Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Tabellen BehaviorEntities i det avanserte jaktskjemaet inneholder informasjon om enheter (fil, prosess, enhet, bruker og andre) som er involvert i en virkemåte i Microsoft Defender for Cloud Apps og UEBA (User and Entity Behavior Analytics) (UEBA). Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Viktig
Tabellen BehaviorEntities er i forhåndsversjon og er ikke tilgjengelig for GCC. Informasjonen her kan endres vesentlig før den utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her. Har du tilbakemeldinger å dele? Fyll ut tilbakemeldingsskjemaet vårt.
Virkemåter er en type data i Microsoft Defender XDR basert på én eller flere rå hendelser. Virkemåter gir kontekstuell innsikt i hendelser og kan, men ikke nødvendigvis, indikere ondsinnet aktivitet. Hvis du vil ha mer informasjon, kan du se følgende artikler:
- Undersøke virkemåter med avansert jakt
- Oversett rå sikkerhetslogger til atferdsinnsikt ved hjelp av UEBA-virkemåter i Microsoft Sentinel
Denne avanserte jakttabellen fylles ut av poster fra både Defender for Cloud Apps og UEBA. Hvis organisasjonen ikke distribuerer disse tjenestene i Microsoft Defender XDR, vil ikke spørringer som bruker tabellen, fungere eller returnere noen resultater. Hvis du vil ha mer informasjon om hvordan du distribuerer tjenester i Defender XDR, kan du se Distribuere støttede tjenester.
Følg instruksjonene i følgende artikler for å sikre at Defender for Cloud Apps og UEBA-data fyller ut BehaviorEntities tabellen:
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett da posten ble generert |
BehaviorId |
string |
Unik identifikator for virkemåten |
Categories |
string |
Type trusselindikator eller bruddaktivitet identifisert av virkemåten, som definert av MITRE ATT&CK-rammeverket |
ServiceSource |
string |
Produkt eller tjeneste som identifiserte virkemåten |
DetectionSource |
string |
Gjenkjenningsteknologi eller sensor som identifiserte den viktige komponenten eller aktiviteten |
DataSources |
string |
Produkter eller tjenester som gav informasjon om virkemåten |
EntityType |
string |
Objekttype, for eksempel en fil, en prosess, en enhet eller en bruker |
EntityRole |
string |
Angir om enheten påvirkes eller bare er relatert |
DetailedEntityRole |
string |
Rollene til enheten i virkemåten |
FileName |
string |
Navnet på filen som virkemåten gjelder for |
FolderPath |
string |
Mappe som inneholder filen som virkemåten gjelder for |
SHA1 |
string |
SHA-1 for filen som virkemåten gjelder for |
SHA256 |
string |
SHA-256 av filen som virkemåten gjelder for |
FileSize |
long |
Størrelse, i byte, på filen som virkemåten gjelder for |
ThreatFamily |
string |
Malware familie som mistenkelig eller ondsinnet fil eller prosess har blitt klassifisert under |
RemoteIP |
string |
IP-adresse som ble koblet til |
RemoteUrl |
string |
URL-adresse eller fullstendig domenenavn (FQDN) som ble koblet til |
AccountName |
string |
Brukernavn for kontoen |
AccountDomain |
string |
Domene for kontoen |
AccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
CloudPlatform |
string |
Skyplattformen som ressursen tilhører, kan være Azure, Amazon Web Services eller Google Cloud Platform |
CloudResourceType |
string |
Type skyressurs |
CloudResourceId |
string |
Unik identifikator for skyressursen som er åpnet |
CloudSubscriptionId |
string |
Unik identifikator for skytjenesteabonnementet |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
DeviceId |
string |
Unik identifikator for enheten i tjenesten |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
LocalIP |
string |
IP-adresse tilordnet den lokale enheten som brukes under kommunikasjon |
NetworkMessageId |
string |
Unik identifikator for e-postmeldingen, generert av Microsoft 365 |
EmailSubject |
string |
Emne for e-postmeldingen |
EmailClusterId |
string |
Identifikator for gruppen med lignende e-postmeldinger gruppert basert på heuristikk analyse av innholdet |
Application |
string |
Program som utførte den registrerte handlingen |
ApplicationId |
int |
Unik identifikator for programmet |
OAuthApplicationId |
string |
Unik identifikator for tredjeparts OAuth-programmet |
ProcessCommandLine |
string |
Kommandolinje som brukes til å opprette den nye prosessen |
RegistryKey |
string |
Registernøkkelen som den registrerte handlingen ble brukt på |
RegistryValueName |
string |
Navnet på registerverdien som den registrerte handlingen ble brukt på |
RegistryValueData |
string |
Data for registerverdien som den registrerte handlingen ble brukt på |
AdditionalFields |
string |
Tilleggsinformasjon om virkemåten |
ActionType |
string |
Type virkemåte |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.