyedi azonosítója |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.