BehaviorEntities (プレビュー)
適用対象:
- Microsoft Defender XDR
高度なハンティング スキーマのBehaviorEntities テーブルには、Microsoft Defender for Cloud Appsでの動作に関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
重要
BehaviorEntities テーブルはプレビュー段階であり、GCC では使用できません。 ここでの情報は、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。 共有するフィードバックはありますか?
フィードバック フォームに記入してください。
動作は、1 つ以上の生イベントに基づくMicrosoft Defender XDR内のデータの一種です。 動作はイベントに関するコンテキスト分析情報を提供し、悪意のあるアクティビティを示す可能性がありますが、必ずしも示すわけではありません。 動作の詳細を確認する
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
レコードが作成された日付と時刻 |
BehaviorId |
string |
動作の一意識別子 |
ActionType |
string |
動作の種類 |
Categories |
string |
動作によって識別される脅威インジケーターまたは侵害アクティビティの種類 |
ServiceSource |
string |
動作を識別した製品またはサービス |
DetectionSource |
string |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー |
DataSources |
string |
動作に関する情報を提供した製品またはサービス |
EntityType |
string |
ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類 |
EntityRole |
string |
エンティティが影響を受けたか、単に関連しているかを示します |
DetailedEntityRole |
string |
動作におけるエンティティのロール |
FileName |
string |
動作が適用されるファイルの名前 |
FolderPath |
string |
動作が適用されるファイルを含むフォルダー |
SHA1 |
string |
動作が適用されるファイルの SHA-1 |
SHA256 |
string |
動作が適用されるファイルの SHA-256 |
FileSize |
long |
動作が適用されるファイルのサイズ (バイト単位) |
ThreatFamily |
string |
疑わしいファイルまたは悪意のあるファイルまたはプロセスが以下に分類されているマルウェア ファミリ |
RemoteIP |
string |
に接続されていた IP アドレス |
RemoteUrl |
string |
に接続されていた URL または完全修飾ドメイン名 (FQDN) |
AccountName |
string |
アカウントのユーザー名 |
AccountDomain |
string |
アカウントのドメイン |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID) |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
LocalIP |
string |
通信中に使用されるローカル デバイスに割り当てられた IP アドレス |
NetworkMessageId |
string |
Office 365 により生成されたメールの一意の識別子 |
EmailSubject |
string |
メールの件名 |
EmailClusterId |
string |
コンテンツのヒューリスティック分析に基づいてまとめられた、似通ったメールのグループの識別子 |
Application |
string |
記録されたアクションを実行したアプリケーション |
ApplicationId |
int |
アプリケーションの一意識別子 |
OAuthApplicationId |
string |
サード パーティの OAuth アプリケーションの一意識別子 |
ProcessCommandLine |
string |
新しいプロセスの作成に使用されるコマンド ライン |
RegistryKey |
string |
記録されたアクションが適用されたレジストリ キー |
RegistryValueName |
string |
記録されたアクションが適用されたレジストリ値の名前 |
RegistryValueData |
string |
記録されたアクションが適用されたレジストリ値のデータ |
AdditionalFields |
string |
動作に関する追加情報 |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。