AlertEvidence
Si applica a:
- Microsoft Defender XDR
La AlertEvidence tabella nello schema di ricerca avanzata contiene informazioni su varie entità, ad esempio file, indirizzi IP, URL, utenti o dispositivi, associate ad avvisi provenienti da Microsoft Defender per endpoint, Microsoft Defender per Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender per identità. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
AlertId |
string |
Identificatore univoco dell'avviso |
Title |
string |
Titolo dell'avviso |
Categories |
string |
Elenco di categorie a cui appartengono le informazioni, in formato matrice JSON |
AttackTechniques |
string |
MITRE ATT&tecniche CK associate all'attività che ha attivato l'avviso |
ServiceSource |
string |
Prodotto o servizio che ha fornito le informazioni di avviso |
DetectionSource |
string |
Tecnologia o sensore di rilevamento che ha identificato il componente o l'attività rilevanti |
EntityType |
string |
Tipo di oggetto, ad esempio un file, un processo, un dispositivo o un utente |
EvidenceRole |
string |
Modalità di coinvolgimento dell'entità in un avviso, che indica se l'entità è interessata o è semplicemente correlata |
EvidenceDirection |
string |
Indica se l'entità è l'origine o la destinazione di una connessione di rete |
FileName |
string |
Nome del file a cui è stata applicata l'azione registrata |
FolderPath |
string |
Cartella contenente il file a cui è stata applicata l'azione registrata |
SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata |
SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata. Questo campo in genere non viene popolato. Quando disponibile, usare la colonna SHA1. |
FileSize |
long |
Dimensioni del file in byte |
ThreatFamily |
string |
Famiglia di malware in cui è stato classificato il file o il processo sospetto o dannoso |
RemoteIP |
string |
Indirizzo IP connesso a |
RemoteUrl |
string |
URL o nome di dominio completo (FQDN) connesso a |
AccountName |
string |
Nome utente dell'account |
AccountDomain |
string |
Dominio dell'account |
AccountSid |
string |
Identificatore di sicurezza (SID) dell'account |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
LocalIP |
string |
Indirizzo IP assegnato al dispositivo locale usato durante la comunicazione |
NetworkMessageId |
string |
Identificatore univoco per la posta elettronica, generato da Office 365 |
EmailSubject |
string |
Oggetto del messaggio di posta elettronica |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
ApplicationId |
int |
Identificatore univoco per l'applicazione |
OAuthApplicationId |
string |
Identificatore univoco dell'applicazione OAuth di terze parti |
ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo |
RegistryKey |
string |
Chiave del Registro di sistema a cui è stata applicata l'azione registrata |
RegistryValueName |
string |
Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata |
RegistryValueData |
string |
Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata |
AdditionalFields |
string |
Informazioni aggiuntive sull'entità o sull'evento |
Severity |
string |
Indica il potenziale impatto (alto, medio o basso) dell'indicatore di minaccia o della violazione identificata dall'avviso |
CloudResource |
string |
Nome risorsa cloud |
CloudPlatform |
string |
La piattaforma cloud a cui appartiene la risorsa può essere Azure, Amazon Web Services o Google Cloud Platform |
ResourceType |
string |
Tipo di risorsa cloud |
ResourceID |
string |
Identificatore univoco della risorsa cloud a cui si accede |
SubscriptionId |
string |
Identificatore univoco della sottoscrizione del servizio cloud |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.