Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Tabellen BehaviorInfo i det avanserte jaktskjemaet inneholder informasjon om virkemåter fra Microsoft Defender for Cloud Apps og UEBA (User and Entity Behavior Analytics). Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Viktig
Tabellen BehaviorInfo er i forhåndsversjon og er ikke tilgjengelig for GCC. Informasjonen her kan endres vesentlig før den utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her. Har du tilbakemeldinger å dele? Fyll ut tilbakemeldingsskjemaet vårt.
Virkemåter er en type data i Microsoft Defender XDR basert på én eller flere rå hendelser. Virkemåter gir kontekstuell innsikt i hendelser og kan, men ikke nødvendigvis, indikere ondsinnet aktivitet. Hvis du vil ha mer informasjon, kan du se følgende artikler:
- Undersøke virkemåter med avansert jakt
- Oversett rå sikkerhetslogger til atferdsinnsikt ved hjelp av UEBA-virkemåter i Microsoft Sentinel
Denne avanserte jakttabellen fylles ut av poster fra både Defender for Cloud Apps og UEBA. Hvis organisasjonen ikke distribuerer disse tjenestene i Microsoft Defender XDR, vil ikke spørringer som bruker tabellen, fungere eller returnere noen resultater. Hvis du vil ha mer informasjon om hvordan du distribuerer tjenester i Defender XDR, kan du se Distribuere støttede tjenester.
Følg instruksjonene i følgende artikler for å sikre at Defender for Cloud Apps og UEBA-data fyller ut BehaviorInfo tabellen:
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett da posten ble generert |
BehaviorId |
string |
Unik identifikator for virkemåten |
Title |
string |
Tittelen på virkemåten |
Description |
string |
Beskrivelse av virkemåten |
Categories |
string |
Type trusselindikator eller bruddaktivitet identifisert av virkemåten, som definert av MITRE ATT&CK-rammeverket |
AttackTechniques |
string |
MITRE ATT&CK-teknikker knyttet til aktiviteten som utløste virkemåten |
ServiceSource |
string |
Produkt eller tjeneste som identifiserte virkemåten |
DetectionSource |
string |
Gjenkjenningsteknologi eller sensor som identifiserte den viktige komponenten eller aktiviteten |
DataSources |
string |
Produkter eller tjenester som gav informasjon om virkemåten |
DeviceId |
string |
Unik identifikator for enheten i tjenesten |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
StartTime |
datetime |
Dato og klokkeslett for den første aktiviteten relatert til virkemåten |
EndTime |
datetime |
Dato og klokkeslett for siste aktivitet relatert til virkemåten |
AdditionalFields |
string |
Tilleggsinformasjon om virkemåten |
ActionType |
string |
Type virkemåte |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.