BehaviorEntities
Gjelder for:
- Microsoft Defender XDR
Tabellen BehaviorEntities
i det avanserte jaktskjemaet inneholder informasjon om virkemåter i Microsoft Defender for Cloud Apps. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Virkemåter er en type data i Microsoft Defender XDR basert på én eller flere rå hendelser. Virkemåter gir kontekstuell innsikt i hendelser og kan, men ikke nødvendigvis, indikere ondsinnet aktivitet. Les mer om virkemåter
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Dato og klokkeslett da posten ble generert |
BehaviorId |
string |
Unik identifikator for virkemåten |
ActionType |
string |
Type virkemåte |
Categories |
string |
Type trusselindikator eller bruddaktivitet identifisert av virkemåten |
ServiceSource |
string |
Produkt eller tjeneste som identifiserte virkemåten |
DetectionSource |
string |
Gjenkjenningsteknologi eller sensor som identifiserte den viktige komponenten eller aktiviteten |
DataSources |
string |
Produkter eller tjenester som gav informasjon om virkemåten |
EntityType |
string |
Objekttype, for eksempel en fil, en prosess, en enhet eller en bruker |
EntityRole |
string |
Angir om enheten påvirkes eller bare er relatert |
DetailedEntityRole |
string |
Rollene til enheten i virkemåten |
FileName |
string |
Navnet på filen som virkemåten gjelder for |
FolderPath |
string |
Mappe som inneholder filen som virkemåten gjelder for |
SHA1 |
string |
SHA-1 for filen som virkemåten gjelder for |
SHA256 |
string |
SHA-256 av filen som virkemåten gjelder for |
FileSize |
long |
Størrelse, i byte, på filen som virkemåten gjelder for |
ThreatFamily |
string |
Malware familie som mistenkelig eller ondsinnet fil eller prosess har blitt klassifisert under |
RemoteIP |
string |
IP-adresse som ble koblet til |
RemoteUrl |
string |
URL-adresse eller fullstendig domenenavn (FQDN) som ble koblet til |
AccountName |
string |
Brukernavn for kontoen |
AccountDomain |
string |
Domene for kontoen |
AccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
DeviceId |
string |
Unik identifikator for enheten i tjenesten |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
LocalIP |
string |
IP-adresse tilordnet den lokale enheten som brukes under kommunikasjon |
NetworkMessageId |
string |
Unik identifikator for e-postmeldingen, generert av Office 365 |
EmailSubject |
string |
Emne for e-postmeldingen |
EmailClusterId |
string |
Identifikator for gruppen med lignende e-postmeldinger gruppert basert på heuristikk analyse av innholdet |
Application |
string |
Program som utførte den registrerte handlingen |
ApplicationId |
int |
Unik identifikator for programmet |
OAuthApplicationId |
string |
Unik identifikator for tredjeparts OAuth-programmet |
ProcessCommandLine |
string |
Kommandolinje som brukes til å opprette den nye prosessen |
RegistryKey |
string |
Registernøkkelen som den registrerte handlingen ble brukt på |
RegistryValueName |
string |
Navnet på registerverdien som den registrerte handlingen ble brukt på |
RegistryValueData |
string |
Data for registerverdien som den registrerte handlingen ble brukt på |
AdditionalFields |
string |
Tilleggsinformasjon om virkemåten |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.