BehaviorEntities

  • Articolo

Si applica a:

  • Microsoft Defender XDR

La BehaviorEntities tabella nello schema di ricerca avanzata contiene informazioni sui comportamenti in Microsoft Defender for Cloud Apps. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

I comportamenti sono un tipo di dati in Microsoft Defender XDR in base a uno o più eventi non elaborati. I comportamenti forniscono informazioni contestuali sugli eventi e possono, ma non necessariamente, indicare attività dannose. Altre informazioni sui comportamenti

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.

Nome colonna Tipo di dati Descrizione
Timestamp datetime Data e ora in cui è stato generato il record
BehaviorId string Identificatore univoco per il comportamento
ActionType string Tipo di comportamento
Categories string Tipo di indicatore di minaccia o attività di violazione identificata dal comportamento
ServiceSource string Prodotto o servizio che ha identificato il comportamento
DetectionSource string Tecnologia o sensore di rilevamento che ha identificato il componente o l'attività rilevanti
DataSources string Prodotti o servizi che hanno fornito informazioni per il comportamento
EntityType string Tipo di oggetto, ad esempio un file, un processo, un dispositivo o un utente
EntityRole string Indica se l'entità è interessata o semplicemente correlata
DetailedEntityRole string Ruoli dell'entità nel comportamento
FileName string Nome del file a cui si applica il comportamento
FolderPath string Cartella contenente il file a cui si applica il comportamento
SHA1 string SHA-1 del file a cui si applica il comportamento
SHA256 string SHA-256 del file a cui si applica il comportamento
FileSize long Dimensioni, in byte, del file a cui si applica il comportamento
ThreatFamily string Famiglia di malware in cui è stato classificato il file o il processo sospetto o dannoso
RemoteIP string Indirizzo IP connesso a
RemoteUrl string URL o nome di dominio completo (FQDN) connesso a
AccountName string Nome utente dell'account
AccountDomain string Dominio dell'account
AccountSid string Identificatore di sicurezza (SID) dell'account
AccountObjectId string Identificatore univoco per l'account in Microsoft Entra ID
AccountUpn string Nome dell'entità utente (UPN) dell'account
DeviceId string Identificatore univoco per il dispositivo nel servizio
DeviceName string Nome di dominio completo (FQDN) del dispositivo
LocalIP string Indirizzo IP assegnato al dispositivo locale usato durante la comunicazione
NetworkMessageId string Identificatore univoco per la posta elettronica, generato da Office 365
EmailSubject string Oggetto del messaggio di posta elettronica
EmailClusterId string Identificatore del gruppo di messaggi di posta elettronica simili raggruppati in base a un'analisi euristica del contenuto
Application string Applicazione che ha eseguito l'azione registrata
ApplicationId int Identificatore univoco per l'applicazione
OAuthApplicationId string Identificatore univoco dell'applicazione OAuth di terze parti
ProcessCommandLine string Riga di comando usata per creare il nuovo processo
RegistryKey string Chiave del Registro di sistema a cui è stata applicata l'azione registrata
RegistryValueName string Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata
RegistryValueData string Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata
AdditionalFields string Informazioni aggiuntive sul comportamento

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.