BehaviorEntities
適用対象:
- Microsoft Defender XDR
BehaviorEntities高度なハンティング スキーマのテーブルには、Microsoft Defender for Cloud Appsでの動作に関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
動作は、1 つ以上の生イベントに基づくMicrosoft Defender XDR内のデータの一種です。 動作はイベントに関するコンテキスト分析情報を提供し、悪意のあるアクティビティを示す可能性がありますが、必ずしも示すわけではありません。 動作の詳細を確認する
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
レコードが作成された日付と時刻 |
BehaviorId |
string |
動作の一意識別子 |
ActionType |
string |
動作の種類 |
Categories |
string |
動作によって識別される脅威インジケーターまたは侵害アクティビティの種類 |
ServiceSource |
string |
動作を識別した製品またはサービス |
DetectionSource |
string |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー |
DataSources |
string |
動作に関する情報を提供した製品またはサービス |
EntityType |
string |
ファイル、プロセス、デバイス、ユーザーなどのオブジェクトの種類 |
EntityRole |
string |
エンティティが影響を受けたか、単に関連しているかを示します |
DetailedEntityRole |
string |
動作におけるエンティティのロール |
FileName |
string |
動作が適用されるファイルの名前 |
FolderPath |
string |
動作が適用されるファイルを含むフォルダー |
SHA1 |
string |
動作が適用されるファイルの SHA-1 |
SHA256 |
string |
動作が適用されるファイルの SHA-256 |
FileSize |
long |
動作が適用されるファイルのサイズ (バイト単位) |
ThreatFamily |
string |
疑わしいファイルまたは悪意のあるファイルまたはプロセスが以下に分類されているマルウェア ファミリ |
RemoteIP |
string |
に接続されていた IP アドレス |
RemoteUrl |
string |
に接続されていた URL または完全修飾ドメイン名 (FQDN) |
AccountName |
string |
アカウントのユーザー名 |
AccountDomain |
string |
アカウントのドメイン |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID) |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
LocalIP |
string |
通信中に使用されるローカル デバイスに割り当てられた IP アドレス |
NetworkMessageId |
string |
Office 365 により生成されたメールの一意の識別子 |
EmailSubject |
string |
メールの件名 |
EmailClusterId |
string |
コンテンツのヒューリスティック分析に基づいてまとめられた、似通ったメールのグループの識別子 |
Application |
string |
記録されたアクションを実行したアプリケーション |
ApplicationId |
int |
アプリケーションの一意識別子 |
OAuthApplicationId |
string |
サード パーティの OAuth アプリケーションの一意識別子 |
ProcessCommandLine |
string |
新しいプロセスの作成に使用されるコマンド ライン |
RegistryKey |
string |
記録されたアクションが適用されたレジストリ キー |
RegistryValueName |
string |
記録されたアクションが適用されたレジストリ値の名前 |
RegistryValueData |
string |
記録されたアクションが適用されたレジストリ値のデータ |
AdditionalFields |
string |
動作に関する追加情報 |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示