AlertEvidence

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

A AlertEvidencespeciális veszélyforrás-keresési séma táblázata a Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender riasztásaival társított különböző entitásokról ( fájlokról, IP-címekről, URL-címekről, felhasználókról vagy eszközökről) tartalmaz információkat. Microsoft Defender for Cloud Apps és Microsoft Defender for Identity. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
AlertId string A riasztás egyedi azonosítója
Title string A riasztás címe
Categories string Az információkhoz tartozó kategóriák listája JSON-tömbformátumban
AttackTechniques string MITRE ATT&riasztást kiváltó tevékenységhez kapcsolódó CK-technikákat
ServiceSource string A riasztási adatokat szolgáltató termék vagy szolgáltatás
DetectionSource string Észlelési technológia vagy érzékelő, amely azonosította a jelentős összetevőt vagy tevékenységet
EntityType string Objektum típusa, például fájl, folyamat, eszköz vagy felhasználó
EvidenceRole string Hogyan vesz részt az entitás egy riasztásban, jelezve, hogy az érintett vagy csak kapcsolódó
EvidenceDirection string Azt jelzi, hogy az entitás egy hálózati kapcsolat forrása vagy célja
FileName string Annak a fájlnak a neve, amelyre a rögzített műveletet alkalmazták
FolderPath string A rögzített műveletet alkalmazó fájlt tartalmazó mappa
SHA1 string A rögzített műveletet alkalmazó fájl SHA-1 fájlja
SHA256 string A rögzített műveletet alkalmazó fájl SHA-256-os verziójára. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
FileSize long A fájl mérete bájtban
ThreatFamily string Olyan kártevőcsalád, amelybe a gyanús vagy rosszindulatú fájl vagy folyamat besorolva lett
RemoteIP string A csatlakoztatott IP-cím
RemoteUrl string A csatlakoztatott URL-cím vagy teljes tartománynév (FQDN)
AccountName string A fiók felhasználóneve
AccountDomain string A fiók tartománya
AccountSid string A fiók biztonsági azonosítója (SID)
AccountObjectId string A fiók egyedi azonosítója a Microsoft Entra ID
AccountUpn string A fiók egyszerű felhasználóneve (UPN)
DeviceId string Az eszköz egyedi azonosítója a szolgáltatásban
DeviceName string Az eszköz teljes tartományneve (FQDN)
LocalIP string A kommunikáció során használt helyi eszközhöz rendelt IP-cím
NetworkMessageId string A Office 365 által létrehozott e-mail egyedi azonosítója
EmailSubject string Az e-mail tárgya
Application string A rögzített műveletet végrehajtó alkalmazás
ApplicationId int Az alkalmazás egyedi azonosítója
OAuthApplicationId string A külső OAuth-alkalmazás egyedi azonosítója
ProcessCommandLine string Az új folyamat létrehozásához használt parancssor
RegistryKey string Beállításkulcs, amellyel a rögzített műveletet alkalmazták
RegistryValueName string Annak a beállításjegyzék-értéknek a neve, amelyekre a rögzített műveletet alkalmazták
RegistryValueData string Azon beállításazonosító adatai, amelyekre a rögzített műveletet alkalmazták
AdditionalFields string További információ az entitásról vagy eseményről
Severity string A riasztás által azonosított fenyegetésjelző vagy szabálysértési tevékenység lehetséges hatását (magas, közepes vagy alacsony) jelzi
CloudResource string Felhőbeli erőforrás neve
CloudPlatform string Az erőforráshoz tartozó felhőplatform lehet az Azure, az Amazon Web Services vagy a Google Cloud Platform.
ResourceType string A felhőerőforrás típusa
ResourceID string A hozzáféréssel rendelkező felhőerőforrás egyedi azonosítója
SubscriptionId string A felhőszolgáltatás-előfizetés egyedi azonosítója

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.