Del via


BehaviorEntities

Gjelder for:

  • Microsoft Defender XDR

Tabellen BehaviorEntities i det avanserte jaktskjemaet inneholder informasjon om virkemåter i Microsoft Defender for Cloud Apps. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Virkemåter er en type data i Microsoft Defender XDR basert på én eller flere rå hendelser. Virkemåter gir kontekstuell innsikt i hendelser og kan, men ikke nødvendigvis, indikere ondsinnet aktivitet. Les mer om virkemåter

Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslett da posten ble generert
BehaviorId string Unik identifikator for virkemåten
ActionType string Type virkemåte
Categories string Type trusselindikator eller bruddaktivitet identifisert av virkemåten
ServiceSource string Produkt eller tjeneste som identifiserte virkemåten
DetectionSource string Gjenkjenningsteknologi eller sensor som identifiserte den viktige komponenten eller aktiviteten
DataSources string Produkter eller tjenester som gav informasjon om virkemåten
EntityType string Objekttype, for eksempel en fil, en prosess, en enhet eller en bruker
EntityRole string Angir om enheten påvirkes eller bare er relatert
DetailedEntityRole string Rollene til enheten i virkemåten
FileName string Navnet på filen som virkemåten gjelder for
FolderPath string Mappe som inneholder filen som virkemåten gjelder for
SHA1 string SHA-1 for filen som virkemåten gjelder for
SHA256 string SHA-256 av filen som virkemåten gjelder for
FileSize long Størrelse, i byte, på filen som virkemåten gjelder for
ThreatFamily string Malware familie som mistenkelig eller ondsinnet fil eller prosess har blitt klassifisert under
RemoteIP string IP-adresse som ble koblet til
RemoteUrl string URL-adresse eller fullstendig domenenavn (FQDN) som ble koblet til
AccountName string Brukernavn for kontoen
AccountDomain string Domene for kontoen
AccountSid string Sikkerhetsidentifikator (SID) for kontoen
AccountObjectId string Unik identifikator for kontoen i Microsoft Entra ID
AccountUpn string Brukerhovednavn (UPN) for kontoen
DeviceId string Unik identifikator for enheten i tjenesten
DeviceName string Fullstendig domenenavn (FQDN) på enheten
LocalIP string IP-adresse tilordnet den lokale enheten som brukes under kommunikasjon
NetworkMessageId string Unik identifikator for e-postmeldingen, generert av Office 365
EmailSubject string Emne for e-postmeldingen
EmailClusterId string Identifikator for gruppen med lignende e-postmeldinger gruppert basert på heuristikk analyse av innholdet
Application string Program som utførte den registrerte handlingen
ApplicationId int Unik identifikator for programmet
OAuthApplicationId string Unik identifikator for tredjeparts OAuth-programmet
ProcessCommandLine string Kommandolinje som brukes til å opprette den nye prosessen
RegistryKey string Registernøkkelen som den registrerte handlingen ble brukt på
RegistryValueName string Navnet på registerverdien som den registrerte handlingen ble brukt på
RegistryValueData string Data for registerverdien som den registrerte handlingen ble brukt på
AdditionalFields string Tilleggsinformasjon om virkemåten

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.